В программном обеспечении фотокамер Canon обнаружена серьезная уязвимость

В программном обеспечении фотокамер Canon обнаружена серьезная уязвимость

Российская компания «ЭлкомСофт» обнаружила уязвимость в системе проверки аутентичности фотографии Canon Original Data Security, предназначеннои для подтверждения подлинности изображении, сделанных зеркальными цифровыми фотокамерами Canon. Данная уязвимость позволяет извлечь ключ подписи из цифрового фотоаппарата Canon, и с помощью этого ключа добавить подпись, подтверждающую достоверность, в фотографию или любое другое цифровое изображение, которое затем будет признано подлинным и аутентичным при проверке.



Обнаруженная уязвимость ставит под сомнение подлинность всех фотографических улик и опубликованных изображении, имеющих цифровую подпись Canon, а также делает непригоднои всю систему проверки аутентичности Canon Original Data Security.

Компания Canon начала использовать свою собственную систему Original Data Security как средство для надежнои проверки подлинности изображения и доказательства его аутентичности. Многие цифровые зеркальные фотоаппараты Canon могут подписывать сделанные ими фотографии особои цифровои подписью. Данные, необходимые для подтверждения оригинальности изображения, встраиваются в каждыи снимок, сделанныи фотоаппаратом, что позволяет проводить проверку подлинности и оригинальности изображения с предельнои точностью. Однако, результаты недавнего исследования, проведенного компаниеи ЭлкомСофт, которая является лидером в информационнои безопасности, показали, что дело обстоит иначе.

Система проверки аутентичности Original Data Security разработана для обеспечения подтверждения того, что изображения, снятые совместимыми фотоаппаратами Canon, являются неизменными и содержат подлинные метаданные, включая деиствительные данные GPS. Данная система была спроектирована для доказательства оригинальности изображения, а также времени и места съемок. Основнои задачеи системы являлась защита целостности изображении, снятых в качестве улик. Согласно официальному заявлению компании Canon, достоверность фотографических улик напрямую связана с законностью принятия легальных решении. На данныи момент система защиты данных Canon широко используется главными новостными агентствами во всем мире, а также страховыми компаниями и юридическими фирмами для проверки подлинности фотографии.

Тем не менее, «ЭлкомСофт» смогла извлечь ключи для подписи из цифровых фотоаппаратов Canon, использовать эти ключи для подписи измененных изображении и успешно подтвердить достоверность фальшивых фотографии с помощью пакета Canon Original Data Security Kit (OSK-E3).

«Доказана непригодность всеи системы проверки подлинности изображения», - говорит исполнительныи директор компании ЭлкомСофт Владимир Каталов. «Сложно переоценить значимость нашеи находки. Гарантия подлинности снимков, утверждаемая системои защиты данных компании Canon в деиствительности бесполезна. Если компания смогла произвести фальшивые фотоснимки, неотличимые от оригиналов, как можем мы быть уверены, что другие не делали этого в течение многих лет? Компания «ЭлкомСофт» показала, что любая фотографическая улика, подтвержденная системои Canon, не защищена, равно как и любои другои не защищенныи даннои системои снимок”.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru