В программном обеспечении фотокамер Canon обнаружена серьезная уязвимость

Александр Панасенко 30 Ноября 2010 - 13:30

...

Российская компания «ЭлкомСофт» обнаружила уязвимость в системе проверки аутентичности фотографии Canon Original Data Security, предназначеннои для подтверждения подлинности изображении, сделанных зеркальными цифровыми фотокамерами Canon. Данная уязвимость позволяет извлечь ключ подписи из цифрового фотоаппарата Canon, и с помощью этого ключа добавить подпись, подтверждающую достоверность, в фотографию или любое другое цифровое изображение, которое затем будет признано подлинным и аутентичным при проверке.

Обнаруженная уязвимость ставит под сомнение подлинность всех фотографических улик и опубликованных изображении, имеющих цифровую подпись Canon, а также делает непригоднои всю систему проверки аутентичности Canon Original Data Security.

Компания Canon начала использовать свою собственную систему Original Data Security как средство для надежнои проверки подлинности изображения и доказательства его аутентичности. Многие цифровые зеркальные фотоаппараты Canon могут подписывать сделанные ими фотографии особои цифровои подписью. Данные, необходимые для подтверждения оригинальности изображения, встраиваются в каждыи снимок, сделанныи фотоаппаратом, что позволяет проводить проверку подлинности и оригинальности изображения с предельнои точностью. Однако, результаты недавнего исследования, проведенного компаниеи ЭлкомСофт, которая является лидером в информационнои безопасности, показали, что дело обстоит иначе.

Система проверки аутентичности Original Data Security разработана для обеспечения подтверждения того, что изображения, снятые совместимыми фотоаппаратами Canon, являются неизменными и содержат подлинные метаданные, включая деиствительные данные GPS. Данная система была спроектирована для доказательства оригинальности изображения, а также времени и места съемок. Основнои задачеи системы являлась защита целостности изображении, снятых в качестве улик. Согласно официальному заявлению компании Canon, достоверность фотографических улик напрямую связана с законностью принятия легальных решении. На данныи момент система защиты данных Canon широко используется главными новостными агентствами во всем мире, а также страховыми компаниями и юридическими фирмами для проверки подлинности фотографии.

Тем не менее, «ЭлкомСофт» смогла извлечь ключи для подписи из цифровых фотоаппаратов Canon, использовать эти ключи для подписи измененных изображении и успешно подтвердить достоверность фальшивых фотографии с помощью пакета Canon Original Data Security Kit (OSK-E3).

«Доказана непригодность всеи системы проверки подлинности изображения», - говорит исполнительныи директор компании ЭлкомСофт Владимир Каталов. «Сложно переоценить значимость нашеи находки. Гарантия подлинности снимков, утверждаемая системои защиты данных компании Canon в деиствительности бесполезна. Если компания смогла произвести фальшивые фотоснимки, неотличимые от оригиналов, как можем мы быть уверены, что другие не делали этого в течение многих лет? Компания «ЭлкомСофт» показала, что любая фотографическая улика, подтвержденная системои Canon, не защищена, равно как и любои другои не защищенныи даннои системои снимок”.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 18:10

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Фишеры научились обходить одноразовые коды через iMessage и RCS

Фишинговые атаки выходят на новый уровень: мошенники всё чаще уходят от обычных СМС и переносят свои схемы в RCS и Apple iMessage — туда, где сообщения выглядят солиднее, доставляются через интернет и хуже фильтруются операторами.

По данным Google Threat Intelligence Group, быстро растущая китайскоязычная экосистема фишинга активно использует RCS и iMessage, чтобы обходить защиту на уровне телеком-операторов.

В отличие от классических СМС, эти каналы работают через дата-сети и используют сквозное шифрование, поэтому операторам сложнее анализировать и блокировать вредоносные сообщения.

Для жертвы всё выглядит вполне прилично: сообщение с красивым оформлением, медиа, уведомлениями о прочтении и иногда даже брендированными элементами. Выглядит всё как нормальная коммуникация от банка, магазина, платёжного сервиса или цифрового кошелька.

Главное отличие новых схем — атака идёт в режиме реального времени. Пользователь вводит логин и пароль на фишинговой странице, данные сразу улетают в панель злоумышленника. Последний тут же инициирует настоящий запрос одноразового кода, а жертву просят ввести OTP на той же поддельной странице.

Злоумышленники всё чаще охотятся не просто за паролями, а за сессионными токенами и возможностью добавить украденную банковскую карту в свой цифровой кошелёк. После этого данные превращаются в токенизированный платёжный инструмент, которым можно пользоваться для бесконтактных платежей и крупных операций.

Google отмечает, что такие PhaaS-платформы уже превратились в зрелую криминальную инфраструктуру. Их рекламируют в Telegram, а вместе с фишингом предлагают домены, VPS, украденные данные и даже услуги по отмыванию денег.

Отдельный неприятный штрих — локализация. Например, платформа YY Lai Yu предлагает сотни шаблонов под разные страны, бренды и сценарии. Для Японии используют приманки с бонусными баллами, субсидиями на коммунальные услуги, PayPay и Rakuten. Мошенники больше не переводят шаблон через онлайн-переводчик на коленке, а реально подстраиваются под привычки конкретной аудитории.

В дело уже подключили и ИИ. Платформы вроде Darcula умеют автоматически клонировать сайты, подтягивая HTML, CSS и JavaScript с оригинальных страниц. Получаются уникальные фишинговые копии, которые сложнее ловить по сигнатурам. А чтобы защитники не расслаблялись, многие страницы добавляют антибот-проверки и ручные шаги верификации.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!