Данные пользователей Android устройств передаются в открытом виде

Исследователь в области компьютерных технологий предупреждает владельцев смартфонов, работающих на базе операционной системы Android о том, что отправляемые приложениями Facebook и Google данные передаются по незащищенному протоколу.

В ходе эксперимента, проведенного в рамках лабораторной работы для аспирантов райсовского университета, профессор Дэн Уаллач, воспользовавшись обычной утилитой для мониторинга исходящего и входящего трафика, пытался проверить пакеты данных, передаваемые с различных приложений для Android телефона. В результате выяснилось, что официальные приложения как Facebook, так и Google (Google Calendar) отправляют все данные, включая пароли в том виде, в каком они есть. Это означает, что сообщения, фото и другая информация, которая будет передаваться на или с телефона доступна злоумышленникам, даже если в настройках учетной записи пользователь установил предпочтительным способ передачи данных через защищенный протокол SSL.

Представители компаний Google и Facebook заявили, что эта функция находится в процессе тестирования, однако пообещали, что через несколько месяцев пользователи смартфонов смогут воспользоваться этой возможностью в полной мере.

Помимо этого, профессор обнаружил, что еще несколько приложений не обеспечивают надлежащую безопасность. Так, например, совершенно странным оказался тот факт, что SoundHound и ShopSaavy передают GPS координаты каждый раз, как поступает запрос. Причем, передача осуществляется даже в тех случаях, когда для нормальной работы приложения не нужна информация о местоположении пользователя.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В плагине WP Fastest Cache найдены уязвимости CSRF, XSS и SQLi

В ходе аудита популярного плагина WP Fastest Cache команда Jetpack из компании Automattic обнаружила две уязвимости — возможность SQL-инъекции и хранимую XSS в комбинации с CSRF. Патчи уже доступны в составе обновления 0.9.5.

Плагин кеширования WP Fastest Cache широко используется для ускорения и оптимизации работы WordPress-сайтов. В настоящее время на его счету числится более 1 млн активных установок.

Из найденных проблем, согласно описанию, наиболее критична возможность XSS-атаки через CSRF (CVE-2021-24869; 9,6 балла по CVSS). Эксплойт позволяет выполнить любое действие от имени совершившего вход админа, в том числе загрузить на сайт вредоносный JavaScript.

Причиной уязвимости в данном случае является некорректная верификация источника запроса при настройке опций, доступных в составе CDN-сети. Дело в том, что WP Fastest Cache в этом случае проверяет только права текущего пользователя, а функция wp_verify_nonce (проверка наличия нонс-параметра, подтверждающего намерения) отсутствует.

Возможность внедрения SQL-кода (CVE-2021-24869; 7,7 балла CVSS) позволяет получить доступ к закрытой информации в базе данных сайта, в том числе к логинам и паролям пользователей. Эксплойт, по словам исследователей, возможен только при включенном дефолтном редакторе страниц WordPress (плагине Classic Editor). 

Разработчика WP Fastest Cache уведомили о проблемах в конце прошлого месяца. Сборка с соответствующими исправлениями (0.9.5) вышла 11 октября, пользователям настоятельно рекомендуется ее установить.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru