Авторы BEAST разработали ещё одну атаку на SSL/TLS

Александр Панасенко 07 Сентября 2012 - 19:57

Средства криптографической защиты информации

...

Известные хакеры Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) снова дали о себе знать. Они заявились на конференцию по безопасности Ekoparty, которая пройдёт 19-21 сентября в Аргентине. Там они опишут новый способ атаки на SSL/TLS, не уступающий по эффективности пресловутой программе BEAST (Browser Exploit Against SSL/TLS.), которая широко обсуждалась в прошлом году как первая в истории атака, реально направленная на декодирование запросов HTTPS.

Именно эта пара исследователей разработали утилиту BEAST для сбора пользовательских cookies из защищённых SSL/TLS сессий. Они также известны как авторы атаки с оракулом на набивку в ASP.NET в 2010 году, которая затронула миллионы приложений и заставила Microsoft выпустить срочный патч для закрытия критической уязвимости.

Напомним, что программа BEAST в случае атаки MiTM позволяла хакеру незаметно декодировать данные, которые передаются между веб-сервером и браузером конечного пользователя в зашифрованном виде по TLS. Программа BEAST эксплуатировала функцию алгоритма AES (Advanced Encryption Standard), в котором блоки данных шифруются один за другим, при этом предыдущий блок используется для кодирования последующего. Многие теоретики говорили, что это может привести к появлению эксплойта, и Риццо с Дуонгом первыми разработали такой инструмент. Что интересно, презентация BEAST состоялась в 2011 году тоже на конференции Ekoparty, сообщает xakep.ru.

Ровно год спустя исследователи намерены продемонстрировать программу под названием CRIME, которая похожа на BEAST по методу работы: она тоже базируется на атаке MiTM и позволяет декодировать сессии HTTPS, в том числе пользовательские куки, перехватывая зашифрованный трафик между сервером и браузером. Уязвимости подвержены все версии TLS, включая TLS 1.2. Но если в случае с BEAST обойти проблему можно было, если заменить AES на другой шифр (например, RC4), то в случае с CRIME это не поможет.

Риццо с Дуонг не признаются, какая именно функция TLS эксплуатируется ими на этот раз, только дают несколько намёков. Они говорят, что эта функция тоже раньше обсуждалась как теоретически уязвимая, но эксплойтов так и не удалось разработать. Они также говорят, что уязвимость работает в Firefox и Chrome, браузеры должны выпустить обновления безопасности перед конференцией Ekoparty, но на самом деле эти обновления только частично решат проблему. Они всего лишь закроют возможность внедрения JavaScript для перехвата HTTPS-трафика, в то время как перехватывать его можно и другими способами, в теории CRIME может работать даже из статического HTML.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 01 Июня 2026 - 14:43

Android Трояны Домашние пользователи

Новый Android-троян крадёт данные из 180 банковских и криптосервисов

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили новую масштабную кампанию по распространению Android-трояна, нацеленного на кражу банковских данных и учётных записей криптовалютных сервисов. Вредоносная программа уже атакует пользователей как минимум в десяти странах и маскируется под популярные приложения, включая TikTok.

Атака начинается с поддельных ссылок на загрузку приложений. После установки дроппер показывает пользователю убедительное уведомление об обновлении Google Play и пошаговую инструкцию по выдаче необходимых разрешений.

Под видом компонента «Google Play Services» вредоносная программа получает доступ к службе специальных возможностей Android (Accessibility Service), что позволяет ей закрепиться в системе и получить расширенный контроль над устройством.

Троян постоянно отслеживает, какие приложения запускает пользователь, и сверяет их со встроенным списком целей. В этот список входят более 180 банковских, финансовых и криптовалютных приложений. Когда жертва открывает одно из них, поверх легального интерфейса появляется фишинговая форма, визуально практически неотличимая от настоящей страницы входа.

Пользователь вводит логин, пароль или код подтверждения, даже не подозревая, что данные отправляются злоумышленникам.

Возможности трояна этим не ограничиваются. Исследователи обнаружили поддержку более 30 удалённых команд. Операторы могут управлять буфером обмена, имитировать нажатия на экран, показывать поддельные уведомления и выполнять другие действия на заражённом устройстве.

Отдельную угрозу представляет функция потоковой передачи изображения с экрана. Используя штатный API Android MediaProjection, вредоносная программа непрерывно захватывает экран устройства и отправляет снимки на сервер злоумышленников в формате JPEG. Это позволяет практически в реальном времени наблюдать за финансовыми операциями жертвы и перехватывать одноразовые коды подтверждения.

Инфраструктура управления трояном разделена на несколько каналов связи. Один порт используется для команд операторов, второй — для телеметрии заражённого устройства, третий — для передачи видеопотока с экрана.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!