В критически важных приложениях обнаружен опасный код

В критически важных приложениях обнаружен опасный код

Оказывается, не только разработчики Android-приложений грешат неграмотным внедрением SSL, но подобные ошибки присутствуют в программах ведущих софтверных компаний, включая Amazon и Paypal.

Неграмотная процедура проверки SSL-сертификатов обнаружена в критически важных приложениях, SDK, Java middleware, банковском софте и т.д., что открывает перед злоумышленниками возможности для MiTM-атаки — ничего хуже этого и представить невозможно, считают исследователи из Стэнфордского и Техасского университетов, которые опубликовали научную работу «Самый опасный код в мире: проверка SSL-сертификатов вне браузера». Достоин упоминания тот факт, что группа американских учёных работала под руководством кандидата наук Техасского университета Виталия Шматикова, пишет xakep.ru.

Итак, исследователи обнаружили некорректную процедуру SSL-валидации в ряде очень серьёзных программ:

Java-библиотека Amazon EC2 и все облачные клиенты на её основе;SDK Amazon и SDK Paypal, которые отвечают за передачу платёжных данных от торговой площадки к платёжному гейту;движки интернет-магазинов osCommerce, ZenCart, Ubercart и PrestaShop;код AdMob в мобильных веб-сайтах;мобильное приложение банка Chase и некоторые другие приложения и библиотеки под Android;Java middleware для веб-сервисов, включая Apache Axis, Axis 2, Codehaus XFire и библиотеку Pusher для Android, а также все приложения, которые используют перечисленное middleware.

В качестве примера безалаберности можно привести фрагмент исходного кода банковского приложения Chase.

public final void checkServerTrusted(X509Certificate[]
paramArrayOfX509Certificate, String paramString)
{
if ((paramArrayOfX509Certificate != null) && (
paramArrayOfX509Certificate.length == 1))
paramArrayOfX509Certificate[0].checkValidity();
while (true)
{
return;
this.a.checkServerTrusted(
paramArrayOfX509Certificate, paramString);
}
}

Любое SSL-соединение, установленное каждой из перечисленных программ, не является безопасным. Ключевая проблема лежит не столько в низкой квалификации разработчиков, сколько в плохом дизайне программных интерфейсов для реализации SSL (таких как JSSE, OpenSSL и GnuTLS) и библиотек для передачи данных (таких как cURL). Эти API и библиотеки сложны для обычного программиста, предлагая ему слишком путаный набор настроек и опций.

Например, в cURL есть несколько параметров для CURL_SSL_VERIFYHOST. Параметр VERIFYHOST=0 интуитивно понятен: он отключает проверку сертификата. Параметр VERIFYHOST=2 выполняет корректную проверку и сверяет имя хоста, указанное в сертификате, с именем хоста, который предъявляет сертификат. А вот параметрVERIFYHOST=1 (VERIFYHOST=TRUE) делает нечто очень странное: он проверяет, что сертификат принадлежит какому-то хосту, а затем принимает его от любого хоста. Понятно, что многие программисты не ожидали от cURL такой «подставы». Кстати, разработчик cURL Дэниел Стенберг вчера уже высказался по этому поводу. Ему после 10+ лет работы над cURL очень обидно слышать подобные обвинения, тем более что за все эти годы никто ни разу не предлагал изменить параметры для CURL_SSL_VERIFYHOST.

По результатам анализа ситуации с реализацией SSL в различных приложениях Шматиков с коллегами выработали ряд рекомендаций, в том числе они рекомендуют использовать специальное программное обеспечение для проверки корректности программного кода и пентестинга: например, программа TLSPretense. Есть также чёткая инструкция, как реализовать проверку SSL-сертификатов с помощью OpenSSL и репозиторий примеров правильного кода SSL Conservatory.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Финуслуги РФ теряют быструю связь с клиентом: 30% звонков попадают под блок

Национальный совет финансового рынка (НСФР) направил в кабмин и Банк России письмо с предупреждением о «предкризисной» ситуации, сложившейся в отрасли из-за ужесточения борьбы с телефонным спамом и мошенничеством.

По данным НСФР, в настоящее время операторы сотовой связи блокируют около трети звонков из финорганизаций. В результате нарушилось оперативное взаимодействие с клиентурой.

Больше прочих страдают инициаторы транзакций, которые требуется срочно подтвердить, чтобы развеять возникшие у банка сомнения, а также должники: их обычно вовремя предупреждали о просрочке выплат по страховке или кредиту.

По всей видимости, операторы связи не успели в полной мере подготовиться к выполнению новых требований в рамках борьбы с мошенничеством. Блокировка массовых вызовов происходит автоматом, однако их маркировка далеко не везде реализована; в результате у инициаторов звонков нет возможности заручиться согласием клиентов на прием телефонных предупреждений.

В комментарии для BFM глава НСФР Андрей Емелин посетовал также на увеличение расходов на услуги связи.

«Для того чтобы массовый вызов прошел, банк вынуждает операторов связи заключать договор не только со своим оператором, но и с оператором, обслуживающим абонента, — поясняет председатель совета. — В картине мира операторов связи получается, что каждый банк должен заключить договор с каждым из существующих операторов на то, чтобы он доводил до своих абонентов вызовы, которые он, этот оператор, считает массовыми, и все это сверху еще предлагается оплачивать банкам. Итого мы за сам звонок платим, за маркировку этого звонка платим и за то, чтобы он не квалифицировался как массовый вызов. То есть одна и та же услуга фактически тарифицируется трижды».

Напомним, поправки к российским законам, принятые в рамках борьбы с телефонным мошенничеством, обязывают операторов связи маркировать звонки от компаний и ИП, а также блокировать такие вызовы на основании запретов, выставленных абонентами.

Примечательно, что звонки через мессенджеры тоже ограничили, так что этот канал оперативного взаимодействия поставщиков услуг с клиентами теперь перекрыт.

В заключение стоит отметить, что проблемы из-за блокировки ковровых звонков возникли не только у сервис-провайдеров, но и у исследовательских организаций. Чтобы спасти ситуацию, Минцифры решило составить список юрлиц, которым для обзвона согласие абонентов не требуется.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru