В критически важных приложениях обнаружен опасный код

Александр Панасенко 25 Октября 2012 - 08:13

...

Оказывается, не только разработчики Android-приложений грешат неграмотным внедрением SSL, но подобные ошибки присутствуют в программах ведущих софтверных компаний, включая Amazon и Paypal.

Неграмотная процедура проверки SSL-сертификатов обнаружена в критически важных приложениях, SDK, Java middleware, банковском софте и т.д., что открывает перед злоумышленниками возможности для MiTM-атаки — ничего хуже этого и представить невозможно, считают исследователи из Стэнфордского и Техасского университетов, которые опубликовали научную работу «Самый опасный код в мире: проверка SSL-сертификатов вне браузера». Достоин упоминания тот факт, что группа американских учёных работала под руководством кандидата наук Техасского университета Виталия Шматикова, пишет xakep.ru.

Итак, исследователи обнаружили некорректную процедуру SSL-валидации в ряде очень серьёзных программ:

Java-библиотека Amazon EC2 и все облачные клиенты на её основе;SDK Amazon и SDK Paypal, которые отвечают за передачу платёжных данных от торговой площадки к платёжному гейту;движки интернет-магазинов osCommerce, ZenCart, Ubercart и PrestaShop;код AdMob в мобильных веб-сайтах;мобильное приложение банка Chase и некоторые другие приложения и библиотеки под Android;Java middleware для веб-сервисов, включая Apache Axis, Axis 2, Codehaus XFire и библиотеку Pusher для Android, а также все приложения, которые используют перечисленное middleware.

В качестве примера безалаберности можно привести фрагмент исходного кода банковского приложения Chase.

public final void checkServerTrusted(X509Certificate[]
paramArrayOfX509Certificate, String paramString)
{
if ((paramArrayOfX509Certificate != null) && (
paramArrayOfX509Certificate.length == 1))
paramArrayOfX509Certificate[0].checkValidity();
while (true)
{
return;
this.a.checkServerTrusted(
paramArrayOfX509Certificate, paramString);
}
}

Любое SSL-соединение, установленное каждой из перечисленных программ, не является безопасным. Ключевая проблема лежит не столько в низкой квалификации разработчиков, сколько в плохом дизайне программных интерфейсов для реализации SSL (таких как JSSE, OpenSSL и GnuTLS) и библиотек для передачи данных (таких как cURL). Эти API и библиотеки сложны для обычного программиста, предлагая ему слишком путаный набор настроек и опций.

Например, в cURL есть несколько параметров для CURL_SSL_VERIFYHOST. Параметр VERIFYHOST=0 интуитивно понятен: он отключает проверку сертификата. Параметр VERIFYHOST=2 выполняет корректную проверку и сверяет имя хоста, указанное в сертификате, с именем хоста, который предъявляет сертификат. А вот параметрVERIFYHOST=1 (VERIFYHOST=TRUE) делает нечто очень странное: он проверяет, что сертификат принадлежит какому-то хосту, а затем принимает его от любого хоста. Понятно, что многие программисты не ожидали от cURL такой «подставы». Кстати, разработчик cURL Дэниел Стенберг вчера уже высказался по этому поводу. Ему после 10+ лет работы над cURL очень обидно слышать подобные обвинения, тем более что за все эти годы никто ни разу не предлагал изменить параметры для CURL_SSL_VERIFYHOST.

По результатам анализа ситуации с реализацией SSL в различных приложениях Шматиков с коллегами выработали ряд рекомендаций, в том числе они рекомендуют использовать специальное программное обеспечение для проверки корректности программного кода и пентестинга: например, программа TLSPretense. Есть также чёткая инструкция, как реализовать проверку SSL-сертификатов с помощью OpenSSL и репозиторий примеров правильного кода SSL Conservatory.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Яков Шпунт 28 Января 2026 - 18:53

Соответствие законодательству РФ Общее Защита от мошенничества

Треть звонков от организаций не маркируется

Около трети звонков от организаций по-прежнему не маркируются, несмотря на то что соответствующее требование действует с 1 сентября 2025 года. Эксперты связывают это с игнорированием нормы со стороны небольших операторов связи, нерешёнными вопросами оплаты и фактическим отсутствием ответственности за её несоблюдение.

Как пишут «Известия», до трети звонков от компаний остаются анонимными.

По данным источников издания, такие вызовы чаще всего проходят через фиксированные сети небольших операторов, которых в России насчитывается около тысячи. В целом же, отмечают собеседники «Известий», в маркировке звонков не заинтересованы ни сами операторы, ни их корпоративные клиенты. Особенно это касается банков и микрофинансовых организаций.

Как сообщил РБК со ссылкой на источники, с 27 января вся «большая четвёрка» мобильных операторов перестала маркировать звонки от крупнейших банков, включая Сбербанк, ВТБ и Альфа-банк. Причиной, по данным источников на финансовом рынке, стало отсутствие договоров между банками и операторами связи.

«По нашим данным, примерно одна треть от общего количества звонков, поступающих нашим клиентам ежемесячно, не маркируется, — сообщили “Известиям” в “Вымпелкоме” (Билайн). — При этом доля таких вызовов может меняться от месяца к месяцу. Как правило, речь идёт о звонках от компаний финансового сектора и небольших операторов связи».

Официальный представитель Т2 Дарья Колесникова оценила долю немаркированных звонков в 35–40%. По её словам, корпоративные заказчики, особенно из финансового сектора, сферы недвижимости и числа небольших операторов, зачастую не заинтересованы в подключении услуги из-за нежелания оплачивать маркировку.

Источники «Известий» также указывают, что такую позицию усиливает отсутствие прямой ответственности за саботаж маркировки. На эту проблему обращали внимание ещё в феврале 2020 года, когда инициатива только обсуждалась. Тогда Минцифры обещало проработать механизм ответственности, однако соответствующие изменения так и не были реализованы.

Партнёр ComNews Research Леонид Коник напомнил, что в правительственном постановлении, регулирующем маркировку звонков от организаций, прямо не прописан характер договоров между операторами и коммерческими заказчиками — в том числе, должны ли они быть возмездными. По его оценке, сама операция обходится оператору в среднем в 30 копеек за звонок, вне зависимости от того, состоялось соединение или нет. Малые операторы и бизнес-клиенты компенсировать эти расходы, как правило, не готовы.

«Многие компании и индивидуальные предприниматели не заключили со своими операторами договоры на маркировку. Причём зачастую речь идёт вовсе не о мелком бизнесе», — констатирует Леонид Коник.

«Поскольку наибольшую долю среди немаркированных звонков составляют кредитно-финансовые организации, мы ожидаем от Банка России указаний о необходимости обязательной идентификации таких вызовов, — заявила Дарья Колесникова. — Это критически важно, поскольку маркировка не только снижает раздражение абонентов от нежелательных звонков, но и помогает бороться с телефонным мошенничеством».

«В Кодексе об административных правонарушениях необходимо закрепить конкретные меры ответственности за звонки без маркировки. Кроме того, должны быть разработаны документы, чётко регламентирующие оплату этой услуги», — считает генеральный директор TelecomDaily Денис Кусков.

По мнению Дениса Кускова, маркировка звонков — полезный инструмент, который помогает абонентам понять, можно ли доверять вызывающему номеру. При этом он признаёт, что стоимость услуги остаётся ощутимой нагрузкой для бизнес-заказчиков и небольших операторов связи.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »