В критически важных приложениях обнаружен опасный код

В критически важных приложениях обнаружен опасный код

Оказывается, не только разработчики Android-приложений грешат неграмотным внедрением SSL, но подобные ошибки присутствуют в программах ведущих софтверных компаний, включая Amazon и Paypal.

Неграмотная процедура проверки SSL-сертификатов обнаружена в критически важных приложениях, SDK, Java middleware, банковском софте и т.д., что открывает перед злоумышленниками возможности для MiTM-атаки — ничего хуже этого и представить невозможно, считают исследователи из Стэнфордского и Техасского университетов, которые опубликовали научную работу «Самый опасный код в мире: проверка SSL-сертификатов вне браузера». Достоин упоминания тот факт, что группа американских учёных работала под руководством кандидата наук Техасского университета Виталия Шматикова, пишет xakep.ru.

Итак, исследователи обнаружили некорректную процедуру SSL-валидации в ряде очень серьёзных программ:

Java-библиотека Amazon EC2 и все облачные клиенты на её основе;SDK Amazon и SDK Paypal, которые отвечают за передачу платёжных данных от торговой площадки к платёжному гейту;движки интернет-магазинов osCommerce, ZenCart, Ubercart и PrestaShop;код AdMob в мобильных веб-сайтах;мобильное приложение банка Chase и некоторые другие приложения и библиотеки под Android;Java middleware для веб-сервисов, включая Apache Axis, Axis 2, Codehaus XFire и библиотеку Pusher для Android, а также все приложения, которые используют перечисленное middleware.

В качестве примера безалаберности можно привести фрагмент исходного кода банковского приложения Chase.

public final void checkServerTrusted(X509Certificate[]
paramArrayOfX509Certificate, String paramString)
{
if ((paramArrayOfX509Certificate != null) && (
paramArrayOfX509Certificate.length == 1))
paramArrayOfX509Certificate[0].checkValidity();
while (true)
{
return;
this.a.checkServerTrusted(
paramArrayOfX509Certificate, paramString);
}
}

Любое SSL-соединение, установленное каждой из перечисленных программ, не является безопасным. Ключевая проблема лежит не столько в низкой квалификации разработчиков, сколько в плохом дизайне программных интерфейсов для реализации SSL (таких как JSSE, OpenSSL и GnuTLS) и библиотек для передачи данных (таких как cURL). Эти API и библиотеки сложны для обычного программиста, предлагая ему слишком путаный набор настроек и опций.

Например, в cURL есть несколько параметров для CURL_SSL_VERIFYHOST. Параметр VERIFYHOST=0 интуитивно понятен: он отключает проверку сертификата. Параметр VERIFYHOST=2 выполняет корректную проверку и сверяет имя хоста, указанное в сертификате, с именем хоста, который предъявляет сертификат. А вот параметрVERIFYHOST=1 (VERIFYHOST=TRUE) делает нечто очень странное: он проверяет, что сертификат принадлежит какому-то хосту, а затем принимает его от любого хоста. Понятно, что многие программисты не ожидали от cURL такой «подставы». Кстати, разработчик cURL Дэниел Стенберг вчера уже высказался по этому поводу. Ему после 10+ лет работы над cURL очень обидно слышать подобные обвинения, тем более что за все эти годы никто ни разу не предлагал изменить параметры для CURL_SSL_VERIFYHOST.

По результатам анализа ситуации с реализацией SSL в различных приложениях Шматиков с коллегами выработали ряд рекомендаций, в том числе они рекомендуют использовать специальное программное обеспечение для проверки корректности программного кода и пентестинга: например, программа TLSPretense. Есть также чёткая инструкция, как реализовать проверку SSL-сертификатов с помощью OpenSSL и репозиторий примеров правильного кода SSL Conservatory.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Telegram нашли 4 тыс. ссылок на фейковые лотереи с охватом 74 млн

Мошенники активно используют комментарии в телеграм-каналах для распространения своих ссылок. Эксперты BI.ZONE Brand Protection зафиксировали более 4 тысяч таких сообщений, оставленных с 780 различных аккаунтов. Подобные комментарии встречаются в популярных сообществах, где обсуждают новости и шоу-бизнес, что позволяет злоумышленникам охватывать многомиллионную аудиторию и привлекать новых жертв.

По данным BI.ZONE Brand Protection, мошеннические объявления были размещены в 1700 группах и телеграм-каналах с общим охватом свыше 74 млн человек.

Злоумышленники оставляют сообщения от первого лица, хвастаются крупным выигрышем и прикладывают ссылку. Если пользователь переходит по ней, его приглашают поучаствовать в «лотерее».

После двух-трех раундов игра якобы заканчивается победой, и именно на этом этапе у жертвы начинают выманивать деньги.

«Чтобы получить выигрыш, нужно якобы заплатить госпошлину. Для убедительности атакующие даже указывают статью из Налогового кодекса России. Человек уверен, что платит пошлину, но на самом деле переводит деньги мошенникам», — пояснил руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.

По словам экспертов, подобная схема используется давно, но до сих пор приносит результат. В BI.ZONE советуют не переходить по ссылкам от незнакомых пользователей и не совершать платежи на сомнительных ресурсах.

Мессенджеры в 2025 году стали одним из основных каналов фишинга. Это объясняется тем, что технические средства защиты, эффективно работающие в почте, в мессенджерах пока не применяются.

Среди новых тенденций 2025 года также отмечаются фейковые инвестиционные платформы и сайты для сбора оплаты проезда по платным дорогам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru