D-Link случайно опубликовала секретные ключи для подписи своих прошивок

Производитель маршрутизаторов и другого оборудования D-Link случайно выложил в открытый доступ секретные ключи шифрования для сертификатов, с помощью которых осуществляется подпись программного обеспечения, в том числе прошивок для маршрутизаторов.

Таким образом, злоумышленники могут подделать и сертификаты, и сами прошивки, со всеми вытекающими последствиями.

Один из пользователей под ником bartvbl купил камеру видеонаблюдения D-Link DCS-5020L (на фото) и решил скачать обновление прошивки. По условиям свободной лицензии GPL, компания обязана выкладывать исходный код прошивок для многих своих устройств. Хакер изучил этот исходный код — и обнаружил четыре секретных ключа шифрования, которые использовались для подписи кода. В тот момент только один из ключей, принадлежащий D-Link, оказался валидным, пишет голландское издание Tweakers, пишет xakep.ru.

 

 

Этот случай показывает, что мелкая безалаберность программистов может приводить к серьезным последствиям. С помощью такого ключа злоумышленники и даже государственные спецслужбы могут осуществлять продвинутые таргетированные атаки, распространяя программное обеспечение и устанавливая якобы аутентичное оборудование D-Link с закладками.

Независимые специалисты по безопасности подтвердили находку пользователя bartvbl. Джонатан Клийнсма (Yonathan Klijnsma) из компании Fox-IT сообщил, что секретные ключи находятся в коде прошивки 1.00b03, выпущенной 27 февраля 2015 года. После нее выходили другие версии прошивок, в которых ключи шифрования отсутствуют.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Samsung признал, что Galaxy S10 можно разблокировать любым пальцем

Samsung подтвердил наличие проблемы безопасности в инновационном сканере отпечатка пальца, встроенном в дисплей смартфона Galaxy S10. Брешь настолько серьёзна, что любой палец может разблокировать устройство.

Позицию корейского техногиганта передало агентство «Би-би-си». Samsung заявил следующее:

«Мы в курсе некорректной работы сканера отпечатка пальца во флагманских моделях смартфона — S10. Скоро разработчики выпустят программный патч».

Изначально большинство любителей техники хвалили встроенный в дисплей Galaxy S10 сканер отпечатков. Людям пришёлся по душе новый подход — сканер не занимал дополнительное место и выглядел действительно современно.

Однако чуть позже стало ясно, что новинка ещё не совсем готова к выходу рынок: был обнаружен ряд серьёзных недостатков, которые предстояло устранить с помощью патчей.

Одним из последних изъянов стал конфликт сканера отпечатков с различными защитными материалами для дисплея смартфона. Считыватель смущал небольшой зазор, неизбежно возникающий между экраном и защитой.

В результате исследователи выяснили, что дешевая защитная плёнка, заказанная на eBay, может разом нивелировать систему безопасности смартфона Samsung Galaxy S10.

Фактически из-за конфликта пленки и сканера разблокировать устройство можно было абсолютно любым пальцем. Конечно, это просто катастрофа с точки зрения обеспечения безопасности личных и финансовых данных пользователей.

Хорошо, что Samsung признал ошибку и готов исправить её. Пользователям только остаётся дождаться патча, а потом оперативно установить его.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru