Специалисты CERT обнаружили проблему с cookie во всех современных браузерах

Специалисты CERT обнаружили проблему с cookie во всех современных браузерах

Команда ученых из Computer Emergency Response Team (CERT) опубликовала отчет, согласно которому, реализация хранения и использования cookie-файлов практически во всех современных браузерах ставит безопасность системы под вопрос.

Ученые рассказали, что производители примеряют стандарт RFC 6265, отвечающий за браузерные cookies, неверно. Проблема заключается в следующем. Полученные через обычный HTTP-запрос cookie-файлы могут отмечаться как «защищенные», то есть имеют secure flag. По идее, такие cookie должны передаваться только через HTTPS-соединение, пишет xakep.ru.

Однако исследователи выявили, что многие современные браузеры используют любые cookie-файлы в ходе HTTPS-соединения, не проверяя при этом их источник (так называемый cookie forcing). В том числе, принимаются и «защищенные» cookie, подложенные в систему ранее. Это позволяет атакующему осуществить man-in-the-middle атаку, внедрив через HTTP-запрос фальшивые cookie, которые будут маскироваться под cookie-файлы других, легитимных сайтов, перезаписывая настоящие. Такую подмену будет сложно заметить даже тем, кто регулярно проверяет списки cookie в браузере и ищет в них подозрительное. Далее, при помощи такой подделки, можно легко перехватить приватную информацию пользователя, в ходе HTTPS-сессии.

Впервые о проблеме рассказали еще в августе 2015 года, на конференции USENIX 24, так что разработчики браузеров уже успели подготовиться и выпустить «заплатки». Проблеме были подвержены буквально все браузеры: Safari, Firefox, Chrome, Internet Explorer, Edge, Opera и Vivaldi. От бага избавлены лишь самые последние их версии.

Специалисты CERT также рекомендуют вебмастерам использовать HSTS (HTTP Strict Transport Security) для доменов верхнего уровня.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Россиянам в Telegram рассылают вредоносные APK от имени Красного Креста

Мошенники распространяют в Telegram вредоносные APK с поддельных аккаунтов Международного Комитета Красного Креста (МККК). Судя по тексту сообщений и названиям файлов, рассылка ориентирована на семьи участников СВО.

Адресату предлагают подать заявку на поиск пропавшего без вести военнослужащего. Имена вредоносных аттачей варьируются: список военнопленных.apk, приложение Красного Креста.apk, фотоальбомы пленных.apk и т. п.

 

МККК напоминает о том, что скачивать присланные незнакомцем файлы опасно: это может привести к взлому профилей в соцсетях, банковских приложений, а также к утечке персональных данных. Единственный русскоязычный аккаунт международной организации в Telegram — @mkkk_ru.

Рассылки Android-вредоносов в популярном мессенджере нередки. Использующие социальную инженерию мошенники могут выдать такого зловреда за фото, видео, мод приложения или игры.

Главное в таких случаях — не поддаваться первому порыву и сохранять бдительность. В противном случае можно утратить контроль не только над смартфоном, но и над своими счетами в банках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru