19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22
...
19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5  BIG-IP SSL vulnerability  CVE-2017-6168
Citrix  TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway  CVE-2017-17382
Radware  Security Advisory: Adaptive chosen-ciphertext attack vulnerability  CVE-2017-17427
Cisco ACE  End-of-Sale and End-of-Life  CVE-2017-17428
Bouncy Castle  Fix in 1.59 beta 9, Patch / Commit  CVE-2017-13098
Erlang  OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7  CVE-2017-1000385
WolfSSL  Github PR / patch  CVE-2017-13099
MatrixSSL  Changes in 3.8.3  CVE-2016-6883
Java / JSSE  Oracle Critical Patch Update Advisory – October 2012  CVE-2012-5081
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Pixnapping: скрытая атака на Android, которая читает пиксели экрана
Екатерина Быстрова 14 Октября 2025 - 09:00
Android ЭксплойтыУязвимости программ Домашние пользователи
Pixnapping: скрытая атака на Android, которая читает пиксели экрана

Учёные придумали новый трюк под названием Pixnapping, который позволяет злонамеренному приложению на Android фактически «снять» то, что показывают другие приложения, — 2FA-коды, сообщения, таймлайны местоположений и всё прочее, что видно на экране.

Главное — жертве нужно только установить вредоносное приложение; для успешной атаки такому софту не требуются системные разрешения.

Как это работает: сначала программа вызывает целевое приложение так, чтобы то отрендерило на экране нужную информацию (например окно с кодом).

Потом вредонос буквально «рисует» поверх и меряет маленькие различия во времени рендера отдельных пикселей — по этим таймингам он понимает, белый пиксель был или нет, и восстанавливает изображение по пикселю.

В итоге можно собрать, скажем, шестизначный 2FA-код или часть переписки — не мгновенно, но достаточно быстро, чтобы это представляло реальную угрозу в ряде случаев.

Исследователи показали вектор атаки на нескольких моделях смартфонов. В ряде случаев метод оказался достаточно быстрым, чтобы за 20–25 секунд восстановить код; на других — были помехи и скорость падала.

Разработчики платформ и производители смартфонов уже выпустили обновления, которые частично снижают риск, но учёные предупреждают, что атака может эволюционировать и обойти начальные фиксы.

Стоит заметить, что в реальной жизни реализовать Pixnapping не так просто: нужны тонкая настройка, подходящая модель устройства и время. Это не массовая эпидемия типа «вирусной» СМС-рассылки, но уязвимость серьёзная, потому что ломает базовое предположение — «одно приложение не должно читать то, что видно в другом».

Что делать обычному пользователю:

  • Обновите Android и приложения до последних версий — производители уже начали выпускать патчи.
  • Ставьте приложения только из проверенных источников и внимательно читайте отзывы.
  • Удаляйте или блокируйте подозрительные программы.
  • По возможности используйте более защищённые способы входа (аппаратный ключ безопасности вместо СМС- и 2FA-кодов там, где это поддерживается).

В общем, Pixnapping — интересный и тревожный пример того, как можно обойти привычные границы между приложениями, играя на особенностях рендеринга и времени. Паниковать не стоит, но обновлять версию ОС смартфона и быть внимательнее с незнакомыми apk — обязательно.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Фейковая рассылка от Belarusian Cyber-Partisans: угрозы атак на ЦБ и ФСИН
Новость
Фейковая рассылка от Belarusian Cyber-Partisans: угрозы атак...
В ТЭК за полгода зафиксировано 43 утечки данных, из них 3 в России
Новость
В ТЭК за полгода зафиксировано 43 утечки данных, из них 3 в...
Битрикс24 добавил запрет на скриншоты и копирование текста в приложении
Новость
Битрикс24 добавил запрет на скриншоты и копирование текста в...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.