Баг в Kaspersky VPN приводит к утечке реального DNS-адреса
Главная » Новости

Баг в Kaspersky VPN приводит к утечке реального DNS-адреса

Олег Иванов 10 Августа 2018 - 10:27
...
Баг в Kaspersky VPN приводит к утечке реального DNS-адреса

Проблема безопасности была обнаружена в Kaspersky VPN версии 1.4.0.216. Тестирование на Android 8.1.0 выявило утечку DNS-адреса после подключения к любому виртуальному серверу. Под «утечкой DNS» эксперты в этом случае подразумевают незашифрованный DNS-запрос, отправленный системой пользователя.

Согласно статистике официального магазина Google Play Store, Kaspersky VPN загрузили более миллиона пользователей. Этому приложению доверяют многие пользователи.

Однако исследователи обнаружили, что при подключении к любому случайному виртуальному серверу происходит утечка фактического DNS-адреса.

Эксперт Дхираж Мишра, обнаруживший этот недостаток, уже сообщил о нем антивирусной компании через Hackerone. Специалист также опубликовал алгоритм, который поможет воспроизвести проблему:

  1. Посетите IPleak (обратите внимание на свой фактический DNS-адрес).
  2. Теперь подключитесь к любому случайному виртуальному серверу с помощью Kaspersky VPN.
  3. После успешного подключения можно вернуть на IPleak и увидеть, что адрес не поменялся.

Мишра считает, что подобная проблема может угрожать конфиденциальности пользователей, основная цель которых — оставаться анонимными в Сети.

Эксперт оповести представителей «Лаборатории Касперского» еще 21 апреля. Компания устранила уязвимость с выпуском версии 1.4.0.486.

«Лаборатория Касперского» дала официальные комментарии, а также объяснила, почему эксперту не было выплачено вознаграждение за найденный баг:

«”Лаборатория Касперского” благодарит исследователя Дхирая Мишра (Dhiraj Mishra) за обнаружение уязвимости в приложении Kaspersky Secure Connection для Android, в рамках которой на стороне DNS-сервиса возникала возможность анализа перечня ресурсов, к которым обращался пользователь с использованием VPN».

«Безопасность клиентов – ключевой приоритет для нашей компании, и мы всегда очень серьёзно относимся к независимым исследованиям. Эта уязвимость была закрыта в июне, ее нет в актуальной версии решения».

«Нашей программой Bug Bounty на данный момент не предусмотрены выплаты за баги и уязвимости в Kaspersky Secure Connection, поэтому мы не смогли выплатить денежную награду Дхираю. Мы очень высоко ценим его труд и еще раз благодарим талантливого исследователя. В будущем наша программа Bug Bounty может быть расширена».

«На данный момент компания выплачивает награду за обнаружение багов в двух ключевых продуктах: Kaspersky Internet Security и Kaspersky Security для бизнеса. «Лаборатория Касперского» готова платить до 20 тысяч долларов тем, кто найдёт бреши в этих решениях, и до 100 тысяч за особо серьёзные уязвимости. ”Лаборатория Касперского” призывает всех заинтересованных исследовать эти продукты и помогать нам делать их ещё более надежными и безопасными».

«С самого начала программы Bug Bounty, запущенной в августе 2016 года совместно с HackerOne, удалось успешно исправить 106 багов и уязвимостей. «Лаборатория Касперского» выплатила по ней исследователям 11 700 долларов».

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Новый банковский Android-троян FvncBot управляет смартфоном удалённо
Екатерина Быстрова 08 Декабря 2025 - 08:48
Android Трояны Домашние пользователи
Новый банковский Android-троян FvncBot управляет смартфоном удалённо

В Польше обнаружили новый банковский троян для Android — и он явно претендует на статус одного из самых продвинутых за последнее время. Исследователи Intel 471 сообщили о FvncBot, свежем и оригинальном образце вредоносной программы, которая маскируется под приложение от известного банка mBank.

По словам исследователей, главная особенность FvncBot в том, что это не очередная вариация на базе слитого исходного кода старых троянов вроде Ermac или Hook.

Это новая разработка с собственной архитектурой и широким набором функций. Название троян получил по идентификатору пакета — com.fvnc.app.

Заражение происходит в два этапа. Сначала жертве предлагают установить «компонент Play» для защиты и стабильности. На деле это загрузчик, который уже внутри себя держит нешифрованный вредоносный пейлоад. И загрузчик, и сам троян были упакованы с помощью сервиса apk0day, которым управляет пользователь под ником GoldenCrypt.

 

Дальше начинается самое неприятное. FvncBot активно использует специальные возможности Android (accessibility services) — те, что предназначены помогать людям с ограниченными возможностями, — чтобы внедрить полноценный кейлоггер.

Троян бесшумно собирает всё, что пользователь вводит в текстовые поля: пароли, коды одноразовой аутентификации и другие конфиденциальные данные. Информация накапливается в буфере на 1000 элементов и периодически отправляется злоумышленникам.

 

Но на этом функциональность не заканчивается. Как и многие современные банковские трояны, FvncBot умеет подменять интерфейс банковских приложений через наложенные окна. Жертва открывает приложение банка — а поверх появляется поддельная страница, загруженная в WebView. Встроенные скрипты собирают данные, как только пользователь вводит логин или пароль. Список целей троян получает с управляющего сервера.

 

Отдельного внимания заслуживает функция удалённого контроля. FvncBot поддерживает управление через WebSocket и позволяет злоумышленникам буквально водить устройством: делать свайпы, прокручивать страницы, нажимать кнопки, открывать приложения и даже заменять текст в буфере обмена. Чтобы скрыть следы, троян может блокировать экран, выключать звук и показывать чёрные оверлеи.

Для наблюдения за устройством используется потоковая передача экрана через MediaProjection с кодированием H.264 — это экономичнее и быстрее, чем старые схемы со снимками экрана. А ещё есть «текстовый режим»: скрытый аналог VNC, который восстанавливает интерфейс экрана, анализируя элементы UI через accessibility services. Такой подход обходит защиту, запрещающую обычные скриншоты.

На данный момент FvncBot нацелен на пользователей банковских приложений в Польше, но, учитывая его возможности и полноценную архитектуру, эксперты не исключают расширения географии.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
FabricaONE.AI в составе Софтлайна может выйти на IPO до конца 2025 года
Новость
FabricaONE.AI в составе Софтлайна может выйти на IPO до конц...
DDoS-атаки на финсектор утроились и вывели отрасль в топ-3 целей
Новость
DDoS-атаки на финсектор утроились и вывели отрасль в топ-3 ц...
Большая часть транспортных систем будет отнесена к КИИ
Новость
Большая часть транспортных систем будет отнесена к КИИ

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.