В прошивке Boeing 787 обнаружена серия уязвимостей

В прошивке Boeing 787 обнаружена серия уязвимостей

В прошивке Boeing 787 обнаружена серия уязвимостей

Исследователи компании IOActive, специализирующейся на кибербезопасности, нашли серию уязвимостей в прошивке пассажирского самолета Boeing 787 Dreamliner. Напомним, что саму прошивку раскрыли в прошлом году общедоступные серверы Boeing, что позволило экспертам проанализировать ее.

Стоит отметить, что сами бреши были обнаружены после анализа публично доступной информации и обратного инжиниринга прошивки самолета. При этом анализ проводился на несертифицированной платформе, а тестирование эксплуатации уязвимостей в реальных условиях никто не проводил.

Аппаратно-программная платформа Common Core System (CCS), которой оснащен Boeing 787 Dreamliner, разработана для обеспечения связи, вычислений и возможностей ввода-вывода (I/O). С другой стороны, есть виртуальная система, гарантирующая, что функции изолированы друг от друга.

Как объясняют специалисты IOActive, даже если возникнет ошибка функций или ресурсов платформы, процессы не должны мешать друг другу.

В ходе анализа исследователи обнаружили сотни отсылок к небезопасным вызовам функций в кастомной части имплементации ядра CIS VxWorks. Помимо этого, специалисты нашли дополнительные уязвимые паттерны, среди которых было и переполнение буфера, и DoS, и чтение-запись за пределами границ.

В отчете компании утверждается, что исследователи связались с представителями Boeing по поводу уязвимостей, и те подтвердили их наличие.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Партизанские приложения банков на iPhone живут сутки, но бьют рекорды

Российские банки нашли нестандартный способ вернуть свои приложения на iPhone — теперь они маскируют их под игры или сторонние сервисы, чтобы обойти ограничения App Store. Такие «партизанские» приложения живут там всего сутки, но этого времени хватает, чтобы их успели скачать миллионы пользователей.

Главная причина, как как рассказали «КомерсантЪ», такой настойчивости проста: владельцы iPhone — самая платёжеспособная аудитория. По данным МТС, в этом году на долю iPhone пришлось всего 8% проданных смартфонов в России, но целых 27% выручки.

Игра вместо банка

В конце прошлой недели Газпромбанк и Т-Банк выложили свои приложения в App Store. Долго они там не продержались: каждое удалили примерно через сутки.

Газпромбанк, например, замаскировал своё приложение под игру CashHunter («Охота за богатством»), где нужно «стрелять по летящим купюрам». Разработчиком была указана некая Любовь Веточкина.

В банке объяснили, что с каждой новой версией добавляют улучшения и новая функциональность — в частности, моментальную оплату по QR-коду. Цель — перевести пользователей iOS на обновлённую, более стабильную версию онлайн-банка.

Т-Банк пошёл другим путём: его последнее приложение под названием VibroGym App не маскировалось под игру. Но это уже четвёртая попытка банка за три недели — предыдущие версии удалялись через день-два, максимум продержались пять дней. Несмотря на это, каждое успевало собрать несколько миллионов установок.

По словам представителей Т-Банка, версия всегда была одна и та же, просто под разными названиями. Главное обновление — возврат функции бесконтактной оплаты T-Pay через Bluetooth.

Первыми были в Сбере

Эту же идею первыми протестировали в Сбербанке — ещё в августе они выпустили приложение «Вжух» с оплатой по Bluetooth. Оно продержалось в App Store меньше суток, но его скачали 9,5 млн человек.

Глава Сбера Герман Греф позже отметил, что за первую неделю пользователи сделали через «Вжух» больше платежей, чем с помощью биометрии, и в первую очередь это были владельцы iPhone.

Другие выбирают веб

Не все банки идут по пути «маскировки». В ВТБ решили не рисковать и предлагают клиентам на iPhone пользоваться веб-версией «ВТБ Онлайн». Там доступна та же функциональность, что и в приложении: переводы по контактам, вход по короткому коду, сканирование QR-кодов и т. д.

Почему это работает

Эксперты считают, что такие партизанские операции вполне оправданы. По словам независимого аналитика Максима Митусова, размещение нового приложения в App Store стоит несколько тысяч долларов, и даже если его скачает 10 тысяч человек, проект уже окупается.

Он отмечает, что оплата через Bluetooth стала нишевым решением — ей пользуются несколько процентов активных клиентов. Остальные по-прежнему спокойно платят картами и стикерами, не испытывая неудобств.

Роман Прохоров, глава ассоциации «Финансовые инновации», добавляет, что владельцам Android такие обходные пути просто не нужны — оплата через NFC у них работает без проблем.

В итоге получается любопытный феномен: банки снова и снова «прорываются» в App Store, пусть даже всего на сутки, потому что каждая такая попытка приносит тысячи установок и возвращает связь с самой ценной частью аудитории — пользователями iPhone.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru