The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Система обновления Cyanogemod подвержена совершению MITM-атак"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Система обновления Cyanogemod подвержена совершению MITM-атак"  +/
Сообщение от opennews (??) on 18-Фев-14, 12:15 
Исследователи безопасности обратили внимание (https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../) на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки  обновлений для свободной Android-прошивки Cyanogemod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой  из надёжных источников (контрольная сумма также передаётся по HTTP).


Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogemod  уже обеспечили (https://download.cyanogenmod.org/) возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность подмены ссылки на файл с образом и контрольной суммы при обращении к API.<center><a href="https://i.imgur.com/3338Nxw.png"><img src="https://www.opennet.ru/opennews/pics_base/0_1392709955.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

URL: https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=39116

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  –1 +/
Сообщение от Gustavo email on 18-Фев-14, 12:17 
прошу прощения... один я сверяю контрольную сумму после загрузки архива?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +1 +/
Сообщение от koblin (ok) on 18-Фев-14, 12:29 
так понимаю это автоматическое обновление по воздуху (ota)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +5 +/
Сообщение от Аноним (??) on 18-Фев-14, 16:16 
А контрольную сумму ты получаешь по специальному отдельному защищенному каналу связи?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +1 +/
Сообщение от Аноним (??) on 18-Фев-14, 17:18 
По libastral.so же!
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от rshadow (ok) on 19-Фев-14, 00:19 
Да один. Нормальные люди пользуются репами и пакетными менеджерами.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  –4 +/
Сообщение от Serge (??) on 18-Фев-14, 12:43 
А чо такое контрольная сумма? ;-))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +1 +/
Сообщение от Perain on 18-Фев-14, 13:01 
Коллизии crc32 небось
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +1 +/
Сообщение от Аноним (??) on 18-Фев-14, 13:45 
Это как контрольный выстрел.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +1 +/
Сообщение от Аноним (??) on 18-Фев-14, 14:33 
Контрольная сумма — это некоторое значение, вычисленное по определённому алгоритму по входным данным, используется что бы обнаружить повреждение данных при передаче, от MITM не защищает, о чём и указано в новости.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от pavlinux (ok) on 18-Фев-14, 15:22 
Кэп, если прилетит файло не совпадающие по CRC, это уже повод для паники, в том числе MITM  
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +4 +/
Сообщение от Аноним (??) on 18-Фев-14, 16:46 
Не волнуйся, прилетит совпадающее.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

20. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от BratSinot (ok) on 18-Фев-14, 18:19 
Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от Xasd (ok) on 18-Фев-14, 17:29 
> Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,...

нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  –1 +/
Сообщение от Anonim (??) on 18-Фев-14, 22:59 
> а ещё и нужно чтобы проверялся бы отпечатак

пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от Perain on 19-Фев-14, 00:16 
>> а ещё и нужно чтобы проверялся бы отпечатак
> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не
> загружается ли обновление под чьим-то давлением)

Количество спирта в крови

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от rshadow (ok) on 19-Фев-14, 00:20 
>> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи...

Конкретно здесь нужно проверять на наркотики

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от Anonim (??) on 19-Фев-14, 00:54 
> Количество спирта в крови

детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

24. "Система обновления Cyanogemod подвержена совершению MITM-ата..."  +/
Сообщение от Аноним (??) on 18-Фев-14, 23:52 
> нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Система обновления Cyanogenmod подвержена совершению MITM-ат..."  +/
Сообщение от Нанобот (ok) on 19-Фев-14, 10:54 
>Исследователи безопасности обратили внимание

хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру