форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Система обновления Cyanogemod подвержена совершению MITM-атак"	+/–
Сообщение от opennews (??) on 18-Фев-14, 12:15
Исследователи безопасности обратили внимание (https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../) на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки  обновлений для свободной Android-прошивки Cyanogemod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой  из надёжных источников (контрольная сумма также передаётся по HTTP). Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogemod  уже обеспечили (https://download.cyanogenmod.org/) возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность подмены ссылки на файл с образом и контрольной суммы при обращении к API.<center><a href="https://i.imgur.com/3338Nxw.png"><img src="http://www.opennet.dev/opennews/pics_base/0_1392709955.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center> URL: https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=39116
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	–1 +/–
Сообщение от Gustavo on 18-Фев-14, 12:17
прошу прощения... один я сверяю контрольную сумму после загрузки архива?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+1 +/–
	Сообщение от koblin (ok) on 18-Фев-14, 12:29
	так понимаю это автоматическое обновление по воздуху (ota)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	16. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+5 +/–
	Сообщение от Аноним (??) on 18-Фев-14, 16:16
	А контрольную сумму ты получаешь по специальному отдельному защищенному каналу связи?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	18. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+1 +/–
	Сообщение от Аноним (??) on 18-Фев-14, 17:18
	По libastral.so же!
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	26. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от rshadow (ok) on 19-Фев-14, 00:19
	Да один. Нормальные люди пользуются репами и пакетными менеджерами.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	–4 +/–
Сообщение от Serge (??) on 18-Фев-14, 12:43
А чо такое контрольная сумма? ;-))))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+1 +/–
	Сообщение от Perain on 18-Фев-14, 13:01
	Коллизии crc32 небось
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+1 +/–
	Сообщение от Аноним (??) on 18-Фев-14, 13:45
	Это как контрольный выстрел.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	11. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+1 +/–
	Сообщение от Аноним (??) on 18-Фев-14, 14:33
	Контрольная сумма — это некоторое значение, вычисленное по определённому алгоритму по входным данным, используется что бы обнаружить повреждение данных при передаче, от MITM не защищает, о чём и указано в новости.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	13. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от pavlinux (ok) on 18-Фев-14, 15:22
	Кэп, если прилетит файло не совпадающие по CRC, это уже повод для паники, в том числе MITM
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	17. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+4 +/–
	Сообщение от Аноним (??) on 18-Фев-14, 16:46
	Не волнуйся, прилетит совпадающее.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	20. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от BratSinot (ok) on 18-Фев-14, 18:19
	Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
Сообщение от Xasd (ok) on 18-Фев-14, 17:29
> Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,... нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	–1 +/–
	Сообщение от Anonim (??) on 18-Фев-14, 22:59
	> а ещё и нужно чтобы проверялся бы отпечатак пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	25. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от Perain on 19-Фев-14, 00:16
	>> а ещё и нужно чтобы проверялся бы отпечатак > пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не > загружается ли обновление под чьим-то давлением) Количество спирта в крови
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	27. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от rshadow (ok) on 19-Фев-14, 00:20
	>> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи... Конкретно здесь нужно проверять на наркотики
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	28. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от Anonim (??) on 19-Фев-14, 00:54
	> Количество спирта в крови детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	24. "Система обновления Cyanogemod подвержена совершению MITM-ата..."	+/–
	Сообщение от Аноним (??) on 18-Фев-14, 23:52
	> нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Система обновления Cyanogenmod подвержена совершению MITM-ат..."	+/–
Сообщение от Нанобот (ok) on 19-Фев-14, 10:54
>Исследователи безопасности обратили внимание хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема