[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Архив - только для чтения
Форум (архив). » Архив форума. » Архив форума. » Приложение Smart Sheriff содержит множество уязвимостей. (Текст Chris Brook 24 Сентябрь 2015 , 18:54.)
Приложение Smart Sheriff содержит множество уязвимостей.
MotoBiker1995Дата: Четверг, 24.09.2015, 22:38 | Сообщение # 1
Настоящий начинающий мотокроссер.
Группа: Администраторы
Сообщений: 400
Награды: 4
Статус: Оффлайн
Южнокорейское приложение, предназначенное для слежения за детьми, содержит множество уязвимостей, и ИБ-исследователи предупреждают, что с их помощью возможно раскрыть информацию о ребенке, скомпрометировать учетную запись пользователя и совершить немалое количество других вредоносных деяний.

Исследователи из канадской группы бдительности Citizen Lab обнаружили 26 уязвимостей и дизайнерских огрехов в приложении Smart Sheriff. Этим летом приложение обрело немалую популярность в связи с тем, что корейское правительство призвало к его обязательному использованию.

Более полумиллиона жителей Южной Кореи пользуются этим приложением, чтобы следить за активностью своих детей, получая информацию о том, как часто они пользуются своим телефоном, какие веб-сайты посещают и т.п.

Представители Citizen Lab заявили, что еще в начале августа передали отчет о найденных ими уязвимостях корейской организации MOIBA (Mobile Internet Business Association), распространяющей приложение. Хотя ряд уязвимостей был устранен, до сих пор не ясно, сколько именно брешей было закрыто разработчиками. Согласно таймлайну, предоставленному представителями MOIBA, уже должны были быть выпущены патчи как минимум для 20 уязвимостей, однако представители Citizen Lab этого факта подтвердить не могут, а корейская сторона от дальнейшего общения отказалась.

Наиболее крупной проблемой является тот факт, что приложение не шифрует пользовательские данные. На практике это означает, что имена детей и родителей, даты рождения и их пол, информация о мобильном устройстве, а также телефонные номера могут быть перехвачены злоумышленниками, получившими доступ к той же сети, в которой находится устройство. Как отметили представители Citizen Lab, то, каким образом Smart Sheriff пересылает данные на свои сервера, противоречит не только большинству IT-практик, но и корейскому законодательству.

Они также добавили, что приложение имеет крайне нестабильный и ненадежный механизм аутентификации. Приложение отвечает на запросы пользователя без предварительной проверки, является ли данный пользователь владельцем учетной записи; таким образом, злоумышленник, заполучивший номер телефона пользователя, может получить интересующую его информацию, изменить настройки учетной записи и отключить устройство.

Сетевая инфраструктура MOIBA также имеет недостаточный уровень шифрования.

«Их сервера не соответствуют даже базовым стандартам безопасности, — пишут представители Citizen Lab. — Используются устаревшие и небезопасные протоколы, которые делают весь процесс обмена данными уязвимым для перехвата и имперсонации серверов MOIBA».

Помимо всего перечисленного представители Citizen Lab предупреждают, что программное обеспечение, используемое приложением, также существенно устарело, в некоторых случаях на два года, что делает Smart Sheriff еще более уязвимым для компрометации.

Как предупреждают эксперты, все эти уязвимости и проблемы открывают злоумышленникам возможность для полной компрометации как самого приложения, так и используемых им данных.

«Все эти уязвимости делают приложение уязвимым для массовой компрометации учетных записей или для нарушения работоспособности сервиса. Атакующий, располагающий ресурсами для отправки крупного объема запросов приложению, в теории сможет идентифицировать всех пользователей Smart Sheriff, а затем систематически нарушить работу пользовательских устройств или самой службы», — пишут исследователи.

Smart Sheriff используют почти полмиллиона пользователей, и оно является одним из приложений, которое согласно закону должно использоваться всеми южнокорейскими операторами сотовой связи для защиты несовершеннолетних от вредоносного контента. Сам факт того, что в апреле этого года корейская комиссия по телекоммуникациям (Korean Communications Commission, KCC) приложила руку к разработке и распространению этого приложения, привел к активному обсуждению вопроса о правах человека, в особенности конфиденциальности детей.

Citizen Lab, оперирующая на базе школы Мунка при университете Торонто, и германский пентест-сервис Cure53 провели совместный аудит приложения Smart Sheriff и в минувшую субботу опубликовали отчеты о своих находках.

В отчете Cure53 (.PDF) заявлено, что приложение «уязвимо везде, где оно только может быть уязвимо», а также что «обязательное использование этого приложения всеми пользователями мобильных устройств, не достигшими определенного возраста, является поистине безответственным шагом».

- See more at: https://threatpost.ru/south-k....84


Гоняю, летаю, рву штаны и жгу бензин. Мотоциклы и мотокросс - это жизнь.
Чтобы заиметь семью - надо сначала заиметь любимое по жизни увлечение, но не наоборот. Потому, что все и вся люди не могут любить исключительно других людей.
《Байкер сам выбирает, ради чего и кого ему стоит жить. Он не ведётся на идиотские фразы о чувстве долга и навязанных ценностях от общества, которое понятия не имеет о мото-жизни.》 (С)
"Человек может просто в упор не видеть того, что не вписывается в его картину мира – независимо от того, верующий он или атеист. Атеизм от этого совершенно не лечит." (С)
 
Форум (архив). » Архив форума. » Архив форума. » Приложение Smart Sheriff содержит множество уязвимостей. (Текст Chris Brook 24 Сентябрь 2015 , 18:54.)
Страница 1 из 11
Поиск: