Trusteer: технологию безопасного осуществления транзакций нельзя отключить

image

Теги: Trusteer, эксплоит, технология

Компания Trusteer опровергла информацию о том, что разработанную компанией технологию Rapport, обеспечивающую безопасность банковских систем, можно было обойти.

Компания Trusteer опровергла информацию о том, что разработанную компанией технологию Rapport, обеспечивающую безопасность банковских систем, можно было обойти. Напомним, что в прошлом месяце на конференции 44Con компания Digit Security представила исследование, предполагая, что технологию Rapport можно было «отключить» и «обойти» используя функционал самой технологии. В отчете предполагалось, что уязвимость возникла в результате ошибки в проектировании, а не в системе.

Отметим, что Rapport - это технология безопасного осуществления транзакций, которая предлагается 50 банками по всему миру, в их числе NatWest и HSBC в Великобритании, ING Direct в США и платежная система PayPal. Технология разработана для осуществления транзакций без возможности их перехвата даже с скомпрометированных компьютеров, а также без возможности записи нажатий клавиш и получения скриншотов.

В исследовании Digit Security указывалось, что ошибку в Rapport нельзя было использовать с помощью существующего вредоносного ПО. После представления исследования, статья об ошибке появилась и в издании The Times.  

10 октября, в понедельник, исполнительный директор Trusteer Мики Будей (Mickey Boodaei) заявил, что обнаруженная Digit Security ошибка была исправлена. Он также раскритиковал действия представителей The Times и Digit Security, которые не предоставили компании достаточно времени для введения исправлений. Будей отмечает, что перед тем как публиковать информацию об уязвимостях исследователи для начала должны сообщать о них разработчикам ПО, чтобы они моли исправить ее. Будей называют такую политику – «защитой пользователей». В случае же с технологией Rapport, исследователи обнародовали информацию, и только потом сообщили об этом компании Trusteer.

Представители компании Trusteer также заявили, что злоумышленники не смогли бы использовать обнаруженную ошибку на практике. Они заявили, что опубликованный исследователями код эксплоита (http://www.digit-security.com/files/exploits/rapport-listen.c) не представляет собой угрозу. Во-первых, он требует, чтобы пользователь имел права администратора, а такие настройки не установлены по умолчанию на компьютерах Mac. Во-вторых, каждый раз, когда эксплоит пытается зафиксировать нажатие клавиш, система запрашивает пароль учетной записи администратора. И наконец код не может быть использован для считывания паролей из-за ограничений, установленных системой.

или введите имя

CAPTCHA