Новости

Брешь в реализации SSL позволяет осуществлять MitM атаки на платежные системы


Брешь в реализации SSL позволяет осуществлять MitM атаки на платежные системы

Исследователи обнаружили некорректную реализацию SSL шифрования, которая позволяет осуществить атаки на огромное количество приложений и сервисов, предоставляемых PayPal, Amazon, Microsoft, Google, Yahoo.

Группа исследователей из техасского университета в Остине и Стэндфорда опубликовали результаты исследования надежности механизмов валидации SSL сертификатов в «не-браузерном» ПО на платформах Linux, Windows, Android и iOS. Предметом исследования стали механизмы валидации SSL в реализациях различного программного обеспечения и API, основанные на нем. В качестве вектора эксплуатации был выбран тип атаки «человек посередине» (MitM).

Основная задача SSL – это предоставление механизмов защиты конечного пользователя от атаки «человек посередине». Даже если сеть полностью скомпрометирована: отравлен кеш DNS сервера, точки доступа и маршрутизаторы контролируются злоумышленником и т.п. - SSL обязан гарантировать конфиденциальность, аутентичность и целостность передаваемых данных между клиентом и сервером.

Как показало исследование, программное обеспечение и библиотеки различных крупных производителей содержат бреши, позволяющие успешно произвести атаку. В списке программного обеспечения, которое использует уязвимую реализацию SSL, содержатся популярные программы от известных производителей, первоочередная задача которых состоит именно в предоставлении надежных механизмов шифрования для передачи критически важных данных: ПО для хранения и осуществления вычислений в облаках, например, Amazon EC2 Java client library и все клиенты, основанные на этой библиотеке; ПО, основанное на SDK от Amazon и PayPal (Amazon Flexible Payments Service версии для Java и PHP, PayPal Payments Standard и PayPal Invoicing, PayPal Payments Pro, Mass Pay и Transactional Information SOAP), использующееся для осуществления денежных транзакций; интегрированные решения для интернет-магазинов, например osCommerce, ZenCart, Ubercart и PrestaShop; ПО для мобильных приложений AdMob; Apache Axis, Axis 2, Codehaus XFire и Pusher library для Android; популярный клиент мгновенных сообщений Trillian.

Основной причиной возможности проведения подобной атаки является некорректный дизайн API в реализации SSL (в случае с JSSE, OpenSSL и GnuTLS), а также транспортные библиотеки (например, cURL), которые содержат сложные настройки и опции, не всегда понятные разработчикам.

В качестве примера некорректной реализации, исследователи демонстрируют брешь в PHP-версии библиотеки Amazon Flexible Payments Service. Приложение пытается включить функционал подтверждения подлинности SSL сертификата путем установки параметра CURLOPT_SSL_VERIFYHOST в значение true для cURL. К сожалению, корректное значение для включения механизма подтверждения должно быть равно 2, а установка опции в значение true интерпретируется как 1, что отключает подтверждение подлинности сертификата.

Подробно с результатами исследования можно ознакомиться здесь .

(Голосов: 2, Рейтинг: 3.19)
Дешевые мобильные телефоны Магазилла крупная бытовая техника.

или введите имя



96860
12-11-2012 23:43:32
Я знал, я знал, что пайпал и амазон - зло!
|
Ответить Ссылка
Кирилл
13-11-2012 09:37:27
И как теперь покупки делать на новый год? Опять перекупам платить 300% маржи?
|
Ответить Ссылка
Выпь
13-11-2012 10:05:52
Не обижайте сирот, они ничем, кроме спекуляции не могут заниматься. На эти 3 процента они живут.
|
Ответить Родитель Ссылка


                                                                                                                                                                                                                                               



Блоги
01.08.2014
<Без имени>
А вот еще пропущенное поглощение :-) Тоже в мае, а точнее 21-го. LANDesk приобретаетигрока сегмента ...
31.07.2014
<Без имени>
Одним из наиболее эффективным (на мой взгляд) методом анализа исходящего трафика средствами DLP явля...
31.07.2014
<Без имени>
Упустил эту новость раньше. 20-го мая калифорнийская компания Proofpoint, известная на рынке Securit...
31.07.2014
<Без имени>
Добрый вечер, дорогие читатели! Предлагаю Вашему вниманию составленную мной простенькую схему-шпарга...
31.07.2014
<Без имени>
Средства контроля электронной почты, которые могут быть практические полезны для отдела информационн...
31.07.2014
<Без имени>
В нашей речи мы (кто-то чаще, кто-то реже) периодически используем расхожие шаблонные фразы типа...
31.07.2014
<Без имени>
Примерно пару лет назад я прочитал очень крутую книгу "Одураченные случайностью" и сразу отметил себ...
30.07.2014
<Без имени>
29 июля компания BlackBerry объявилао намерении приобрести немецкую компанию Secusmart, известную на...
30.07.2014
<Без имени>
Вокруг поисковых систем сегодня идет не меньше ИБ-обсуждений, чем вокруг социальных сетей. Что, в об...
30.07.2014
<Без имени>
Это, конечно, уже не новость, что все автовладельцы - это наши уже даже не совсем потенциальные, а в...


Подписка
Подпишитесь на получение последних материалов по безопасности от SecurityLab.ru, новости, статьи, обзоры уязвимостей и мнения аналитиков.
 Ежедневный выпуск
 Еженедельный выпуск



Вебинар: Мобильная связь - небезопасна по умолчанию