Отсутствие проверки подлинности обновлений подвергает риску безопасность пользователей

image

Теги: вредоносное обновление, ключи шифрования, риск

Преступник может обманом вынудить жертву установить вредоносную версию какого-либо ПО и получить контроль над системой.

Общим слабым звеном практически любого программного обеспечения, обладающего механизмом обновления, являются ключи шифрования, пишет ИБ-эксперт Лейф Ридж (Leif Ryge) в статье на портале ArsTechnica. При помощи вредоносного обновления злоумышленник может заполучить ключи и полностью скомпрометировать целевую систему.

По словам специалиста, атакующий может обманом заставить жертву установить вредоносную версию какого-либо ПО и получить контроль над системой. Успешное проведение атаки зависит от двух факторов: возможности отправки вредоносного обновления и способности убедить жертву в его подлинности. Проникнув в систему, атакующий может заполучить любые ключи шифрования или другую незашифрованную информацию, доступную для вредоносного приложения.

Как отмечает Ридж, бэкдоры позволяют злоумышленникам выполнять различные действия, к примеру, расшифровать зашифрованные данные или выполнить произвольный код на целевой системе. Успешное выполнение атаки возможно только при наличии определенных условий, однако в результате преступники могут завладеть любыми данными, в том числе ключами шифрования и записями с микрофона или камеры устройства.

По словам Риджа, данная проблема затрагивает практически все широко используемые системы обновления. Значительное количество производителей только в последние годы начали реализовывать проверку подлинности обновлений, однако даже алгоритмы компаний, применяющих подобную практику на протяжении десятилетий, являются ненадежными, отмечает эксперт.   


или введите имя

CAPTCHA