26 ноября компания HeadLight Security представила бесплатный онлайн сервис Yota.hlsec.ru для проверки наличия уязвимостей в программном обеспечении популярных LTE-модемов и роутеров Yota. Цель данной инициативы — проинформировать пользователей об угрозах, которым они подвергаются, подключая к своему компьютеру небезопасное оборудование, и ускорить исправление ошибок производителем.
Сервис Yota.hlsec.ru осуществляет диагностику брешей в программном обеспечении модемов и роутеров Yota на компьютерах c операционными системами Microsoft Windows и Apple Mac OS, а также наглядно демонстрирует использование уязвимостей в связанных веб-приложениях (например, в личном кабинете пользователя).
Презентация сервиса состоялось на конференции ZeroNights 2015 в рамках доклада Михаила Фирстова " Уязвимости программного обеспечения телекоммуникационного оборудования Yota ". При обнаружении на компьютере пользователя модема или роутера Yota и выявлении соответствующих уязвимостей, на экране компьютера демонстрируются возможные результаты эксплуатации обнаруженных недостатоков — в частности, запускается приложение "Калькулятор" или отображаются данные из личного кабинета, а также расширенная информация о среде пользователя.
name='more'>
Множественные уязвимости высокой степени риска в программном обеспечении Yota были обнаружены экспертами HeadLigt Security еще в августе 2015 года. Одна из уязвимостей позволяет выполнить код на удаленном компьютере без непосредственного взаимодействия с пользователем (достаточно просто посетить определенный веб-сайт). В сентябре Yota была неоднократно проинформирована о наличие проблем безопасности в выпускаемых этой компанией модемах и ПО, однако обновлений безопасности так и не последовало.
Демонстрация использования уязвимостей приводится в этом видео:
Демонстрация использования уязвимостей приводится в этом видео:
В 2014 г. в России, по данным Comnews, было продано почти 5 млн USB-модемов. Согласно оценке аналитиков J`son & Partners за 2010 году, доля Yota на российском рынке USB-модемов составляет около 10%. Модемы и роутеры Yota активно используется не только в качестве домашних и корпоративных решений, но и для подключения терминалов оплаты, банкоматов, систем видеонаблюдения, охранных и пожарных сигнализаций.
Компания HeadLight Security придерживается политики ответственного разглашения информации об уязвимостях, информируя о найденных ошибках безопасности сначала производителя, и только спустя продолжительное время (минимум 45 дней) детали предаются широкой огласке. Данный подход позволяет защитить пользователей в том случае, если разработчик продолжает продавать продукт, но не осуществляет его адекватную поддержку: нередко проинформированный производитель не выпускает исправления месяцами, а то и годами, что играет на руку злоумышленникам. Аналогичную позицию в отношении раскрытия информации занимают, к примеру, специалисты по безопасности Google (что отражено в блоге компании), CERT Карнеги Меллона и большинство других крупных исследовательских центров в области информационной безопасности.
