The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Система обновления Cyanogenmod подвержена совершению MITM-атак

18.02.2014 11:41

Исследователи безопасности обратили внимание на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки обновлений для свободной Android-прошивки Cyanogenmod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой из надёжных источников (контрольная сумма также передаётся по HTTP).

Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogenmod уже обеспечили возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность подмены ссылки на файл с образом и контрольной суммы при обращении к API.



  1. Главная ссылка к новости (https://kyhwana.org/blog/2014/...)
  2. OpenNews: Выявлена техника MITM-атак, основанная на подстановке фиктивных BGP-маршрутов
  3. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
  4. OpenNews: Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов
  5. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39116-mitm
Ключевые слова: mitm, cyanogenmod
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Gustavo (?), 12:17, 18/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    прошу прощения... один я сверяю контрольную сумму после загрузки архива?
     
     
  • 2.3, koblin (ok), 12:29, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    так понимаю это автоматическое обновление по воздуху (ota)
     
  • 2.16, Аноним (-), 16:16, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    А контрольную сумму ты получаешь по специальному отдельному защищенному каналу связи?
     
     
  • 3.18, Аноним (-), 17:18, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    По libastral.so же!
     
  • 2.26, rshadow (ok), 00:19, 19/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Да один. Нормальные люди пользуются репами и пакетными менеджерами.
     

  • 1.4, Serge (??), 12:43, 18/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    А чо такое контрольная сумма? ;-))))
     
     
  • 2.6, Perain (?), 13:01, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Коллизии crc32 небось
     
  • 2.9, Аноним (-), 13:45, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это как контрольный выстрел.
     
  • 2.11, Аноним (-), 14:33, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Контрольная сумма — это некоторое значение, вычисленное по определённому алгоритму по входным данным, используется что бы обнаружить повреждение данных при передаче, от MITM не защищает, о чём и указано в новости.
     
     
  • 3.13, pavlinux (ok), 15:22, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Кэп, если прилетит файло не совпадающие по CRC, это уже повод для паники, в том числе MITM  
     
     
  • 4.17, Аноним (-), 16:46, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Не волнуйся, прилетит совпадающее.
     
  • 4.20, BratSinot (ok), 18:19, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.
     

  • 1.19, Xasd (ok), 17:29, 18/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,...

    нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

     
     
  • 2.22, Anonim (??), 22:59, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > а ещё и нужно чтобы проверялся бы отпечатак

    пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)

     
     
  • 3.25, Perain (?), 00:16, 19/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> а ещё и нужно чтобы проверялся бы отпечатак
    > пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не
    > загружается ли обновление под чьим-то давлением)

    Количество спирта в крови

     
     
  • 4.27, rshadow (ok), 00:20, 19/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи...

    Конкретно здесь нужно проверять на наркотики

     
  • 4.28, Anonim (??), 00:54, 19/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Количество спирта в крови

    детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.

     
  • 2.24, Аноним (-), 23:52, 18/02/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

    Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.

     

  • 1.29, Нанобот (ok), 10:54, 19/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Исследователи безопасности обратили внимание

    хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру