Отсутствие проверки подлинности обновлений подвергает риску безопасность пользователей
01.03.2016
Общим слабым звеном практически любого программного обеспечения, обладающего механизмом обновления, являются ключи шифрования, пишет ИБ-эксперт Лейф Ридж (Leif Ryge) в статье на портале ArsTechnica. При помощи вредоносного обновления злоумышленник может заполучить ключи и полностью скомпрометировать целевую систему.
По словам специалиста, атакующий может обманом заставить жертву установить вредоносную версию какого-либо ПО и получить контроль над системой. Успешное проведение атаки зависит от двух факторов: возможности отправки вредоносного обновления и способности убедить жертву в его подлинности. Проникнув в систему, атакующий может заполучить любые ключи шифрования или другую незашифрованную информацию, доступную для вредоносного приложения.
Как отмечает Ридж, бэкдоры позволяют злоумышленникам выполнять различные действия, к примеру, расшифровать зашифрованные данные или выполнить произвольный код на целевой системе. Успешное выполнение атаки возможно только при наличии определенных условий, однако в результате преступники могут завладеть любыми данными, в том числе ключами шифрования и записями с микрофона или камеры устройства.
По словам Риджа, данная проблема затрагивает практически все широко используемые системы обновления. Значительное количество производителей только в последние годы начали реализовывать проверку подлинности обновлений, однако даже алгоритмы компаний, применяющих подобную практику на протяжении десятилетий, являются ненадежными, отмечает эксперт.
