URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 94183
[ Назад ]
Исходное сообщение
"Система обновления Cyanogemod подвержена совершению MITM-атак"
Отправлено opennews , 18-Фев-14 12:15 
Исследователи безопасности обратили внимание (https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../) на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки  обновлений для свободной Android-прошивки Cyanogemod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой  из надёжных источников (контрольная сумма также передаётся по HTTP).


Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogemod  уже обеспечили (https://download.cyanogenmod.org/) возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность подмены ссылки на файл с образом и контрольной суммы при обращении к API.<center><a href="https://i.imgur.com/3338Nxw.png"><img src="http://www.opennet.me/opennews/pics_base/0_1392709955.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>

URL: https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vul.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39116

Содержание
Сообщения в этом обсуждении
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Gustavo , 18-Фев-14 12:17 
прошу прощения... один я сверяю контрольную сумму после загрузки архива?
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено koblin , 18-Фев-14 12:29 
так понимаю это автоматическое обновление по воздуху (ota)
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 16:16 
А контрольную сумму ты получаешь по специальному отдельному защищенному каналу связи?
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 17:18 
По libastral.so же!
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено rshadow , 19-Фев-14 00:19 
Да один. Нормальные люди пользуются репами и пакетными менеджерами.
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Serge , 18-Фев-14 12:43 
А чо такое контрольная сумма? ;-))))
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Perain , 18-Фев-14 13:01 
Коллизии crc32 небось
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 13:45 
Это как контрольный выстрел.
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 14:33 
Контрольная сумма — это некоторое значение, вычисленное по определённому алгоритму по входным данным, используется что бы обнаружить повреждение данных при передаче, от MITM не защищает, о чём и указано в новости.
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено pavlinux , 18-Фев-14 15:22 
Кэп, если прилетит файло не совпадающие по CRC, это уже повод для паники, в том числе MITM  
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 16:46 
Не волнуйся, прилетит совпадающее.
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено BratSinot , 18-Фев-14 18:19 
Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.
"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Xasd , 18-Фев-14 17:29 
> Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,...

нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Anonim , 18-Фев-14 22:59 
> а ещё и нужно чтобы проверялся бы отпечатак

пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)

"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Perain , 19-Фев-14 00:16 
>> а ещё и нужно чтобы проверялся бы отпечатак
> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не
> загружается ли обновление под чьим-то давлением)

Количество спирта в крови

"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено rshadow , 19-Фев-14 00:20 
>> пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи...

Конкретно здесь нужно проверять на наркотики

"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Anonim , 19-Фев-14 00:54 
> Количество спирта в крови

детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.

"Система обновления Cyanogemod подвержена совершению MITM-ата..."
Отправлено Аноним , 18-Фев-14 23:52 
> нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата

Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.

"Система обновления Cyanogenmod подвержена совершению MITM-ат..."
Отправлено Нанобот , 19-Фев-14 10:54 
>Исследователи безопасности обратили внимание

хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...