В критически важных приложениях обнаружен опасный код

Александр Панасенко 25 Октября 2012 - 08:13

...

Оказывается, не только разработчики Android-приложений грешат неграмотным внедрением SSL, но подобные ошибки присутствуют в программах ведущих софтверных компаний, включая Amazon и Paypal.

Неграмотная процедура проверки SSL-сертификатов обнаружена в критически важных приложениях, SDK, Java middleware, банковском софте и т.д., что открывает перед злоумышленниками возможности для MiTM-атаки — ничего хуже этого и представить невозможно, считают исследователи из Стэнфордского и Техасского университетов, которые опубликовали научную работу «Самый опасный код в мире: проверка SSL-сертификатов вне браузера». Достоин упоминания тот факт, что группа американских учёных работала под руководством кандидата наук Техасского университета Виталия Шматикова, пишет xakep.ru.

Итак, исследователи обнаружили некорректную процедуру SSL-валидации в ряде очень серьёзных программ:

Java-библиотека Amazon EC2 и все облачные клиенты на её основе;SDK Amazon и SDK Paypal, которые отвечают за передачу платёжных данных от торговой площадки к платёжному гейту;движки интернет-магазинов osCommerce, ZenCart, Ubercart и PrestaShop;код AdMob в мобильных веб-сайтах;мобильное приложение банка Chase и некоторые другие приложения и библиотеки под Android;Java middleware для веб-сервисов, включая Apache Axis, Axis 2, Codehaus XFire и библиотеку Pusher для Android, а также все приложения, которые используют перечисленное middleware.

В качестве примера безалаберности можно привести фрагмент исходного кода банковского приложения Chase.

public final void checkServerTrusted(X509Certificate[]
paramArrayOfX509Certificate, String paramString)
{
if ((paramArrayOfX509Certificate != null) && (
paramArrayOfX509Certificate.length == 1))
paramArrayOfX509Certificate[0].checkValidity();
while (true)
{
return;
this.a.checkServerTrusted(
paramArrayOfX509Certificate, paramString);
}
}

Любое SSL-соединение, установленное каждой из перечисленных программ, не является безопасным. Ключевая проблема лежит не столько в низкой квалификации разработчиков, сколько в плохом дизайне программных интерфейсов для реализации SSL (таких как JSSE, OpenSSL и GnuTLS) и библиотек для передачи данных (таких как cURL). Эти API и библиотеки сложны для обычного программиста, предлагая ему слишком путаный набор настроек и опций.

Например, в cURL есть несколько параметров для CURL_SSL_VERIFYHOST. Параметр VERIFYHOST=0 интуитивно понятен: он отключает проверку сертификата. Параметр VERIFYHOST=2 выполняет корректную проверку и сверяет имя хоста, указанное в сертификате, с именем хоста, который предъявляет сертификат. А вот параметрVERIFYHOST=1 (VERIFYHOST=TRUE) делает нечто очень странное: он проверяет, что сертификат принадлежит какому-то хосту, а затем принимает его от любого хоста. Понятно, что многие программисты не ожидали от cURL такой «подставы». Кстати, разработчик cURL Дэниел Стенберг вчера уже высказался по этому поводу. Ему после 10+ лет работы над cURL очень обидно слышать подобные обвинения, тем более что за все эти годы никто ни разу не предлагал изменить параметры для CURL_SSL_VERIFYHOST.

По результатам анализа ситуации с реализацией SSL в различных приложениях Шматиков с коллегами выработали ряд рекомендаций, в том числе они рекомендуют использовать специальное программное обеспечение для проверки корректности программного кода и пентестинга: например, программа TLSPretense. Есть также чёткая инструкция, как реализовать проверку SSL-сертификатов с помощью OpenSSL и репозиторий примеров правильного кода SSL Conservatory.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 02 Апреля 2026 - 11:06

Трояны Домашние пользователи Персональный VPN Анонимайзеры

Под видом VPN и прокси россиянам всё чаще подсовывают зловреды

Тема обхода блокировок в интернете стала одной из самых популярных у организаторов атак. Вредоносные приложения, чаще всего инфостилеры, нацеленные на кражу данных, а также майнеры криптовалют злоумышленники маскируют под VPN, «ускорители» различных сервисов или альтернативные клиенты для мессенджеров.

По оценкам основателя компании «Интернет-розыск» Игоря Бедерова, которые он привёл в комментарии для «Известий», по итогам января-февраля 2026 года число таких кибератак выросло на 38%. Всего, по его данным, было зафиксировано около 4800 подобных эпизодов.

Почти половина таких атак — 46% — происходила через мессенджеры. Довольно распространёнными каналами также остаются электронная почта (28%) и соцсети (18%). Как отмечает эксперт, злоумышленники в ходе различных обсуждений предлагают воспользоваться «патчем», «настройкой от оператора» или «альтернативным приложением», однако на деле всё это оказывается вредоносным ПО.

Эксперт Kaspersky GReAT Леонид Безвершенко добавил, что давно известный стилер Arcane, который раньше распространялся под видом утилиты для мошенничества в играх, теперь продвигается как средство обхода ограничений. Этот зловред представляет собой инфостилер, который крадёт логины и пароли, данные банковских карт, информацию из браузеров и криптокошельков.

«Зафиксировано не менее двадцати видеороликов с рекламой такого ПО, суммарно набравших десятки тысяч просмотров. Параллельно в марте была выявлена кампания по распространению скрытого майнера SilentCryptoMiner, который устанавливается на компьютер пользователя и использует его ресурсы для добычи криптовалют. При этом заражение зачастую происходит незаметно: вредонос маскируется под полезный инструмент, а сам процесс установки сопровождается имитацией «загрузки» нужного приложения», — рассказал Леонид Безвершенко.

Аналитик Positive Technologies Анна Вяткина назвала эти кампании типичным примером социоинженерных атак. По её словам, злоумышленники эксплуатируют, с одной стороны, желание пользователей сохранить доступ к привычным сервисам, а с другой — их техническую неграмотность.

«В результате даже очевидно сомнительные предложения, такие как «автономная работа мессенджера» или «полный доступ без ограничений», находят свою аудиторию. Помимо распространения вредоносного ПО через видеохостинги, широко используются фишинговые ссылки с предложениями бесплатных VPN и прокси, которые дают злоумышленникам доступ к аккаунтам, сообщениям и банковским приложениям», — уточнила Анна Вяткина.

Ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров отметил, что количество таких атак резко выросло после 10 февраля, когда было объявлено о замедлении Telegram. Как правило, речь шла об использовании ботов, предназначенных для угона аккаунтов или установки программных зловредов. Встречались и более сложные схемы, связанные с установкой VPN или активацией «анонимных» режимов. В итоге всё часто заканчивалось блокировкой устройства и требованием денег за восстановление его работоспособности.

По оценкам руководителя Smart Business Alert компании «ЕСА ПРО» Сергея Трухачева, с середины февраля тема блокировок стала для мошенников ключевым триггером. Так, только в марте появилось не менее 150 вредоносных ресурсов, эксплуатировавших тему обхода блокировок. На них пользователям предлагали фейковые VPN или якобы «офлайновые» версии популярных онлайн-игр.

«Параллельно распространяется фишинг под видом «официальных решений»: через взломанные аккаунты пользователям отправляют ссылки на «голосования» или конкурсы, ведущие на поддельные страницы Telegram, где предлагается подключить прокси. На практике это используется для перехвата кода подтверждения и угона аккаунта», — добавил Сергей Трухачев.

По мнению экспертов, распространение подобных схем будет только усиливаться. Главной защитой в этой ситуации остаётся критическое отношение к любым предложениям «обойти» ограничения, особенно если речь идёт об установке стороннего ПО или вводе данных на неизвестных ресурсах.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!