dodany: 27.07.2012 | tagi: , , , ,

Autor:

Nowy rodzaj ataku może siać spustoszenie na telefonach z Androidem i iOS

1

Jeśli używasz telefonu z Androidem lub iOS i łączysz się za pomocą Wi-Fi z Microsoft Exchange Server (MES), podpisanego certyfikatem self-signed, możesz być narażony na ataki.

Samodzielnie podpisane certyfikaty są obecnie często stosowane do zabezpieczania wielu usług sieciowych. Jako że są łatwe do wygenerowania przez użytkowników, zdarzają się pomyłki, jak np. wygenerowanie dwóch, tak samo podpisanych, certyfikatów. Certyfikaty self-signed mogą stać się też przyczyną ataków na telefony z Androidem bądź iOS. Obecnie, jeśli łączymy się za ich pomocą z serwerem pocztowym Microsoft Exchange, chronionym za pomocą certyfikatu SSL self-signed, możemy zostać połączeni z nim nawet wtedy, gdy będzie podpisany sfałszowanym certyfikatem. A wtedy już krok od katastrofy.

Specjaliści twierdzą, że przyczynę tego stanowi nieprzystosowanie urządzeń mobilnych do radzenia sobie z SSL-ami. Producenci powinni zadbać o to, aby użytkownicy na ekranach swoich telefonów mogli zobaczyć informację, że nie mogą połączyć się z serwerem ME, ponieważ jest podpisany za pomocą sfałszowanego/błędnego certyfikatu SSL.

Badacz bezpieczeństwa, Peter Hannay, opracował atak z użyciem Wi-Fi i nieautoryzowanego serwera z certyfikatem self-signed. Stwierdził, że urządzenia, które na ogół regularnie łączą się z serwerem Microsoft Exchange, mogą bez problemu połączyć się z serwerem-oszustem, który następnie może przechwycić wszystkie informacje, jakie użytkownik przesyła do serwera pocztowego (a przynajmniej tak mu się wydaje).

Certyfikaty SSL w serwerach Exchange stosuje się po to, by uniemożliwiać ataki typu man-in-the-middle. Urządzenia mobilne są zaprogramowane tak, aby łączyć się z serwerami ME tylko wtedy, gdy wykryją, że są one podpisane certyfikatem za pomocą klucza kryptograficznego poświadczającego autentyczność usługi. Czasem jednak zdarzają się wypadki.

Urządzenia z Androidem, które łączą się z serwerem pocztowym Exchange, podpisanym certyfikatem self-signed, mogą połączyć się z nim za każdym razem, nawet jeśli certyfikat SSL został sfałszowany lub zawiera nieprawdziwe dane. Testy na urządzeniach z iOS wypadły trochę lepiej. Telefony od Apple’a mogą wygenerować odpowiednie ostrzeżenie, ale nie uniemożliwiają użytkownikom dalszych ruchów.  W przeciwieństwie do telefonów Microsoft Windows, które pokazują błąd i odmawiają jakiejkolwiek transmisji danych do serwera pocztowego.

A może być naprawdę groźnie.

Według skryptu, który napisał Hannay, podczas łączenia się telefonu z nieautoryzowanym serwerem pojawia się komenda zdalnego usunięcia zawartości i przywrócenia wszystkich ustawień fabrycznych. Złośliwi hakerzy mogą wykorzystać błąd do kradzieży danych użytkowników, służących np. do logowania się do ich kont. „To naprawdę proste” – dodał Hannay.

Zagrożenie jest o tyle poważne, że w wielu, zwłaszcza mniejszych przedsiębiorstwach, zamiast certyfikatów wydawanych przez zaufane centra certyfikacji, używa się wciąż uwierzytelnienia tego typu.

Źródło: http://bit.ly/OY5F66

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Jedna odpowiedź do “Nowy rodzaj ataku może siać spustoszenie na telefonach z Androidem i iOS”

  1. I most certainly will at once get your current feed after i can’t to discover the e-mail request backlink and also e-newsletter services. Have every? Nicely allow for my family know to ensure I can join. Many thanks.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *