Η Kaspersky επιδιόρθωσε σφάλμα που επηρέαζε 400 εκατ. χρήστες

Η Kaspersky διόρθωσε ένα σφάλμα επικύρωσης πιστοποιητικών στο λογισμικό της που επηρέαζε 400 χρήστες.

Ανακαλύφθηκε από επίμονο bug-hunter Tavis Ormandy της Google. Το ελάττωμα έγκειται στο πώς το antivirus της εταιρείας επιθεωρεί την κρυπτογραφημένη .Kaspersky

Δεδομένου ότι αποκρυπτογραφεί την κυκλοφορία πριν από την επιθεώρηση, το Κaspersky παρουσιάζει τα πιστοποιητικά της σαν μια αξιόπιστη αρχή (trusted authority). Εάν ένας χρήστης ανοίξει το Google στο πρόγραμμα περιήγησής του, για παράδειγμα, το πιστοποιητικό θα φαίνεται να προέρχεται από το Kaspersky Anti-Virus Root.

Το πρόβλημα που εντόπισε ο Ormandy είναι ότι τα εσωτερικά πιστοποιητικά ήταν απίστευτα αδύναμα.

“Καθώς δημιουργούνται τα νέα πιστοποιητικά και τα κλειδιά, εισέρχονται χρησιμοποιώντας τα πρώτα 32 bits του 3MD5(serialNumber||issuer) σαν κλειδί … Δεν χρειάζεται να είσαι κρυπτογράφος για να καταλάβεις ότι ένα κλειδί 32bit δεν είναι αρκετό για την πρόληψη επιθέσεων brute-force”, αναφέρει ο ερευνητής.

Για την αναφορά σφάλματος ο Ormandy έδωσε ένα PoC ς πιστοποιητικών μεταξύ του Hacker News και του manchesterct.gov:

“Εάν χρησιμοποιείτε το Κaspersky Antivirus στο Manchester, και αναρωτιέστε γιατί το Hacker News δεν λειτουργεί μερικές φορές, είναι επειδή μια κρίσιμη απενεργοποίησε την επικύρωση πιστοποιητικών SSL σε 400 εκατομμύρια χρήστες του Kaspersky.”

Η Κaspersky φέρεται να επιδιόρθωσε το σφάλμα στις 28 Δεκεμβρίου.

Κaspersky: SSL interception differentiates certificates with a 32bit hash

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.085 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).