21.09.2014, 09:56
Portal "The Hacker News" opublikował wczoraj informację na temat groźnej luki wykrytej w usłudze znanego producenta zabezpieczeń - Aviry. Podatność dotyczy aplikacji internetowej Secure Backup, a jest na tyle groźna, że może doprowadzić do przejęcia przez atakującego danych milinów użytkowników zgromadzonych na serwerach usługodawcy. Odkrycia dokonał 16-letni badacz z Egiptu Mazen Gamal, który ma już na koncie spektakularne odkrycie
Gamal poinformował o luce Avirę pod koniec sierpnia jeszcze i ta naprawiła błąd na stronie eliminujący podatność, natomiast sama usługa online wciąż jest podatna dopóki Avira nie naprawi warstwy deszyfrowania haseł.
[Aby zobaczyć linki, zarejestruj się tutaj]
, a odkryta podatność dotyczy ataku typu CSRF ([Aby zobaczyć linki, zarejestruj się tutaj]
), który umożliwia przechwycenie konta użytkownika na serwerze online (jak właśnie backup w chmurze) i potem dostęp do danych.Gamal poinformował o luce Avirę pod koniec sierpnia jeszcze i ta naprawiła błąd na stronie eliminujący podatność, natomiast sama usługa online wciąż jest podatna dopóki Avira nie naprawi warstwy deszyfrowania haseł.
Cytat: CSRF VULNERABILITY TO ACCOUNT TAKEOVERŹródło
Cross-Site Request Forgery (CSRF or XSRF) is a method of attacking a Web site in which an intruder masquerades as a legitimate and trusted user. All the attacker need to do is get the target browser to make a request to your website on their behalf by convincing the victim to click on a specially crafted HTML exploit page.
Basically, an attacker will use CSRF exploit to trick a victim into accessing a URL link that contains malicious requests which will replace victim’s email ID on Avira account with attacker’s email ID, compromising victim’s account in just one click, explained Gamal.
VICTIM BACKUP FILES
After replacing the email address, an attacker can easily reset the password of victim’s account through forget password option, as it will send the password reset link to attacker’s email ID only.
Once hijacked, the attacker would be able to retrieve all the online backup files the victim have on his/her AVIRA account by simply using the same credentials to login into the user’s Online backup Software or at[Aby zobaczyć linki, zarejestruj się tutaj]
.
Cytat:“I found a CSRF vulnerability in Avira can lead me to full account takeover of any Avira user account,” Gamal said via an email to The Hacker News. “The impact of the account takeover allowed me to Open the Backup files of the victim and also view the license codes for the affected user.”
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
