WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi SSL trong Intel Crosswalk đặt các ứng dụng trước nguy cơ bị tấn công MitM
Intel vừa công bố bản cập nhật cho framework Crosswalk, khắc phục lỗ hổng nghiêm trọng có thể bị lợi dụng để tấn công man-in-the-middle (MitM) các ứng dụng di động.
Dự án Crosswalk của Intel cho phép lập trình viên sử dụng cùng một dữ liệu code để viết các ứng dụng mobile chạy trên nhiều nền tảng. Crosswalk tương thích với Apache Cordova, Android, iOS và Windows, được sử dụng trong nhiều ứng dụng gồm cả các ứng dụng có tới hàng triệu lượt tải.
Khi kiểm tra một ứng dụng có tên FastMai cho Android, nhà nghiên cứu của Nightwatch Cybersecurity đã phát hiện ra lỗi chứng thực SSL của Crosswalk trên Android.
Khi chứng chỉ SSL tự ký hoặc không có giá trị được dùng để giao tiếp với máy chủ, một tin nhắn lỗi sẽ hiển thị và người dùng được yêu cầu cho phép hoặc từ chối chứng chỉ này. Nếu người dùng cho phép lần này, thì mặc định các chứng chỉ SSL khác cũng sẽ được cho phép mà không cần kiểm tra.
“Nếu người dùng cho phép chứng chỉ, chọn lựa này sẽ được ghi nhớ, sau đó tất cả các yêu cầu tiếp theo với các chứng chỉ SSL không có giá trị đều được ứng dụng chấp nhận mà không cần kiểm tra lại. Việc này áp dụng ngay cả với các kết nối qua các WiFi hotspot khác nhau và các chứng chỉ khác nhau,” Nightwatch Cybersecurity giải thích.
Lỗi này cho phép hacker thiết lập tấn công MitM và lấy thông tin nhạy cảm được truyền qua ứng dụng dùng chứng chỉ SSL không có giá trị.
Lỗi CVE-2016-5672 đã được thông báo cho Intel và Trung tâm điều phối CERT (CERT/CC) vào cuối tháng 5. Intel đã vá lỗ hổng này tuần trước cùng với việc công bố phiên bản 19.49.514.5 (stable), 20.50.533.11 (beta), 21.51.546.0 (beta) và 22.51.549.0 (canary). Intel và CERT/CC đều đã đưa ra khuyến cáo cho người dùng.
Dự án Crosswalk của Intel cho phép lập trình viên sử dụng cùng một dữ liệu code để viết các ứng dụng mobile chạy trên nhiều nền tảng. Crosswalk tương thích với Apache Cordova, Android, iOS và Windows, được sử dụng trong nhiều ứng dụng gồm cả các ứng dụng có tới hàng triệu lượt tải.
Khi chứng chỉ SSL tự ký hoặc không có giá trị được dùng để giao tiếp với máy chủ, một tin nhắn lỗi sẽ hiển thị và người dùng được yêu cầu cho phép hoặc từ chối chứng chỉ này. Nếu người dùng cho phép lần này, thì mặc định các chứng chỉ SSL khác cũng sẽ được cho phép mà không cần kiểm tra.
“Nếu người dùng cho phép chứng chỉ, chọn lựa này sẽ được ghi nhớ, sau đó tất cả các yêu cầu tiếp theo với các chứng chỉ SSL không có giá trị đều được ứng dụng chấp nhận mà không cần kiểm tra lại. Việc này áp dụng ngay cả với các kết nối qua các WiFi hotspot khác nhau và các chứng chỉ khác nhau,” Nightwatch Cybersecurity giải thích.
Lỗi này cho phép hacker thiết lập tấn công MitM và lấy thông tin nhạy cảm được truyền qua ứng dụng dùng chứng chỉ SSL không có giá trị.
Lỗi CVE-2016-5672 đã được thông báo cho Intel và Trung tâm điều phối CERT (CERT/CC) vào cuối tháng 5. Intel đã vá lỗ hổng này tuần trước cùng với việc công bố phiên bản 19.49.514.5 (stable), 20.50.533.11 (beta), 21.51.546.0 (beta) và 22.51.549.0 (canary). Intel và CERT/CC đều đã đưa ra khuyến cáo cho người dùng.
Theo: Security Week