Ответить на комментарий


Обнаружены множественные уязвимости в Smartphone Pentest Framework

By yuliya - Posted on 15 ноября 2012

Картинка: 
уязвимость,  пентест,  High-Tech Bridge,  Smartphone Pentest Framework

Обнаруженные уязвимости позволяют удаленному пользователю получить полный контроль на системой пентестера.

Компания High-Tech Bridge опубликовала уведомление безопасности, описывающее множественные уязвимости в Smartphone Pentest Framework (SPF) – продукте, предназначенном для поиска уязвимостей в смартфонах.

Smartphone Pentest Framework был представлен в этом году на конференциях Blackhat, Defcon, Bsides и получил грант DARPA Cyber Fast Track на развитие перспективного проекта.

Обнаруженные уязвимости позволяют удаленному пользователю произвести CSRF нападение, получить доступ к важным данным, выполнить произвольные SQL команды в базе данных приложения и выполнить произвольные команды на системе. Наличие небезопасных прав доступа к файлам позволяет локальному пользователю повысить свои привилегии на системе.

Анализ исходного кода проекта показал, что разработчики не внедрили ни одного механизма безопасности для защиты приложения от возможных атак. Какая-либо фильтрация входных данных отсутствует полностью, что и является причиной такого огромного количества найденных уязвимостей. Совместно с описанием уязвимостей, исследователи опубликовали также PoC коды с примерами эксплуатации, которые демонстрируют, насколько легко можно получить контроль над уязвимой системой посредством взаимодействия с пользователем (используя CSRF нападение) и без такового вообще.

В настоящий момент уязвимости не устранены производителем. Более того, производитель отказался от поддержки этого продукта.

SecurityLab рекомендует своим читателям отказаться от использования Smartphone Pentest Framework или запускать его в изолированной среде.

securitylab.ru

Ответить

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 66 гостей.

Последние комментарии