You are hereГруппы / Безопасность / Обнаружены множественные уязвимости в Smartphone Pentest Framework
Обнаружены множественные уязвимости в Smartphone Pentest Framework
Обнаруженные уязвимости позволяют удаленному пользователю получить полный контроль на системой пентестера.
Компания High-Tech Bridge опубликовала уведомление безопасности, описывающее множественные уязвимости в Smartphone Pentest Framework (SPF) – продукте, предназначенном для поиска уязвимостей в смартфонах.
Smartphone Pentest Framework был представлен в этом году на конференциях Blackhat, Defcon, Bsides и получил грант DARPA Cyber Fast Track на развитие перспективного проекта.
Обнаруженные уязвимости позволяют удаленному пользователю произвести CSRF нападение, получить доступ к важным данным, выполнить произвольные SQL команды в базе данных приложения и выполнить произвольные команды на системе. Наличие небезопасных прав доступа к файлам позволяет локальному пользователю повысить свои привилегии на системе.
Анализ исходного кода проекта показал, что разработчики не внедрили ни одного механизма безопасности для защиты приложения от возможных атак. Какая-либо фильтрация входных данных отсутствует полностью, что и является причиной такого огромного количества найденных уязвимостей. Совместно с описанием уязвимостей, исследователи опубликовали также PoC коды с примерами эксплуатации, которые демонстрируют, насколько легко можно получить контроль над уязвимой системой посредством взаимодействия с пользователем (используя CSRF нападение) и без такового вообще.
В настоящий момент уязвимости не устранены производителем. Более того, производитель отказался от поддержки этого продукта.
SecurityLab рекомендует своим читателям отказаться от использования Smartphone Pentest Framework или запускать его в изолированной среде.
securitylab.ru
Отправить комментарий