В защищенном браузере «Касперского» для iOS обнаружили опасную уязвимость

В мобильном браузере Kaspersky Safe обнаружена опасная уязвимость, позволяющая злоумышленникам перехватывать логины, пароли и другие персональные данные пользователей. Приложение от российской «Лаборатории Касперского» предназначено для выявления и блокировки вредоносных веб-сайтов и доступно для смартфонов iPhone и планшетов iPad.

Safe-3

Эксперт в области информационной безопасности Дэвид Кумбер обнаружил опасную уязвимость в Kaspersky Safe Browser. Баг позволяет злоумышленнику похищать персональные данные пользователя.

Как выяснилось, «безопасный» обозреватель не проверяет SSL-сертификаты, полученные при подключении к защищенным сайтам. Уязвимость (CVE-2016-6231) позволяет злоумышленнику осуществить атаку «человек посередине». По словам Кумбера, атакующий может подделать SSL-сертификат для защищенного сайта, который приложение будет принимать по умолчанию. Таким образом злоумышленник может с легкостью перехватить данные, передаваемые между приложением и сервером. В руках атакующего могут оказаться логин и пароль пользователя.

Safe-1

«Хакер может провести атаку «человек посередине», предоставив браузеру поддельный сертификат SSL, который приложение примет. Далее перехватчик может получить доступ к логинам, паролям и другим персональным данным пользователя без его ведома», — рассказал эксперт.

Kaspersky Safe Browser позиционируется разработчиками как бесплатный браузер для безопасного серфинга в Интернете на iPhone, iPad и iPod touch. Программа защищает от перехода на зараженные и мошеннические сайты, а также позволяет отфильтровать нежелательные категории сайтов.

Safe-2

23 июня 2016 года Кумбер уведомил об уязвимости программы «Лабораторию Касперского». Спустя четыре дня компания подтвердила в ответном письме наличие бреши безопасности, а через месяц выпустила версию браузера 1.7.0, в которой данная уязвимость устранена.

По заявлению экспертов «Лаборатории», уязвимость может быть проэксплуатирована в том случае, если пользователь откроет вредоносную HTTPS-ссылку, которая не определяется антифишинговым или антивирусным фильтрами, встроенными в приложение.

Источник: MacDigger.ru

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.


3 комментария

  • Сейчас набегут школьники кричать "кококо касперский г-но. ничего не защищает". В реальной жизни эту уязвимость крайне сложно эксплуатировать.