SIMonline © 2019

Работаем с interkassa Мы принимаем WebMoney
SIMonline - Virtual sim cards online
info: Доступна отправка SMS!

Множество уязвимостей, обнаруженных в технологии Java Card от Oracle

Множество уязвимостей, обнаруженных в технологии Java Card от Oracle


Технология Java Card от Oracle разработана для обеспечения безопасной среды для приложений, работающих на смарт-картах, SIM-картах, встроенных защищенных элементах и ​​других доверенных устройствах, которые имеют ограниченные возможности памяти и обработки. Oracle утверждает, что технология внедряется почти на шести миллиардах устройств в год, в том числе в финансовом, телекоммуникационном и государственном секторах.

Для сохранения в безопасности своей сим карты и защиты от возможных вредоносных смс, поможет виртуальная сим карта на нашем сайте SIMonline.

Исследователи безопасности говорят, что обнаружили 18 уязвимостей в эталонной реализации Java Card от Oracle, наряду с одним недостатком, характерным для смарт-карт, созданных Gemalto, чьи продукты используют технологию Java Card. Недостатки были воспроизведены на 3G-картах Gemalto 3G USIMERA Prime и GemXplore 3G V3.0-256K, а также на программном обеспечении Java Card 3.1, которое Oracle выпустило в январе 2019 года.

Уязвимости Oracle Java Card. 
По словам компании, эти уязвимости можно использовать для «нарушения безопасности памяти базовой Java Card VM» и получения полного доступа к памяти карты, взлома межсетевого экрана апплета и, возможно, даже достижения выполнения собственного кода. Виртуальная машина Java Card должна обычно защищать среду карты и приложения от вредоносных апплетов.

Однако эксплуатация недостатков, которая включает в себя загрузку вредоносного апплета на целевую карту, требует знания ключей шифрования, используемых эмитентом карты, или использования какого-либо другого метода, который может включать уязвимости в операционной системе карты, установленных приложениях или выставленные интерфейсы.

«Эти сценарии нельзя исключать, как это было показано в прошлом», - сказал Адам Говдиак, генеральный директор и основатель Security Explorations, SecurityWeek. «В 2013 году Карстен Нол обнаружил криптографическую уязвимость, затрагивающую широкий спектр SIM-карт, которая позволила удаленно обнаруживать ключи, необходимые для загрузки Java-апплетов в карты (также с удаленного компьютера). В 2015 году появились сообщения о предполагаемом взломе Gemalto (крупного производителя SIM-карт) со стороны NSA и GCHQ. Взломы спецслужб, очевидно, были направлены на криптографические ключи SIM-карт Gemalto».

Гоудиак говорит, что хотя нет причин для паники, влияние недостатков Java-карт, обнаруженных его компанией, станет более серьезным, если кто-то найдет простой способ развертывания приложений Java на SIM-картах - либо удаленно через NFC, либо с помощью используемых SMS-сообщений. с помощью инструментария SIM-карты или интерфейсов управления устройством или физического доступа к SIM-карте.

Описывая сценарии теоретической атаки, Гаудиак объяснил: «В худшем случае можно представить себе вредоносное приложение Java, которое изменяет целевые операции с картами (банковские, телекоммуникационные или идентификационные данные) таким образом, что на карту может быть установлен скрытый и постоянный бэкдор. Наш анализ отобранных SIM-карт от Gemalto показывает, что разработка такого бэкдора должна быть возможной».

«Что касается банковских карт / транспортных карт, существует вероятность того, что вредоносный апплет может помешать платежам, осуществляемым с использованием карты, или получить доступ к внедренным в нее секретным ключам», - добавил он.

Исследование безопасности предоставило только краткое описание влияния своих результатов, но считает, что эта работа может проложить путь для будущих исследований в этой области.

Исследователи службы безопасности, отправили свои выводы в Oracle и Gemalto 20 марта, и обе компании подтвердили получение отчета. Гоудиак говорит, что его компания не предоставляет поставщикам определенный срок выпуска исправлений до того, как будут раскрыты подробности об уязвимостях, учитывая, что некоторые проблемы, особенно те, которые влияют на архитектуру продукта, могут занять значительное время для их устранения. Однако компания ожидает, что поставщики подтвердят или опровергнут существование проблем и предоставят периодические отчеты о состоянии.


2019-03-25 16:31:32


<<- Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

Ошибки безопасности в инструменте Huawei ->>