SIMonline

Сервис приема & отправки SMS

Множество уязвимостей, обнаруженных в технологии Java Card от Oracle

34   |     /   Security
Множество уязвимостей, обнаруженных в технологии Java Card от Oracle
Технология Java Card от Oracle разработана для обеспечения безопасной среды для приложений, работающих на смарт-картах, SIM-картах, встроенных защищенных элементах и ​​других доверенных устройствах, которые имеют ограниченные возможности памяти и обработки. Oracle утверждает, что технология внедряется почти на шести миллиардах устройств в год, в том числе в финансовом, телекоммуникационном и государственном секторах.



Для сохранения в безопасности своей сим карты и защиты от возможных вредоносных смс, поможет виртуальная сим карта на нашем сайте SIMonline.

Исследователи безопасности говорят, что обнаружили 18 уязвимостей в эталонной реализации Java Card от Oracle, наряду с одним недостатком, характерным для смарт-карт, созданных Gemalto, чьи продукты используют технологию Java Card. Недостатки были воспроизведены на 3G-картах Gemalto 3G USIMERA Prime и GemXplore 3G V3.0-256K, а также на программном обеспечении Java Card 3.1, которое Oracle выпустило в январе 2019 года.

Уязвимости Oracle Java Card. 
По словам компании, эти уязвимости можно использовать для «нарушения безопасности памяти базовой Java Card VM» и получения полного доступа к памяти карты, взлома межсетевого экрана апплета и, возможно, даже достижения выполнения собственного кода. Виртуальная машина Java Card должна обычно защищать среду карты и приложения от вредоносных апплетов.

Однако эксплуатация недостатков, которая включает в себя загрузку вредоносного апплета на целевую карту, требует знания ключей шифрования, используемых эмитентом карты, или использования какого-либо другого метода, который может включать уязвимости в операционной системе карты, установленных приложениях или выставленные интерфейсы.

«Эти сценарии нельзя исключать, как это было показано в прошлом», - сказал Адам Говдиак, генеральный директор и основатель Security Explorations, SecurityWeek. «В 2013 году Карстен Нол обнаружил криптографическую уязвимость, затрагивающую широкий спектр SIM-карт, которая позволила удаленно обнаруживать ключи, необходимые для загрузки Java-апплетов в карты (также с удаленного компьютера). В 2015 году появились сообщения о предполагаемом взломе Gemalto (крупного производителя SIM-карт) со стороны NSA и GCHQ. Взломы спецслужб, очевидно, были направлены на криптографические ключи SIM-карт Gemalto».

Гоудиак говорит, что хотя нет причин для паники, влияние недостатков Java-карт, обнаруженных его компанией, станет более серьезным, если кто-то найдет простой способ развертывания приложений Java на SIM-картах - либо удаленно через NFC, либо с помощью используемых SMS-сообщений. с помощью инструментария SIM-карты или интерфейсов управления устройством или физического доступа к SIM-карте.

Описывая сценарии теоретической атаки, Гаудиак объяснил: «В худшем случае можно представить себе вредоносное приложение Java, которое изменяет целевые операции с картами (банковские, телекоммуникационные или идентификационные данные) таким образом, что на карту может быть установлен скрытый и постоянный бэкдор. Наш анализ отобранных SIM-карт от Gemalto показывает, что разработка такого бэкдора должна быть возможной».

«Что касается банковских карт / транспортных карт, существует вероятность того, что вредоносный апплет может помешать платежам, осуществляемым с использованием карты, или получить доступ к внедренным в нее секретным ключам», - добавил он.

Исследование безопасности предоставило только краткое описание влияния своих результатов, но считает, что эта работа может проложить путь для будущих исследований в этой области.

Исследователи службы безопасности, отправили свои выводы в Oracle и Gemalto 20 марта, и обе компании подтвердили получение отчета. Гоудиак говорит, что его компания не предоставляет поставщикам определенный срок выпуска исправлений до того, как будут раскрыты подробности об уязвимостях, учитывая, что некоторые проблемы, особенно те, которые влияют на архитектуру продукта, могут занять значительное время для их устранения. Однако компания ожидает, что поставщики подтвердят или опровергнут существование проблем и предоставят периодические отчеты о состоянии.

Похожие новости


Facebook платит 10 000$ за DoS-ошибку в библиотеке Fizz TLS

Хотя программа вознаграждений за ошибки в Facebook обычно не покрывает уязвимости, связанные с отказом в обслуживании (DoS), гигант социальных сетей решил присудить значительную награду за серьезный недостаток, связанный с Fizz, его TLS-библиотекой с открытым исходным кодом.

Борьба с огнем: риски автоматизации API

Рассмотрим тенденции атак API, такие как текущие (и неудачные) архитектурные решения для обеспечения безопасности этих транзакций API.

Троян SpeakUp угроза Linux серверу

Исследователи полагают, что новый троян может стать катализатором предстоящего крупного кибер-наступления, вооруженного впечатляющим пакетом эксплойтов и других уловок для распространения.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2019

All rights reserved