Используемый спецслужбами инструмент для шпионажа содержит серьезные уязвимости

19.06.2015 | 14:41
Сомнительный инструмент для шпионажа под названием E-Detective, который использует более сотни правительственных спецслужб и правоохранительных ведомств содержит серьезные уязвимости, эксплуатация которых позволяет злоумышленникам выполнить произвольный код и получить доступ к важной информации. Бреши в программном обеспечении были обнаружены студентом университета Кингс-колледж (King's College London) Мустафой аль-Бассамом (Mustafa al-Bassam).

Инструмент, разработчиком которого является тайваньская компания Decision Group, позволяет осуществлять наблюдение за пользователями компьютерных и мобильных сетей и перехватывать данные, в том числе логины и пароли на различных сервисах, таких как Google Gmail, Twitter, Facebook и даже банковских web-сайтах.

По словам Мустафы аль-Бассама, скрипт "common/download.php" в корневом каталоге позволяет неавторизованному пользователю прочитать произвольные файлы на системе, в том числе базу учетных данных и перехваченную информацию. Эксплуатация второй бреши позволяет удаленно выполнить код и изменить системные файлы. Демонстрационный пример (proof-of-concept) обнаруженных уязвимостей специалист опубликовал на портале GitHub.
уязвимость, шпионаж, компрометация
По материалам http://www.securitylab.ru/news/473368.php
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код