Используемый спецслужбами инструмент для шпионажа содержит серьезные уязвимости

Сомнительный инструмент для шпионажа под названием E-Detective, который использует более сотни правительственных спецслужб и правоохранительных ведомств содержит серьезные уязвимости, эксплуатация которых позволяет злоумышленникам выполнить произвольный код и получить доступ к важной информации.

Бреши в программном обеспечении были обнаружены студентом университета Кингс-колледж (King’s College London) Мустафой аль-Бассамом (Mustafa al-Bassam).

Инструмент, разработчиком которого является тайваньская компания Decision Group, позволяет осуществлять наблюдение за пользователями компьютерных и мобильных сетей и перехватывать данные, в том числе логины и пароли на различных сервисах, таких как Google Gmail, Twitter, Facebook и даже банковских web-сайтах.

По словам Мустафы аль-Бассама, скрипт «common/download.php» в корневом каталоге позволяет неавторизованному пользователю прочитать произвольные файлы на системе, в том числе базу учетных данных и перехваченную информацию.

Эксплуатация второй бреши позволяет удаленно выполнить код и изменить системные файлы. Демонстрационный пример (proof-of-concept) обнаруженных уязвимостей специалист опубликовал на портале GitHub.

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы