Используемый спецслужбами инструмент для шпионажа содержит серьезные уязвимости
🕛 19.06.2015, 05:04
Эксплуатация брешей позволяет выполнить произвольный код и получить доступ к важным данным. Сомнительный инструмент для шпионажа под названием E-Detective, который использует более сотни правительственных спецслужб и правоохранительных ведомств содержит серьезные уязвимости, эксплуатация которых позволяет злоумышленникам выполнить произвольный код и получить доступ к важной информации. Бреши в программном обеспечении были обнаружены студентом университета Кингс-колледж (King's College London) Мустафой аль-Бассамом (Mustafa al-Bassam).
Инструмент, разработчиком которого является тайваньская компания Decision Group, позволяет осуществлять наблюдение за пользователями компьютерных и мобильных сетей и перехватывать данные, в том числе логины и пароли на различных сервисах, таких как Google Gmail, Twitter, Facebook и даже банковских web-сайтах.
По словам Мустафы аль-Бассама, скрипт "common/download.php" в корневом каталоге позволяет неавторизованному пользователю прочитать произвольные файлы на системе, в том числе базу учетных данных и перехваченную информацию. Эксплуатация второй бреши позволяет удаленно выполнить код и изменить системные файлы. Демонстрационный пример (proof-of-concept) обнаруженных уязвимостей специалист опубликовал на портале GitHub.