Категория > Новости > Инженеры Yubico получили 5000 долларов от Google, сообщив о баге, найденном другими специалистами - «Новости»
Инженеры Yubico получили 5000 долларов от Google, сообщив о баге, найденном другими специалистами - «Новости»20-06-2018, 17:00. Автор: Erickson |
В минувшие выходные ИБ-специалист Маркус Вервье (Marcus Vervier) и его коллега Мишель Орру (Michele Orru) опубликовали рассказ о том, как разработчики Yubico скопировали их исследовательскую работу об уязвимости, которая позволяла злоумышленникам похищать чужие коды двухфакторной аутентификации. В феврале 2018 года исследователи рассказывали об этой проблеме на конференции OffensiveCon, и их доклад можно увидеть ниже. Суть проблемы заключается в следующем. USB-токен YubiKey, производства компании Yubico, может быть зарегистрирован, например, для аккаунта Facebook. То есть каждый раз, когда пользователю нужно залогиниться в социальную сеть, он набирает пароль, подключает к машине YubiKey и нажимает специальную кнопку на нем, после чего осуществляется безопасный вход в учетную запись. При этом YubiKey осуществит передачу токена двухфакторной аутентификации лишь после того, как убедится, что браузер действительно открыт на странице facebook.com. Для верификции запрашиваемого сайта используется протокол U2F. Специалисты обнаружили, что обмануть процедуру двухфакторной аутентификации можно при помощи WebUSB. Данный проект, представленный инженерами Google в 2016 году, призван помочь любым USB-девайсам, будь то мышь, камера, флешка или что-то еще, беспрепятственно общаться с веб-страницами. Исследователи научились создавать специальный веб-страницы, который выдавали себя за легитимные сайты (такие как facebook.com) и все равно могли получать информацию от YubiKey. Фактически такие фишинговые ресурсы могли использоваться для выманивания у жертвы ее логина, пароля, а также кода двухфакторной аутентификации. Стоит подчеркнуть, что проблема заключалась не в самих устройствах Yubico, да сама идея WebUSB в целом кажется многим специалистам по безопасности весьма скверной. Когда эксперты выступили с докладом о баге на OffensiveCon, с ними связались представители Yubico и запросили больше информации. В итоге на прошлой неделе произошел очень странный конфуз. Дело в том, что представители Yubico опубликовали собственный доклад, посвященный эксплуатации WebUSB для хищения кодов двухфакторной аутентификации. В отчете инженеры компании сообщили, что уведомили об уязвимости разработчиков Google Chromium и получили от компании 5000 долларов, в рамках программы выплаты вознаграждений на уязвимости (нужно заметить, что вознаграждение потратили на благотворительность). В Google представители Yubico обратились в силу того, что проблема представляла угрозу для Android и Chromium. Однако в отчете Yubico вообще не были упомянуты имена Вервье и Орру, а также не было приведено ни одной ссылки на них. В Yubico ограничились туманной формулировкой, гласившей, что изыскания базируются на некой оригинальной научной работе, которая была не совсем верна, но инженеры компании ее доработали. При этом Вервье и Орру тоже пытались проинформировать о проблеме Google, однако не получили ответа на свой запрос. Как оказалось, их попросту опередили сотрудники Yubico, успевшие первыми оформить информацию об уязвимости по всем правилам.
После того как случившееся стало достоянием общественности и на инцидент обратило внимание как ИБ-сообщество, так и СМИ, в Yubico были вынуждены принести извинения обоим специалистам. Представители компании признали, что не указать Вервье и Орру, как авторов оригинального исследования, было неправильно. Теперь их имена задним числом добавлены в официальный отчет компании.
Перейти обратно к новости |