Η Kaspersky διόρθωσε ένα σφάλμα επικύρωσης πιστοποιητικών στο λογισμικό της που επηρέαζε 400 εκατομμύρια χρήστες.
Ανακαλύφθηκε από επίμονο bug-hunter Tavis Ormandy της Google. Το ελάττωμα έγκειται στο πώς το antivirus της εταιρείας επιθεωρεί την κρυπτογραφημένη κίνηση.
Δεδομένου ότι αποκρυπτογραφεί την κυκλοφορία πριν από την επιθεώρηση, το Κaspersky παρουσιάζει τα πιστοποιητικά της σαν μια αξιόπιστη αρχή (trusted authority). Εάν ένας χρήστης ανοίξει το Google στο πρόγραμμα περιήγησής του, για παράδειγμα, το πιστοποιητικό θα φαίνεται να προέρχεται από το Kaspersky Anti-Virus Personal Root.
Το πρόβλημα που εντόπισε ο Ormandy είναι ότι τα εσωτερικά πιστοποιητικά ήταν απίστευτα αδύναμα.
“Καθώς δημιουργούνται τα νέα πιστοποιητικά και τα κλειδιά, εισέρχονται χρησιμοποιώντας τα πρώτα 32 bits του 3MD5(serialNumber||issuer) σαν κλειδί … Δεν χρειάζεται να είσαι κρυπτογράφος για να καταλάβεις ότι ένα κλειδί 32bit δεν είναι αρκετό για την πρόληψη επιθέσεων brute-force”, αναφέρει ο ερευνητής.
Για την αναφορά σφάλματος ο Ormandy έδωσε ένα PoC σύγκρουσης πιστοποιητικών μεταξύ του Hacker News και του manchesterct.gov:
“Εάν χρησιμοποιείτε το Κaspersky Antivirus στο Manchester, και αναρωτιέστε γιατί το Hacker News δεν λειτουργεί μερικές φορές, είναι επειδή μια κρίσιμη ευπάθεια απενεργοποίησε την επικύρωση πιστοποιητικών SSL σε 400 εκατομμύρια χρήστες του Kaspersky.”
Η Κaspersky φέρεται να επιδιόρθωσε το σφάλμα στις 28 Δεκεμβρίου.
Κaspersky: SSL interception differentiates certificates with a 32bit hash
