Новости ПО: QRLJacking, AtEar, netsniff-ng, VeraCrypt BETA 1.20-BETA1

QRLJacking: взлом всех популярных мессенджеров

При использовании мессенджера, скажем WhatsApp, на настольном компьютере, вы можете авторизоваться в веб-браузере кликнув на QR код. Не нужно вводить никаких паролей, этот метод считается более совершенным чем другие. Тем не менее, все приложения, которые его используют, подвержены атаки перехвата сессии.

Атакующий может внедрить вредоносный JavaScript код на фишинговую (мошенническую) страницу, либо в различных сценариях атаки человек-посередине добавить его на авторитетный сайт, не использующий HTTPS (или для которого удалось понизить протокол до HTTPS).

Пример реализации атаки, на видео видно, что легенда довольно правдоподобная, а сайт amazon.com не вызывает никаких подозрений:

Перехват сессии – это только половина беды, из данных, которыми приложения обмениваются с сервером, можно извлечь разнообразную информацию о пользователе. Например, WhatsApp отправляет версию браузера, версию ОС и текущее расположение браузера. Данные могут не только перехватываться, но и модифицироваться на лету:

Уязвимые приложения

Приложения для чата:

  • WhatsApp
  • WeChat
  • Line
  • Weibo
  • QQ Instant Messaging

Почтовые службы

  • QQ Mail (персональная и корпоративная)
  • Yandex Mail

eCommerce:

  • Alibaba
  • Aliexpress
  • Taobao
  • Tmall
  • 1688.com
  • Alimama
  • Taobao Trips

Онлайн банкинг:

  • AliPay
  • Yandex Money
  • TenPay

Passport Services “Critical”:

  • Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos и т.д…)

Программное обеспечение управления мобильными устройствами:

  • AirDroid

Другие службы:

  • MyDigiPass
  • Zapper & Zapper WordPress Login by QR Code plugin
  • Trustly App
  • Yelophone
  • Alibaba Yunos

Сайт: https://github.com/OWASP/QRLJacking

Документация: https://github.com/OWASP/QRLJacking/wiki

AtEar: Решение для оценки уязвимостей беспроводный сетей с веб-интерфейсом

Интересное решение: инструменты для пентестинга, мониторинга и обнаружения вторжений в беспроводные сети Wi-Fi в веб-интерфейсе. В графическом окружении веб-браузера вы можете осуществлять разнообразные атаки на беспроводные сети, в том числе фишинговые. А также следить за их состоянием Wi-Fi с помощью удобных графиков и диаграмм. Система обнаружения вторжений поддерживает практически все известные беспроводные атаки – за этими данными вы также можете следить в веб-интерфейсе.

Имеются и другие сетевые инструменты: для сбора информации и атаки брут-форсом на сетевые службы.

Веб-сайт: https://github.com/NORMA-Inc/AtEar

netsniff-ng: Сетевой анализатор под Linux

netsniff-ng – это бесплатный набор сетевых инструментов под Linux. Его прирост производительности достигается за счёт механизмов нулевого копирования (zero-copy mechanisms), т.е. при приёме и передаче пакетов ядру не нужно копировать пакеты из области ядра в пользовательскую область и обратно.

Набор инструментов может использоваться сетевыми разработчиками и анализаторами, отладчиками, аудиторами или исследователями сети.

Веб-сайт: http://netsniff-ng.org/

VeraCrypt BETA 1.20-BETA1

VeraCrypt – это лучшая новая альтернатива TrueCrypt. Программа постоянно развивается – в ней исправляются найденные ошибки и добавляются новые функции. В данной тестовой версии сделаны некоторые оптимизации и исправлены ошибки, относящиеся только к ОС Windows.

Тестовые версии категорически не рекомендуются для использования с важными данными.

Ссылка для скачивания.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *