https://www.opennet.dev/openforum/vsluhforumID3/94183.html Исследователи безопасности обратили внимание (https://kyhwana.org/blog/2014/02/17/cyanogenmods-updater-vulnerable-to-mitm-attack/) на использование незашифрованного HTTP-соединения при проверке наличия обновлений и загрузке zip-файлов программой для установки обновлений для свободной Android-прошивки Cyanogemod в сочетании с отсутствием верификации загруженных данных по цифровой подписи или контрольной сумме, отдельно получаемой из надёжных источников (контрольная сумма также передаётся по HTTP). <br><br><br>Подобная недоработка позволяет организовать MITM-атаку по подмене загружаемого файла на одном из транзитных узлов, через который проходит трафик пользователя. В настоящее время разработчики Cyanogemod уже обеспечили (https://download.cyanogenmod.org/) возможность ручной загрузки обновлений через HTTPS, но доступ к API при проверке обновлений по-прежнему производится через HTTP. В качестве примера атаки по установке подставного обновления, продемонстрирована возможность подмены ссылки на файл с образом и контр https://www.opennet.dev/openforum/vsluhforumID3/94183.html#29 Wed, 19 Feb 2014 06:54:48 GMT &gt;Исследователи безопасности обратили внимание <br><br>хорошо хоть, что не назвали их "эксперты по безопасности". а то нынче модно...<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#28 Tue, 18 Feb 2014 20:54:09 GMT &gt; Количество спирта в крови<br><br>детектор лжи выявит - достаточно спросить не пил ли юзер перед обновлением.<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#27 Tue, 18 Feb 2014 20:20:57 GMT &gt;&gt; пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи...<br><br>Конкретно здесь нужно проверять на наркотики<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#26 Tue, 18 Feb 2014 20:19:05 GMT Да один. Нормальные люди пользуются репами и пакетными менеджерами.<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#25 Tue, 18 Feb 2014 20:16:39 GMT &gt;&gt; а ещё и нужно чтобы проверялся бы отпечатак <br>&gt; пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не <br>&gt; загружается ли обновление под чьим-то давлением) <br><br>Количество спирта в крови<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#24 Tue, 18 Feb 2014 19:52:56 GMT &gt; нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата<br><br>Ё, ну уже давно придумали нормальные схемы. Например, проверка подписей как у пакетных менеджеров. Не, все-равно некоторым надо влопаться в какое-то г-но.<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#22 Tue, 18 Feb 2014 18:59:10 GMT &gt; а ещё и нужно чтобы проверялся бы отпечатак <br><br>пальцев пользователя, экспресс-анализ ДНК, тест на детекторе лжи (чтобы проверить - не загружается ли обновление под чьим-то давлением)<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#20 Tue, 18 Feb 2014 14:19:37 GMT Если вы умеете читать, то в новости сказано что хэш суммы тоже по HTTP кидаются, что означает, что их тоже можно подменить.<br> https://www.opennet.dev/openforum/vsluhforumID3/94183.html#19 Tue, 18 Feb 2014 13:29:08 GMT &gt; Cyanogemod уже обеспечили возможность ручной загрузки обновлений через HTTPS,...<br><br>нужно не просто HTTPS , а ещё и нужно чтобы проверялся бы отпечатак сертификата<br>