Банковские и SIM-карты стали беззащитными из-за багов в платформе Java Card

Баги в Java Card Эксперты компании Security Explorations обнаружили почтидва десятка уязвимостей в программной платформе Java Card, предназначенной для использования в смарт-картахи похожих встраиваемых устройствах. Уязвимости позволяют записывать в такиеустройства вредоносный код и захватывать над ними контроль. JavaCardпредназначается для использования в SIM-картах, платежных картах, картах-ключах и т. д.Платформа позволяет запускать небольшие программы, которым достаточно будетресурсов, предоставляемых микросхемами карты. Такие апплеты, как правило,предназначены для проведения проверок авторизации, криптографических операций ит. д. По данным Oracle, сейчас в миреиспользуется около 6 млрд таких устройств, использующих Java Card. В публикации SecurityExplorations указывается, чтоэксперты компании нашли 18 разных проблем с безопасностью, которые позволяютобходить все или почти все защитные меры, ради которых карты и выпускаются.Внутренние программные недостатки позволяют использовать модифицированныйкард-ридер для того, чтобы, например, записывать вредоносные апплеты в карту, —программная защита от подобной инъекции кода отсутствует, а значитпотенциальный злоумышленник может сделать с картой все, что угодно. Обнаружились критические проблемы в системе платежных и SIM-карт Баги выявлены в последнейверсии платформы Java Card 3.1. Загрузить и навредить «Существуют способы, спомощью которых искаженные приложения, загруженные в уязвимые карты Java Card, легко могут нарушитьбезопасность памяти, — написал АдамГоудиак (Adam Gowdiak),исполнительный директор SecurityExplorations, — Подобные нарушения прямо ведут к компрометациизащиты виртуальной машины Java Card, обходу файерволла апплетов и ставит под угрозу безопасностьсопутствующих приложений». По словам эксперта,причиной являются «архитектурные решения из далекого прошлого», в результатекоторых «технологию Java Card сложно воспринимать с точкизрения безопасности...». При этом Гоудиакпризнает, что успешная загрузка вредоносного апплета на карту требует либознания ключей безопасности, либо использования каких-либо уязвимостей в ОСкарты, в установленных приложениях. Иными словами, злоумышленнику надо точнознать, какое ПО установлено на данную карту, и какая у него архитектура. Но этоможно выяснить, так что сценарий подобного рода исключать нельзя. «Нельзя исключать итого, что скомпрометированные карты могут использоваться для проникновения взакрытые и секретные учреждения, что превращает программную уязвимость вовполне чувствительную угрозу, — полагает ОлегГалушкин, директор по информационной безопасности компании SECConsultServices. - То, что этиуязвимости относительно сложно эксплуатировать, — фактор снижения рисков.Однако уязвимостей много, а перспективы их оперативного исправления, скажемтак, туманны». Oracle и непосредственный производитель карт Gemalto уведомлены о проблемах, но пока никак неотреагировали. 16 апреля Oracle выпускает квартальный кумулятивный патч для своихпродуктов, так что есть вероятность, что исправления JavaCard будут выпущены вместе с ним. Короткая ссылка на материал: [url]#[/url] Ссылка на источник