Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –Έκτακτες ενημερώσεις της Apple για 3 zero-days | – #1 Το Hacking σε... απλά ελληνικά –
Η Apple κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για την επιδιόρθωση τριών νέων ευπαθειών μηδενικής ημέρας που αξιοποιήθηκαν σε επιθέσεις με στόχο χρήστες iPhone και Mac, για συνολικά 16 μηδενικές ημέρες που διορθώθηκαν φέτος.
Δύο σφάλματα εντοπίστηκαν στη μηχανή του προγράμματος περιήγησης WebKit (CVE-2023-41993) και στο πλαίσιο ασφαλείας (CVE-2023-41991), επιτρέποντας στους επιτιθέμενους να παρακάμψουν την επικύρωση υπογραφών χρησιμοποιώντας κακόβουλες εφαρμογές ή να αποκτήσουν αυθαίρετη εκτέλεση κώδικα μέσω κακόβουλα διαμορφωμένων ιστοσελίδων.
Η τρίτη εντοπίστηκε στο Kernel Framework, το οποίο παρέχει APIs και υποστήριξη για επεκτάσεις του πυρήνα και οδηγούς συσκευών που κατοικούν στον πυρήνα. Οι τοπικοί επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτό το ελάττωμα (CVE-2023-41992) για να κλιμακώσουν τα προνόμιά τους.
Η Apple διόρθωσε τα τρία σφάλματα μηδενικής ημέρας στο macOS 12.7/13.6, στο iOS 16.7/17.0.1, στο iPadOS 16.7/17.0.1 και στο watchOS 9.6.3/10.0.1 αντιμετωπίζοντας ένα πρόβλημα επικύρωσης πιστοποιητικών και μέσω βελτιωμένων ελέγχων.
“Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει ενεργά αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS πριν από το iOS 16.7”, αποκάλυψε η εταιρεία στις συμβουλές ασφαλείας που περιγράφουν τα κενά ασφαλείας.
Ο κατάλογος των επηρεαζόμενων συσκευών περιλαμβάνει παλαιότερα και νεότερα μοντέλα συσκευών και περιλαμβάνει:
iPhone 8 και νεότερες εκδόσεις
iPad mini 5ης γενιάς και νεότερη έκδοση
Mac που τρέχουν macOS Monterey και νεότερα
Apple Watch Series 4 και νεότερες εκδόσεις
Και τα τρία zero-days βρέθηκαν και αναφέρθηκαν από τον Bill Marczak του Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο και τη Maddie Stone της ομάδας ανάλυσης απειλών της Google.
Ενώ η Apple δεν έχει παράσχει ακόμη πρόσθετες λεπτομέρειες σχετικά με την εκμετάλλευση των ελαττωμάτων στη φύση, οι ερευνητές ασφαλείας του Citizen Lab και του Google Threat Analysis Group έχουν συχνά αποκαλύψει σφάλματα μηδενικής ημέρας που έχουν χρησιμοποιηθεί σε στοχευμένες επιθέσεις κατασκοπευτικού λογισμικού με στόχο άτομα υψηλού κινδύνου, συμπεριλαμβανομένων δημοσιογράφων, πολιτικών της αντιπολίτευσης και αντιφρονούντων.
Η Citizen Lab αποκάλυψε δύο άλλα zero-day (CVE-2023-41061 και CVE-2023-41064), τα οποία επίσης διορθώθηκαν από την Apple σε επείγουσες ενημερώσεις ασφαλείας νωρίτερα αυτό το μήνα και καταχράστηκαν ως μέρος μιας αλυσίδας εκμετάλλευσης με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για να μολύνουν πλήρως επιδιορθωμένα iPhones με το εμπορικό spyware Pegasus της NSO Group.
Από την αρχή του έτους, η Apple έχει επίσης επιδιορθώσει:
δύο zero-days (CVE-2023-37450 και CVE-2023-38606) τον Ιούλιο
τρία zero-days (CVE-2023-32434, CVE-2023-32435 και CVE-2023-32439) τον Ιούνιο
τρία ακόμη zero-days (CVE-2023-32409, CVE-2023-28204 και CVE-2023-32373) τον Μάιο
δύο zero-days (CVE-2023-28206 και CVE-2023-28205) τον Απρίλιο
και ένα ακόμη zero-day του WebKit (CVE-2023-23529) τον Φεβρουάριο
Το XML-RPC (XML Remote Procedure Call) είναι ένα πρωτόκολλο επικοινωνίας που επιτρέπει σε εφαρμογές να επικοινωνούν μεταξύ τους μέσω του διαδικτύου. Το WordPress XML-RPC είναι μια υλοποίηση του πρωτοκόλλου XML-RPC που χρησιμοποιείται από το σύστημα διαχείρισης περιεχομένου (CMS) WordPress.
Το XML-RPC του WordPress παρέχει ένα σύνολο από δημόσιες μεθόδους που επιτρέπουν στους χρήστες να εκτελούν λειτουργίες στο WordPress μέσω απομακρυσμένων κλήσεων. Μερικές από τις κύριες λειτουργίες που μπορούν να πραγματοποιηθούν μέσω XML-RPC περιλαμβάνουν τη δημοσίευση νέων άρθρων, την επεξεργασία άρθρων, τη λήψη λίστας κατηγοριών και άλλες λειτουργίες διαχείρισης περιεχομένου.
Συνήθως, όταν επιχειρούμε να δοκιμάσουμε με επίθεση bruteforce για έναν κωδικό πρόσβασης, το σύστημα βλέπει μια προσπάθεια σύνδεσης για κάθε κωδικό πρόσβασης που δοκιμάζουμε.
Μόλις φτάσουμε σε κάποιο όριο προσπαθειών, το σύστημα θα μας κλειδώσει έξω.
Ωστόσο, το XMLRPC έχει ένα σύστημα “system.multicall” όπου μπορούμε να στείλουμε εκατοντάδες ή χιλιάδες κωδικούς πρόσβασης με ένα μόνο αίτημα HTTP. Ο χάκερ μπορεί να χρησιμοποιήσει το XMLRPC για την παρουσίαση χιλιάδων διαπιστευτηρίων χωρίς τον κίνδυνο κλειδώματος ή άλλης παρεμβολής από συσκευές ασφαλείας.
Το XMLRPC κυκλοφόρησε στο WordPress 2.6 και από την έκδοση 3.5, είναι ενεργοποιημένο από προεπιλογή. Αυτή η ευπάθεια έχει αντιμετωπιστεί σε νεότερες εκδόσεις του WordPress, αλλά γνωρίζουμε όλοι ότι υπάρχουν εκατομμύρια μη ενημερωμένοι ιστότοποι WordPress στο Διαδίκτυο. Απλώς πρέπει να είμαστε προσεκτικοί.
Βήμα #1: Λήψη και εγκατάσταση του WordPress XML-RPC Brute Force
Το πρώτο βήμα, φυσικά, είναι να εκκινήσετε το Kali και να ανοίξετε ένα τερματικό. Διότι αυτό το εργαλείο ΔΕΝ είναι ενσωματωμένο στο Kali, θα πρέπει να το κατεβάσουμε και να το εγκαταστήσουμε. Αυτό σημαίνει ότι αν χρησιμοποιείτε μια διαφορετική έκδοση του Linux, αυτές οι οδηγίες θα λειτουργήσουν εξίσου καλά και για εσάς.
Μπορούμε να αποκτήσουμε αυτό το εργαλείο από το github.com, οπότε χρειάζεται μόνο να χρησιμοποιήσουμε την εντολή git clone για να το ανακτήσουμε, όπως παρακάτω:
kali > git clone http://github.com/1N3/WordPress-XMLRPC-Brute-Force-Exploit
Τώρα που κατεβάσαμε το εργαλείο στο σύστημά μας, ας επιβεβαιώσουμε ότι βρίσκεται εκεί.
kali > ls -l
Όπως μπορούμε να δούμε παραπάνω, δημιουργήσαμε έναν κατάλογο με το όνομα WordPress-XMLRPC-Brute-Force-Exploit. Τώρα, ας μεταβούμε σε αυτόν τον κατάλογο.
kali > cd WordPress-XMLRPC-Brute-Force-Exploit
Όπως μπορείτε να δείτε παραπάνω, υπάρχουν δύο εκδόσεις, μια λίστα κωδικών πρόσβασης και ένα αρχείο README. Θα χρησιμοποιήσουμε την έκδοση v2.
Βήμα #2: Εύρεση Χρηστών με το wpscan
Τώρα που έχουμε το εργαλείο μας έτοιμο για χρήση, ας χρησιμοποιήσουμε και το wpscan για να βρούμε ορισμένους χρήστες από μια ιστοσελίδα WordPress.
Βρήκα αυτόν τον ιστότοπο χρησιμοποιώντας μερικές από τις Google hacks που περιέγραψα στο άρθρο μου για τον εντοπισμό ιστότοπων WordPress.
Για να βρούμε τους users μπορούμε να το κάνουμε με την παρακάτω εντολή
kali > wpscan -u <domain> --enumerate u
Στο <domain> θα βάλετε την σελίδα που θέλετε!!
Όταν το wpscan αρχίσει ψάχνει με την παραπάνω εντολή, εντοπίζει την εκδοση του wordpress για παράδειγμα αυτη η σελίδα που δοκιμάζω εγώ χρησιμοποιείWordPress 4.6.1 και στη συνέχεια ψάχνει για όλους τους(users) όπως φαίνεται στην εικόνα.
Τώρα που έχουμε τους χρήστες, ας δούμε αν μπορούμε να εκτελέσουμε μια επίθεση Brute-Force χρησιμοποιώντας το XMLRPC!
Εμεις στο παραδειγμά μας θα χρησιμοποιήσουμε τον χρήστη taskfleet, δηλαδή το bruteforce θα γίνει σε αυτον.
Βήμα #3: Επίθεση Brute Force την μέθοδο XMLRPC
Το τελικός βήμα είναι να χρησιμοποιήσουμε το εργαλείο XMLRPC στους παραπάνω χρήστες που βρήκαμε με το wpscan.
Όταν βρείτε τον σωστό κωδικό πρόσβασης, το πρόγραμμα θα σταματήσει και θα σας δείξει τον κωδικό.
Πριν χρησιμοποιήσουμε, θα πρέπει να δόσουμε την παρακάτω εντολή για να αλλάξουμε τα δικαιώματα στο αρχείο και να το κάνουμε εκτελέσιμο.
kali > chmod 755 wordpress-xmlrpc-brute-v2.py
Τώρα ας το τρέξουμε kali > ./wordpress-xmlrpc-brute-v2.py
Και μετα python xmlrpc_exploit.py http://ο-ιστοτοπός-σας.com/xmlrpc.php αρχείο-κωδικών.txt ονομα-στοχου
Αντικαταστήστε το “http://ο-ιστοτοπός-σας.com/xmlrpc.php” με τον ιστότοπου WordPress σας, το “αρχείο-κωδικών.txt” με τη διαδρομή του αρχείου κωδικών πρόσβασης σας και το “ονομα-στοχου” με το όνομα χρήστη που θέλετε να επιτεθείτε. Το όνομα χρήστη είναι αυτα που πήραμε παραπάνω με το wpscan.
Σε περίπτωση που ο βρεθεί ο κωδικός θα σας εμφανίσει κάτι σαν το παρακάτω
Σε λίγα λεπτά, βρήκαμε τον κωδικό πρόσβασης για τον χρήστη “taskfleet”. Με αυτόν τον κωδικό πρόσβασης, τώρα συνδεόμαστε (wp-login) και έχουμε πλήρη έλεγχο αυτού του ιστότοπου!
Ο Αλέξανδρος είναι ο ιδρυτής του hacks.gr και η κινητήρια δύναμη πίσω από το όραμά μας.
Με πολυετή εμπειρία στον κόσμο του hacking, έχει διαμορφώσει μια κοινότητα που είναι πηγή έμπνευσης και μάθησης για όλους.
Με τον προσωπικό του χαρακτήρα και την τεχνογνωσία του, έχει δημιουργήσει έναν χώρο όπου οι λάτρεις του hacking μπορούν να συναντιούνται, να μοιράζονται γνώσεις και να εξελίσσονται.
Data Breach για εκατομμύρια χρήστες κινητής τηλεφωνίας
Οι χάκερς κάνουν πάρτι με τα δεδομένα εκατομμυρίων χρηστών τη στιγμή που η δικαιοσύνη κάνει τα στραβά μάτια και η ΑΔΑΕ τους τιμωρεί με χάδια.
Σοβαρά ερωτήματαέχουνπροκύψει σχετικά με το απόρρητο των επικοινωνιών εκατομμυρίων χρηστών κινητώντηλεφώνων στη χώρα μας, όπως προκύπτει από επίσημα έγγραφα και αποφάσεις της Ανεξάρτητης Αρχής γιατην Προστασία του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).
Οι Data Journalistsαποκαλύπτουν σήμερα ένα“μαύροκουτί”συστηματικώνπαραβιάσεωντου απορρήτου των επικοινωνιών λόγωανεπαρκώνμέτρωνασφαλείας απότιςεταιρείεςκινητήςτηλεφωνίας.Τα τελευταία χρόνια, η ΑΔΑΕ έχει επιβάλει πρόστιμα στιςεταιρείες VODAFONE, COSMOTE, ΟΤΕκαι FORTHNET για εκατοντάδεςπεριπτώσεις παραβίασης του απορρήτουπουοιίδιεςπροκάλεσαν.
Σε μια περίπτωση, οιχάκερκατάφεραν να αποκτήσουν τα προσωπικά δεδομένα εκατομμυρίων χρηστών της Cosmote. Σε μια άλλη περίπτωση, κατά τη μεταφοράμιας τηλεφωνικής γραμμής από την Cosmote στη Vodafone, έναάτομοχρησιμοποίησετο τηλέφωνο ενός άλλου χρήστηγιααρκετέςημέρεςκαιότανκάλεσετο προσωπικό τουτηλέφωνο,απάντησεένας άλλος χρήστης.
Αυτέςείναι μόνο δύο από τις εκατοντάδες περιπτώσεις που εντόπισεη ΑΔΑΕ, ορισμένες από τις οποίες έχουν οδηγηθείσταδικαστήρια,αλλά δυστυχώς όχι με πρωτοβουλία της ΑΔΑΕ. Οιεταιρείεςκινητήςτηλεφωνίαςδενφαίνεταιναπράττουντοσωστό,παράτιςσυνταγματικέςκαι νομικέςυποχρεώσειςτουςναπρολαμβάνουντέτοιαπεριστατικάκαιναεφαρμόζουνσυγκεκριμένεςπολιτικέςασφαλείας.
Παράλληλα,αυτόπουπροκύπτειαπό τηνέρευνα του Data Journalistγιατα κέρδη των εταιρειών και τα πρόστιμα που επιβάλλονταιπροκαλείέκπληξη:τα κέρδη γιατηνπερίοδο2017-2022ανέρχονταισεπολλέςδεκάδεςδισεκατομμύριαευρώ,ενώτα πρόστιμα δεν ξεπερνούν τα 7,2 εκατομμύρια ευρώ. Ας δούμε όμως λίγοπιοπροσεκτικάτιαποκαλύπτειη έρευνα της Data Journalist.
Μπέρδεψαν τις γραμμές κατά τη μεταφορά από Cosmote σε Vodafone
Τον Μάρτιο του 2017, ο επιχειρηματίας Γιώργος ΦλώραςυπέβαλεγραπτήκαταγγελίαστηνΑρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (CSA) σχετικά με πιθανή “παραβίαση της ισχύουσας νομοθεσίας γιατοαπόρρητο των επικοινωνιών” από την COSMOTE. Η καταγγελία αφορούσε συγκεκριμέναγεγονότακατά τη μεταφοράτηλεφωνικώνσυνδέσεωναπό την COSMOTE στη Vodafone. Όπως διαπίστωσε ο κ. Φλώρας,η τηλεφωνική του γραμμή είχεχρησιμοποιηθεί από άλλονχρήστηγιαδιάστημα δύο εβδομάδων και ο ίδιος χρησιμοποιούσε την τηλεφωνική γραμμήάλλου χρήστη. Ήταν σαφές ότι κάτι είχε πάει στραβά.
Τον Μάρτιο του 2018, η ΑΔΑΕ αποφάσισε ναδιενεργήσειέκτακτοέλεγχοστηνCOSMOTE και τη VODAFONE. Μάλιστα, κλιμάκιο της ΑΔΑΕ επισκέφθηκε τις εγκαταστάσεις των δύο εταιρειών. Ηομάδα διαπίστωσε ότι όντωςυπήρχανκάποιαπροβλήματα.Συγκεκριμένα,από τις 20.02.2017 έωςτις 3.03.2017, ο κ. Φλώραςχρησιμοποιούσετηλεφωνικήγραμμήπουδενήτανσυνδεδεμένημεαυτόνκαι όταν κάποιος καλούσε τον αριθμό του, απαντούσε άλλος χρήστης. ηομάδα της ΑΔΑΕ απέδωσε το πρόβλημα αυτό στογεγονόςότι“κατάτηνπερίοδοδιακοπής από 20.02.2017έως03.03.2017,οίδιοςσύνδεσηαναμίχθηκελανθασμένααπότουςτεχνικούςτουΟΤΕμετησύνδεσητουκαταγγέλλοντοςσεσχέσημετην υλοποίηση της φορητότηταςτηςσύνδεσηςστοδίκτυοτης Vodafone”.
Τον Νοέμβριο του 2020, η ΑΔΑΕ αποφάσισε να καλέσει την COSMOTEσεακρόαση.ΣεγραπτόυπόμνημαπουαπέστειλεστηνΑΔΑΕστις19Μαρτίου2021,οΟΤΕ ουσιαστικά δεν αμφισβήτησε τα πραγματικά περιστατικά που διαπίστωσεη ΑΔΑΕ.
Ταυτόχρονα, ο ΟΤΕ ανέφερεότιηλανθασμένησυν-είσπραξη οφειλόταν σε ανθρώπινο λάθος και ότικάτι τέτοιο μπορούσε να διαπιστωθεί μόνο μετά τηνυποβολή καταγγελίας.
Τελικά,με την υπ’αριθμ. 233/2021 απόφασή της,ηΑΔΑΕέκρινεομόφωναότιοΟΤΕ ευθύνεται“λόγωπαραβίασηςτης κείμενης νομοθεσίας περί απορρήτου των επικοινωνιών απόμηεξουσιοδοτημένηανάμειξη”-σύμφωναμε την απόφαση της ΑΔΑΕ, η λανθασμένη“συντόμευση”οφειλότανσεαμέλεια του τεχνικού του ΟΤΕ που είχεαναλάβειτη μεταφορά.
Είναι εκπληκτικότο γεγονός ότι ενέτει 2023, ένας γιγαντιαίοςφορέαςτηλεπικοινωνιών όπως η COSMOTE θαμπορούσε να θέσεισε κίνδυνο την ασφάλεια των συνομιλιών των πελατών και τη φήμη της ίδιαςτηςεταιρείαςλόγω ανθρώπινου λάθους. ΗπλειοψηφίατηςΑΔΑΕ επέβαλε πρόστιμο 20.000 ευρώ στον ΟΤΕ για την υπόθεση αυτή.
Χάκερς υπέκλεψαν τα δεδομένα 12.013.928 εκατ. χρηστών
ΤοπεριστατικότουΦλώρου δεν είναι τομοναδικόπεριστατικό που αφορά εταιρείακινητής τηλεφωνίας:τον Σεπτέμβριο του 2020 συνέβηένα περίεργο περιστατικό. Χάκερς επιτέθηκαν στην COSMOTE,υποκλέπτονταςτα δεδομένα εκατομμυρίων χρηστών καικαταστρέφοντας τα συστήματα ασφαλείας της εταιρείας. Μάλιστα, η ίδια η εταιρεία κατήγγειλετο περιστατικό στηνΑΔΑΕκαιυπέβαλεέκθεση,στηνοποία η COSMOTEτόνισε ότι είχεδιενεργηθεί έρευνα καιότι“30GBαρχείωνήταναποθηκευμέναστονδιακομιστή”.Το αρχείο περιείχε δεδομέναεπικοινωνιών συνδρομητών της COSMOTE απότις9Ιανουαρίουέως τις 9Μαΐου2020“.
Βρέθηκανεπίσης“30GBδιαδικτυακήςκίνησης δεδομένων μεταξύ του διακομιστή και μιας εξωτερικής IPπουανήκει σε λιθουανικόπάροχοφιλοξενίας”,όπως ισχυρίστηκε η εταιρεία.“ΗΑΔΑΕ, με την υπ’αριθμ. 227/2020 απόφασή της,αποφάσισε να διερευνήσει τηνυπόθεση.
Πράγματι,τον Νοέμβριο του 2021, ηομάδα ελέγχου της ADAEολοκλήρωσε τον έλεγχο και συνέταξε έκθεση. Τα αποτελέσματαήταν ωςεπί το πλείστον ανατριχιαστικά: οιχάκερς είχαν επιτεθείστην COSMOTE και είχαν αποκτήσειταπροσωπικά δεδομένα εκατομμυρίων χρηστών.
Σύμφωνα με την έκθεση,οι χάκερ απέκτησαν “δεδομένακίνησης και συντεταγμένες σταθμών βάσης 4.792.869 μοναδικώνσυνδρομητών COSMOTE“,“MSISDN/CLI, 6.939.χρήστες άλλων παρόχων σταθερής & κινητής τηλεφωνίας στη χώρα που πραγματοποίησαν ή έλαβανκλήσειςσε συνδρομητές COSMOTE656άτομα” και “Συντεταγμένες MSISDN, IMEI, IMSI και σταθμούβάσης για 281.403 συνδρομητές περιαγωγής που πραγματοποίησαν κλήσεις μέσω του δικτύου κινητής τηλεφωνίας της COSMOTE“.
Οι κωδικοί στα social media
Το πιο εντυπωσιακό,ωστόσο, είναι ο τρόπος με τον οποίο οι χάκερ κατάφεραν να παραβιάσουν το απόρρητο της COSMOTE. Σύμφωνα με την έκθεση ελέγχου,“……Οιεπιτιθέμενοιχρησιμοποίησανταδιαπιστευτήριατωνδιαχειριστώντωνοποίωνοικωδικοί πρόσβασης βρίσκοντανσεμιαλίσταπουδιατηρούντανσε μιαβάσηδεδομένωνκωδικώνπρόσβασης που διέρρευσεαπόχάκερςαπόταμέσα κοινωνικής δικτύωσης (LinkedIn, Facebookκ.λπ.) και άλλες υπηρεσίες στο ……. απέκτησαν διαχειριστική πρόσβαση στους διακομιστές της υποδομής”.
Μεάλλα λόγια, όπως αναφέρουν στην έκθεσή τους οι ελεγκτές της ΑΔΑΕ, “η βάση δεδομένωνπουελέγχονταναπότουςχάκερςπεριείχε στοιχεία πουταυτοποιούσαντηνεταιρεία και τουςλογαριασμούς πρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης) τωνυπαλλήλων της Cosmoteμεδικαιώματα διαχειριστή στα Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ) της εταιρείας”.
Πράγματι, όπως διαπίστωσαν οι ελεγκτές, “κρίσιμα δεδομέναστουςλογαριασμούς πρόσβασης τωνυπαλλήλων της εταιρείαςπροορίζονταν για χρήση στοΠΣΚΕτηςεταιρείας”,αλλάθαμπορούσαν“ναχρησιμοποιηθούν σε προσωπικέςεφαρμογές/υπηρεσίες εκτός τηςεταιρείαςκαιναδιαρρεύσουναπόεκεί”. Είναι συγκλονιστικότογεγονόςότιεκατομμύριαχρήστεςμιαςγιγαντιαίαςεταιρείαςτηλεπικοινωνιώνθαμπορούσαντόσοεύκολα να εκτεθούναπότιςαπερίσκεπτες ενέργειες ενός καιμόνο υπαλλήλου ιδιωτικής εταιρείας.
Τελικά,με την υπ’αριθμ. 225/2022 απόφασή της, ηΑΑΔΕέκρινετην COSMOTE υπεύθυνη για τη“διαρροή δεδομένωνπουταυτοποιούντηνεταιρεία και λογαριασμώνπρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης)“ και της επέβαλε πρόστιμο 200.000 ευρώ. Επιπλέον, η ΑΑΔΕ διαπίστωσε ότι“κατά τοσυγκεκριμένοπεριστατικόυπήρχαναποκλίσειςστηνεφαρμογήτηςπολιτικήςασφαλείαςτης COSMOTEγια τηνπροστασία του απορρήτου των επικοινωνιών”και επέβαλε πρόστιμο 3 εκατ. ευρώ.
Αυτόδενείναιτομοναδικόπρόστιμο:ηΑρχήΠροστασίαςΔεδομένωνΠροσωπικούΧαρακτήραεπέβαλε πρόστιμο 6 εκατ. ευρώ στην COSMOTE και 3,25 εκατ. ευρώ στον ΟΤΕ.
Έδωσαν 756.700 ρούτερ με κοινούς κωδικούς πρόσβασης
Μιαάλλη περίπτωση όπουδιακυβεύτηκε το απόρρητο των επικοινωνιών είναι οιεκατοντάδες χιλιάδες δρομολογητές που δόθηκαν στους παρόχους του ΟΤΕ, αλλά…χρησιμοποιούνταικοινοίκωδικοί πρόσβασης. τον Μάιο του 2015,μια ιδιωτική εταιρεία υπέβαλε μιαιδιαίτερασοβαρήκαταγγελίαστηνΑΠΔΠΧ.Σύμφωνα με την καταγγελία αυτή, οιδρομολογητέςπουέδινετότεοΟΤΕ στουςχρήστεςπεριείχαν,εκτός από τους κωδικούς διαχείρισης,δύοκωδικούςπρόσβασηςπουήτανκοινοίγια όλες τις συσκευές. Οικωδικοί αυτοί ήταναποθηκευμένοι σε “μη κρυπτογραφημένη μορφή”,πράγμαπουσήμαινεότιέναςτρίτος που τους γνώριζεμπορούσε να έχει“απομακρυσμένη πρόσβαση στιςσυσκευές”.
Οιδρομολογητέςαυτοίήτανδιαθέσιμοι σε περίπου 756.700συνδρομητέςκαιοΟΤΕ πραγματοποίησε τεχνικό έλεγχο και ισχυρίστηκε ότι δεν υπήρχε“κίνδυνος για το απόρρητο των επικοινωνιών”και “δενυπήρχεδυνατότητα απομακρυσμένης παρεμβολής μέσω των συσκευών αυτών“.Ωστόσο,σύμφωναμετην απόφαση 326/2020, η ΑΔΑΕ αμφισβήτησε τους ισχυρισμούς του ΟΤΕ, καθώς περίπου3.800 χρήστες είχαν απενεργοποιήσει τατείχηασφαλείαςτους(mini-firewalls)και είχαν ανοίξει το WAN τους.
Αυτοίοι χρήστες πουγνώριζανγιατουςπρόσθετουςλογαριασμούςπρόσβασης που εντοπίστηκανήταν στην πραγματικότητα“ευάλωτοι,θέτονταςέτσισεκίνδυνοτο απόρρητο τωνεπικοινωνιών τους“-σύμφωναμε τηνέκθεσηεπιτόπιου ελέγχου τηςομάδας της ΑΔΑΕτης 21/09/2015, “η γνώση τωνδημόσιωνδιευθύνσεων IP καιηαπενεργοποίηση των μηχανισμών ασφαλείας και τωνκωδικώνπρόσβασηςσεσυνδυασμόεπέτρεψαν την απομακρυσμένη πρόσβαση σεαυτούςτους δρομολογητές τρίτων με τη χρήση πρόσθετωνλογαριασμώνπρόσβασης”.
…Λαμβάνονταςυπόψηταπαραπάνω, οι κοινοί κωδικοί πρόσβασης τωντερματικώνCPE επέτρεπαν την απομακρυσμένη πρόσβαση σε τρίτουςχωρίςοτρίτοςναγνωρίζειτον προσωπικό κωδικό πρόσβασης διαχείρισης κάθε CPE…”.Ηαπόφασηαναφέρει.
Η ΑΔΑΕ κάλεσε τον ΟΤΕσεακρόασηκαι διενεργήθηκανπέντε επιτόπιοι έλεγχοι σε εργολάβους που είχαν προμηθευτεί τουςενλόγωδρομολογητέςτο2015 και το2016, ενώ διενεργήθηκαν και έλεγχοι στον ΟΤΕ. Σύμφωνα με την έκθεση ελέγχου,ο ΟΤΕ “δεν εφάρμοσε τις κατάλληλες πολιτικές και επιμέρους διαδικασίες κατά τηνπαροχήτερματικούεξοπλισμούCPEτύπουZTEH108Nσεσυνδρομητέςκαι δεν ενημέρωσε την ΑΔΑΕ ή τους συνδρομητές που επηρεάστηκαν από το συγκεκριμένοπεριστατικό ασφαλείας”.Στηνεταιρεία επιβλήθηκε τελικάπρόστιμο 20.000 ευρώ για παράβασητουνόμου,ιδίωςγιατηνπαράλειψηενημέρωσηςτωνσυνδρομητώνγια το περιστατικό ασφαλείας.
Δεν τηρούνται αρχεία με το ποιος μπαίνει στο σύστημα
Το 2019 υποβλήθηκεάλλημιακαταγγελίαστηνΕλληνικήΑρχήΠροστασίας Δεδομένων Προσωπικού Χαρακτήρα από χρήστη κινητούτηλεφώνου,μετονισχυρισμόότιμπορείνα παραβιάστηκε το απόρρητο των επικοινωνιών. Για τη διερεύνηση αυτού του περιστατικού, η CMAE αποφάσισε ναδιενεργήσειδιαχειριστικόέλεγχο στις εγκαταστάσεις της COSMOTE. Τον Μάιο του 2019,ηομάδα ελέγχου ολοκλήρωσε τον διαχειριστικό έλεγχο και υπέβαλεέκθεση στην CMAE.Σεαυτήναναφέρεταιότι“δεν τηρούνται αρχεία καταγραφής της πρόσβασης τωνδεδομένων επικοινωνίας στοσύστημα VMSκαι αρχεία καταγραφής των διαχειριστικώνλειτουργιών στο σύστημααυτό”,γεγονόςπουαποτελείπαράβασητωνκανονισμώντης ADAE.
Η Cosmote παραδέχθηκε ότι η αδυναμία αυτή έχει καταγραφεί ως μησυμμόρφωση με τον κανονισμό από το 2013. Πράγματι,σεεπιστολή τουΦεβρουαρίου2020,ηεταιρείαδήλωσεότι“η αναβάθμιση του VMS που υλοποιήθηκε το τελευταίο τρίμηνο του 2014 αφοράνέεςβελτιώσειςυλικού και λογισμικούκαι όχι αλλαγές στο υποσύστημα καταγραφής ενεργειών πουθαεπιβεβαίωναντημη συμμόρφωση με τηνενλόγω κανονιστική υποχρέωση”.
Η ΑΔΑΕ διαπίστωσε ότι“η ασυνέπεια της εταιρείας όσοναφοράτηντήρηση των αρχείων καταγραφής τουεν λόγω συστήματοςκαι σε κάθε περίπτωση η μη συμμόρφωσημετιςυποχρεώσεις καταγραφής τουσυστήματος VMS συνιστά κανονιστικήπαράβαση”.Πράγματι,η τήρησητων αρχείων καταγραφής πρόσβασηςκαι των αρχείων καταγραφής ενεργειών τουεν λόγω συστήματοςθαεπέτρεπετόσο στηνεταιρείαόσο και στηναρχήπρόσβασηςναελέγχουντα δεδομένα επικοινωνίας των χρηστών που είναιαποθηκευμένα στο σύστημα,αλλάστηνπροκειμένηπερίπτωση ο έλεγχοςαυτός δεν είναιεφικτός”.
Σύμφωναμετηνεταιρεία, η νέα πλατφόρμα,ηοποία θα κυκλοφορήσειτο 2021, θα διαθέτει μηχανισμό καταγραφής και πρόσβασης στιςενέργειες στο σύστημα επικοινωνίας. Στηναπόφασήτης,ωστόσο, η ΑΔΑΕ έκρινετηνCOSMOTE υπεύθυνη για παράβαση γιαπαραβίαση του ΚανονισμούΔιασφάλισηςτου Απορρήτου των ΗλεκτρονικώνΕπικοινωνιών, σύμφωνα με την υπ’αριθμ. 165/2011 απόφαση της ΑΔΑΕ.
Καταγγελία κατά Vodafone και FORTHNET
Ωστόσο,έχουνυποβληθεί επίσηςπολλέςκαταγγελίεςκατάάλλων εταιρειών τηλεπικοινωνιών.Συγκεκριμένα,τον Μάρτιο του 2018 υποβλήθηκε στην ADAE καταγγελία κατάτης VODAFONE. Οκαταγγέλλωνπαραπονέθηκε για “δυσλειτουργίεςτηςτηλεφωνικήςγραμμής”.Συγκεκριμένα, αναφέρθηκεσεπεριστατικάόπου“εισερχόμενες κλήσεις μεταφέροντανσε άλλη τηλεφωνική γραμμή”και όπου“ακούγοντανάλλεςτηλεφωνικέςσυνομιλίεςκατά τη διάρκεια της συνομιλίας“Η ADAE έδωσε εντολή στηνομάδα ελέγχου της να διερευνήσει.Τελικά, τον Φεβρουάριο του 2020, η ADAE επέβαλε πρόστιμο 40000 ευρώ για παράβαση του νόμου περί επικοινωνιών.
Τον Νοέμβριο του 2018,έναφυσικόπρόσωπουπέβαλε καταγγελία στηνADAEκατά της FORTHNET–ηADAEσυγκρότησε ομάδα ελέγχου καιδιενήργησεεπιτόπιο έλεγχο, ο οποίος ολοκληρώθηκε στις 19 Φεβρουαρίου 2019.
Σύμφωνα με την έκθεση του έκτακτου ελέγχου, το περιστατικό συνέβηαφούοκαταγγέλλωνκατήγγειλετηζημία τον Οκτώβριο του 2018. Ένα μήνα αργότερα, η βλάβη αποκαταστάθηκε με “αντικατάστασητουζεύγους”. Ή τουλάχιστον έτσι νόμιζε ο καταγγέλλων. Λίγο αργότερα,συνειδητοποίησε ότι υπήρξε“αναντιστοιχίαμεταξύτου αριθμούτηλεφώνου του καιενόςάλλουαριθμούτηλεφώνου”. Η αναντιστοιχία αυτή διήρκεσε11 ημέρες. Κατάτηδιάρκεια της περιόδουπουαναφέρεταιως“αναντιστοιχία”,έγιναν 37 κλήσεις, 12 από τις οποίες έμειναν αναπάντητες.
“Μεάλλαλόγια,έγινανκλήσειςαπόκαιπροςτοναριθμότηλεφώνου του καταγγέλλοντοςκατάτην περίοδο που υπήρχεασυμφωνίαμεταξύτουτηλεφωνικούτουαριθμούκαι ενόςάλλουτηλεφωνικούαριθμού”,αναφέρειηυπ’αριθμόν 139/2021απόφαση της ΑΔΑΕ, η οποία κάλεσε τηνεταιρείασεακρόαση.
Στη Δικαιοσύνη η υπόθεση από Φλωρά και ποινικές διώξεις
Η υπόθεση του Γιώργου Φλώρα δεν σταμάτησεστην ΕλληνικήΕισαγγελία:μετά από μια δεύτερη καταδίκηαπότηνADAE(αυτή τη φορά για παραβίαση του απορρήτου των επικοινωνιώνκατά της VODAFONE), ο κ. Φλώρας προσέφυγε στηδικαιοσύνη.Συγκεκριμένα,κατέθεσε αγωγήκατάτων νομίμων εκπροσώπων των δύο εταιρειώντο2021.Ηαγωγήαυτήαφορούσετηνπαραβίασητουαπορρήτου των επικοινωνιών. Στη συνέχεια, η Εισαγγελία Πρωτοδικών Αθηνών άσκησε ποινική δίωξη κατάτων εκπροσώπων τωνδύοεταιρειώνκαι παραπέμφθηκαν σε δίκη. Μία από τιςδίκεςεπρόκειτοναδιεξαχθείτον Δεκέμβριο του 2023 μετά από σειράαναβολών. Η υπόθεση τέθηκε επίσης ενώπιονπολιτικούδικαστηρίου.Ο κ. Φλώρας κατέθεσε δύο αγωγές κατά της VODAFONE και της COSMOTEκαι μέχρι σήμερα έχει εκδοθεί πρωτοβάθμια απόφαση για τη μία από αυτές,δικαιώνονταςτονκ.Φλώρα,όπως υποστήριξε σε επιστολή που απέστειλε στηνεισαγγελέα του Αρείου Πάγου Γεωργία Αδειλίνη το καλοκαίρι… Η δεύτερη δίκηαναβλήθηκεμέχριτην απόφασητου Διοικητικού ΠρωτοδικείουΑθηνών,κατάτηςοποίαςη εταιρεία άσκησε έφεση.
Κάτιπουαξίζεινααναφερθεί σε σχέση με τις εταιρείες κινητής τηλεφωνίας είναι το γεγονός ότι επί δεκαετίες η ΑΔΑΕ δεν δημοσίευετα στοιχεία των εταιρειών στις οποίες επέβαλε πρόστιμα για παραβίασητουνόμου περί απορρήτου των επικοινωνιών καιδενπαρέπεμπε τις αποφάσεις της στη δικαιοσύνη.το καλοκαίρι του 2022 ο κ. Φλώραςανακάλυψε τις πρακτικές τηςΑΔΑΕ και κατέθεσε τρεις μηνύσειςστηνΕισαγγελία Πρωτοδικών Αθηνών κατέθεσε τρεις καταγγελίες στην Εισαγγελία Πρωτοδικών Αθηνών. Αυτόοδήγησετονκ.Φλώρα να καταγγείλει στην Εισαγγελία Πρωτοδικών Αθηνών μιασειρά αποφάσεων της ΑΔΑΕκατάεταιρειών κινητής τηλεφωνίας πουδεν είχαν παραπεμφθεί στη δικαιοσύνη.Δύο από τις τρεις καταγγελίεςήτανσχετικές και η Εισαγγελία εξέδωσε την υπ’αριθμ. 960/2023 παραγγελία.
ΗΑΔΑΕαρχειοθέτησε όλες τις υποθέσεις που αφορούσαν αποφάσεις της ΕισαγγελίαςΠρωτοδικών που είχαν παραγραφεί. Επρόκειτο για αποφάσεις μετιςοποίες η ΑΔΑΕ είχε διαπιστώσει παραβάσεις της νομοθεσίας εκμέρουςτων τηλεπικοινωνιακώνεταιρειών,αλλάόσοναφορά τιςποινικέςυποθέσεις,ηπαραγραφή είχε παρέλθει επειδή είχε παρέλθει πενταετία από τηδιάπραξη του αδικήματος.
Εκτός από τιςπαραγγελίεςγιατηνάσκησηποινικήςδίωξηςπου είχαν κατατεθεί, είχαν ανοίξει συνολικά περίπου15 υποθέσεις.Σεαρκετές από αυτές είχαν ήδη ασκηθεί ποινικές διώξεις κατάεκπροσώπων της COSMOTE και της FORTHNET για παραβίασητου απορρήτου των επικοινωνιών. Μία από τιςυποθέσεις επρόκειτο να εκδικαστεί απότοΠρωτοδικείοΑθηνώντη Δευτέρα 11Σεπτεμβρίου.Ωστόσο,η δίκηαναβλήθηκεμετάαπό αίτημα τωνδικηγόρωντωνκατηγορουμένωνγιαλόγους υγείας.
Αθώωση κατηγορουμένου αλλά χωρίς υποστήριξη της κατηγορίας
Πριναπό αυτό, τον Ιούλιο του 2023, μιαάλληυπόθεση εκδικάστηκεενώπιοντουΔικαστηρίουτων Αθηνών. Ο κατηγορούμενος αθωώθηκε λόγωέλλειψηςδόλου.Ωστόσο,υπήρχεμια νέαπτυχήσεαυτήτηδίκη.Ούτεο καταγγέλλων,κ.Γιώργος Φλώρας, ούτε τοάτομο που έκανετην καταγγελία στην ΑΔΑΕ, ούτε η ΑΔΑΕ που εξέδωσε την απόφαση, ήταν παρόντες ως μάρτυρες προς υποστήριξη των κατηγοριών.
Προηγουμένως, ο κ. Φλώρας είχε υποβάλειγραπτό αίτημα στον εισαγγελέα ναεμφανιστείωςμάρτυραςστη δίκη,προκειμένου να καταχωρηθεί στη δικογραφία και να ερωτηθείστοδικαστήριο.Ωστόσο,τοδικαστήριοαπέρριψετοαίτημα του κ.Φλώρα.
Λίγες ημέρεςαργότερα, ο κ. Φλώρας απέστειλε επιστολή στηνΕισαγγελέατου Αρείου Πάγου Γεωργία Αδειλίνη, την οποία δημοσίευσετο Data Journalist. Οκ.Φλώραςτηνενημέρωσεεπίσηςγια ταόσα συνέβησανστη δίκη του Ιουλίου και για τον κίνδυνο να αθωωθούν οι εκπρόσωποι των εταιρειών σεάλλεςπρογραμματισμένεςδίκες.
Επιστολή που απέστειλε προς την εισαγγελέα του Αρείου Πάγου (pdf ΕΔΩ)
“Εάν αυτή η προσέγγιση συνεχιστεί σε όλες τις άλλες περιπτώσεις,τότεοκατηγορούμενοςπρέπεινααθωωθεί.Δενπρόκειταιναυποστηρίξωεκπροοιμίου ότι είναι άδικονααθωωθείοκατηγορούμενος.Ωστόσο, θα υποστηρίξω ότι ηεισαγγελίαδενμπορείνααφήσειτονκατηγορούμενοναδικαστείγιαένατόσοσοβαρόαδίκημαμεβάσητηναπόφασηενόςανεξάρτητουοργάνου,χωρίς να υπάρχεικανείς στο δικαστήριο για να υποστηρίξει τιςκατηγορίες.Είναιείτε ο ασθενής,η ΔΑΑΕ είτε οκατήγορος,όπωςεγώ,που ξύπνησε ένα πρωί και είπε, ας πάμε να κατηγορήσουμετηνεισαγγελία,κάτιπουσαφώςδενισχύει”,αναφέρειο Φλώρας στην επιστολή του,τονίζονταςότι εναπόκειταιστηνεισαγγελίανα δώσειστοιχεία.
Οανώτατοςεισαγγελέαςέκανε δεκτό το αίτημα τουΦλώρα. Πριν από λίγες ημέρες, σύμφωνα με πληροφορίες του Data Journalist, έλαβε κλήση για να εξεταστεί ως μάρτυρας στηναναβληθείσαδίκη της 11ης Σεπτεμβρίου.Ηδίκητώραφαίνεταιναέχειπάρεινέα τροπή.
Ένα άλλοθέμα που θίγει ο κ. Φλώραςστηνεπιστολήτουαφορά το ύψος των προστίμων πουεπιβάλλειη ΑΔΑΕ και τα κέρδη των εταιρειών κινητής τηλεφωνίας. Τοσύνολοτωνπροστίμωνπου επιβάλλειοανεξάρτητοςφορέαςγια παραβιάσεις του απορρήτου των επικοινωνιών μπορείναανέλθεισε εκατομμύρια ευρώ. Συγκεκριμένα,μεταξύ2017 και2022, η ΑΔΑΕ επέβαλε πρόστιμα συνολικού ύψους 7,2 εκατ. ευρώ σε εταιρείες κινητής τηλεφωνίας. Πρόκειται για εκατοντάδες υποθέσεις και καταγγελίες που χειρίζεταιη ΑΔΑΕ. Παράλληλα,τα κέρδη των εταιρειώντηνίδιαπερίοδοανέρχονται σε αρκετές δεκάδες δισεκατομμύρια ευρώ,συγκεκριμέναμόνοοΟΤΕκαιηVODAFONEανέρχονταισεπερίπου13δισεκατομμύριαευρώ.
“Δεδομένουτουσημαντικούκόστους που συνεπάγεται η εφαρμογή μέτρων ασφαλείας για τηδιασφάλισητου απόλυτου απορρήτου των επικοινωνιών,γίνεταιεύκολα αντιληπτόότι τα πρόστιμα που επέβαλε η Ε.Ε.Τ.Τ. δεν θααποτελούσαν καθόλου αποτρεπτικόπαράγοντα για τις τηλεφωνικέςεταιρείες.
Νέο CVE υψηλής βαθμολογίας από την Google στη libwebp
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.