Рафай Балох - Rafay Baloch

Рафай Балох
Фотография
Рафай Балох в Tech Valley, 2019 г.
Родившийся (1993-02-05) 5 февраля 1993 г. (возраст 27)
НациональностьПакистан
Интернет сайтwww.rafaybaloch.com

Рафай Балох (Урду: رافع بلوچ, Родился 5 февраля 1993 г.) является пакистанским этическим хакер и исследователь безопасности, известный своим открытием уязвимостей на Android Операционная система. Он был отмечен и известен как в национальных, так и в международных СМИ и публикациях.[1][2] подобно Forbes,[3] BBC,[4] Журнал "Уолл Стрит,[5] и Экспресс Трибьюн.[1] Он был включен CheckMarx в список «5 лучших этических хакеров 2014 года». [1][6]. Впоследствии он был внесен в список «15 самых успешных этических хакеров в мире».[7] и среди «25 лучших искателей угроз» [8] пользователя SCmagazine. Белудж также был добавлен в список TechJuice 25 до 25 за 2016 год и занял 13-е место в списке отличников. [9].

Личная жизнь

Рафай Балох посещал кампус университета Бахрии в Карачи, где получил степень бакалавра компьютерных наук. Белудж в настоящее время помещен в Зал славы Университета Бахрии.[10]

Карьера

Балоч начал свою хакерскую карьеру, еще будучи холостяком. Затем он написал книгу под названием "Этический взлом Тестирование на проникновение Путеводитель ». Он первый пакистанский исследователь безопасности, получивший признание Google, Facebook, PayPal, яблоко, Microsoft[11] и многие другие международные организации. Он также написал несколько статей по информации безопасность, а именно "HTML5 Современные векторы атак »,« Обход брандмауэра веб-приложений »и« Обход политик безопасности браузера для развлечения и прибыли ».[12]

Рафай Балох в настоящее время работает советником по кибербезопасности в Управление электросвязи Пакистана.[13]

Программы Bug Bounty

Балох активно участвует в программах по выявлению ошибок и сообщил о нескольких критических уязвимостях.[14] в нескольких веб-приложениях с открытым исходным кодом, а также в награда за ошибку программы. Балох обнаружил критические уязвимости в PayPal в 2012 году: он взломал серверы PayPal, используя уязвимость удаленного выполнения кода. Он был вознагражден 10 000 долларов и предложение о работе на них в качестве исследователя безопасности, от которого он отказался, поскольку он все еще выполнял свои обязанности. бакалавр в это время.[15] HackRead, новостная платформа InfoSec, включила его в список «10 известных охотников за ошибками всех времен».[16] Балоч также был награжден 5000 долларов от Google и Firefox за обнаружение уязвимости в их браузерах.[17]

Исследование безопасности браузера

Балох активно сообщает о нескольких критических уязвимостях в браузерах. Он начал с поиска Политика одинакового происхождения (СОП) обход в браузере Android Stock, который изначально был отклонен Google;[18] однако это было позже подтверждено Google после того, как исследователи из Rapid7 подтвердили это.[19] Это было придумано как CVE -2014-6041. Затем Белудж сообщил о нескольких других обходных операциях.[20] Исследователи из Trend Micro обнаружил, что эта ошибка более распространена.[21] Позже сообщалось, что хакеры активно использовали обходные эксплойты Белуджа SOP для взлома Facebook учетные записи.[22] Ошибка обхода SOP была увеличена исследователем Rapid7 Джо Венниксом за выполнение удаленного кода.[23][24] Балох также обнаружил несколько уязвимостей, влияющих на WebView, которые позволяли злоумышленнику читать локальные файлы, а также красть файлы cookie с пользовательского устройства.[25] В октябре 2020 года Балоч представил несколько уязвимостей спуфинга адресной строки, затрагивающих Apple Safari, Яндекс, Opera Mini, UC Browser, Opera Touch, Bolt Browser и браузер RITS. Раскрытие уязвимости координировалось Rapid7, который дал 60-дневный срок для исправления уязвимостей. По прошествии 60 дней Белудж выпустил эксплойты POC для затронутых браузеров.[26][27][28][29][30][31][32][33][34]

Споры о спуфинге адресной строки в Apple Safari

В 2018 году Белудж обнаружил трещину в обоих Сафари и Браузер Microsoft Edge это проложило путь для отображения URL-адреса безопасного веб-сайта в адресной строке, в то время как пользователи фактически переходили на другой и, возможно, вредоносный веб-сайт.[35] Рафай Балох определил проблему безопасности и проинформировал Apple и Microsoft в начале июня 2018 года. Microsoft устранила проблему в течение двух месяцев, но Apple не ответила на отчет Балоха, несмотря на установленный крайний срок - 90-дневный льготный период, поэтому он обнародовал подробности.[36] Рафай Балох написал в своей статье, что с помощью адресной строки можно легко нарушить чью-либо конфиденциальность, даже не заметив этого.[37] Причина, по которой это возможно, заключается в том, что адресная строка является единственным надежным индикатором безопасности в новых браузерах, поскольку она отображает URL-адрес сайта и другие сведения, относящиеся к веб-странице, на которой он находится.[38][39][40][41]

Обнаружение политики без исправлений Google

В 2014 году, после того как Рафай Балох и Джо Венникс сообщили в Google об ошибке, которая может позволить хакерам избежать политики одинакового происхождения (SOP) браузера Android Open Source Platform (AOSP), [42] они обнаружили, что Google уже прекратил поддержку WebView на устройствах Android под управлением Android 4.3 или более ранних версий, при этом возложив ответственность на OEM-производителей и сообщество разработчиков ПО с открытым исходным кодом, чтобы одновременно предоставлять пользователям исправления. В то время как официальная позиция Google в отношении WebView для более старых устройств до Android 4.4 была следующей: «Если уязвимая версия [WebView] ниже 4.4, мы обычно не разрабатываем патчи сами, но приветствуем патчи вместе с отчетом на рассмотрение. За исключением уведомления производителей оборудования, мы не сможем принять меры по любому отчету, который затрагивает версии до 4.4, не сопровождаемые патчем ». [43] К сожалению, старые версии Android, в которых не были исправлены ошибки WebView, были в основном из-за их плохого пути к обновлению, что оставляло пользователей уязвимыми. [43][44]

Затем Google выпустил WebView как отдельное приложение, которое можно обновлять отдельно от Android-версии устройства. Проще говоря, изменение архитектуры WebView принесет пользу последним версиям Android, Lollipop 5.0 и Marshmallow 6.0. [43] Но эта опция остается недоступной для кого-либо в более старой версии операционной системы. [36]

Что касается политики Google без исправлений, Балох поделился своим мнением с Zimperium, заявив, что «решение Google больше не исправлять критические ошибки безопасности (до KitKat), безусловно, повлияет на подавляющее большинство пользователей. Фирмы по безопасности уже наблюдают атаки в дикой природе, когда пользователи злоупотребляют ошибкой обхода Same Origin Policy (SOP), чтобы нацеливаться на пользователей Facebook ». [45]

Платформа Metasploit Framework, принадлежащая Rapid7, содержала 11 таких эксплойтов WebView, которые необходимо было исправить, большинство из которых были внесены Рафаем Балочем и Джо Венниксом. [46][47]

Рекомендации

  1. ^ а б c «Незаметный достижения: Пакистан возглавил список этических хакеров 2014 года - The Express Tribune». Экспресс Трибьюн. 2015-01-03. Получено 2018-05-06.
  2. ^ «Рафай Балох признан одним из главных этических хакеров 2014 года». propakistani.pk. Получено 2018-05-06.
  3. ^ Фокс-Брюстер, Томас. "Широко распространенная уязвимость Android - нарушение конфиденциальности, утверждают исследователи". Forbes. Получено 2018-05-06.
  4. ^ «Сдвиг безопасности Android подвергает опасности пользователей». Новости BBC. 2015. Получено 2018-05-06.
  5. ^ Ядрон, Дэнни (2015-01-12). «Google не исправляет некоторые старые ошибки Android». WSJ. Получено 2018-05-06.
  6. ^ Хусейн, Осман. «Рафай Балох признан одним из главных этических хакеров 2014 года». Получено 2019-10-27.
  7. ^ «15 самых успешных этических хакеров в мире». SC Media UK. 2016-04-06. Получено 2018-06-04.
  8. ^ «Перезагрузка 25: ищущие угрозы». SC Media. 2014-12-08. Получено 2019-10-27.
  9. ^ "Рафай Балох, 22". TechJuice. Получено 2019-10-28.
  10. ^ Международное признание студентов BU
  11. ^ «Безопасность Microsoft».
  12. ^ «Black Hat Asia 2016». www.blackhat.com. Получено 2018-05-06.
  13. ^ «Рафай Балох - советник по кибербезопасности - PTA».
  14. ^ "Файлы от Рафая Балоха".
  15. ^ «Работа за столом: молодой технарь зарабатывает миллион рупий, используя свои навыки работы с ИТ». Экспресс Трибьюн. 2012-12-30. Получено 2018-05-06.
  16. ^ «10 известных охотников за головами всех времен». HackRead. 2016-02-10. Получено 2020-09-20.
  17. ^ «Пакистанский хакер наградил 5000 долларов за обнаружение ошибки в Chrome, Firefox». Экспресс Трибьюн. 2016-08-18. Получено 2020-09-20.
  18. ^ «Google под огнем критики за тихое уничтожение критических обновлений безопасности Android почти на один миллиард». Получено 2015-01-12.
  19. ^ «Серьезная ошибка Android - нарушение конфиденциальности (CVE-2014-6041)».
  20. ^ «Еще одна ошибка, обнаруженная пакистанским исследователем».
  21. ^ «Уязвимость обхода политики одинакового происхождения имеет более широкий охват, чем предполагалось - Trendmicro». Trendmicro. 2014-09-29.
  22. ^ «Пользователи Facebook, нацеленные на использование политики одинакового происхождения для Android - Trendmicro». Trendmicro. 2014-10-26.
  23. ^ "Пробелы в параметрах X-Frame-Options (XFO) в Google Play позволяют использовать удаленное выполнение кода Android (RCE)". 2015-02-10.
  24. ^ «(XFO) Gaps Enable Android Remote Code Execution (RCE)».
  25. ^ «Обход-политики-безопасности-браузера-для развлечения-и-выгоды» (PDF).
  26. ^ «Apple, Opera и Яндекс исправляют ошибки подмены адресной строки браузера, но еще миллионы остаются уязвимыми». TechCrunch. Получено 2020-10-27.
  27. ^ "Уязвимость мобильного браузера подвергает пользователей спуфингу". IT ПРО. Получено 2020-10-27.
  28. ^ "[Раскрытие уязвимости] Уязвимости спуфинга панели мобильного браузера". Блог Rapid7. 2020-10-20. Получено 2020-10-27.
  29. ^ «Популярные мобильные браузеры уязвимы для атак с использованием спуфинга адресной строки». Хакерские новости. Получено 2020-10-27.
  30. ^ Команда, Exavibes (2020-10-20). «Apple, Opera и Яндекс исправляют ошибки подмены адресной строки браузера, но миллионы других по-прежнему остаются уязвимыми - TechCrunch». ExaVibes | Приносит последние новости и обновления. Получено 2020-10-27.
  31. ^ «Apple, Opera и Яндекс исправляют ошибки подмены адресной строки браузера, но миллионы других по-прежнему остаются уязвимыми». news.yahoo.com. Получено 2020-10-27.
  32. ^ «В Apple Safari, Opera и Яндекс обнаружена уязвимость с подменой адресной строки, но не все исправлены». Hindustan Times Tech. Получено 2020-10-27.
  33. ^ "Уязвимости адресной строки, обнаруженные исследователем Cyber ​​Citadel". Кибер-цитадель. 2020-10-20. Получено 2020-10-28.
  34. ^ «Недостаток адресной строки указывает на необходимость защиты от кибератак Covid». Южно-Китайская утренняя почта. 2020-10-24. Получено 2020-10-28.
  35. ^ «Недостаток безопасности сделал пользователей Safari и Edge уязвимыми для поддельных веб-сайтов». Engadget. Получено 2019-01-01.
  36. ^ а б Фокс-Брюстер, Томас. «Google под огнем критики за тихое уничтожение критических обновлений безопасности Android почти на один миллиард». Forbes. Получено 2019-01-01.
  37. ^ «Подмена адресной строки браузера Apple Safari и Microsoft Edge - запись». Разные бредни этичного хакера. Получено 2019-01-01.
  38. ^ Самир, Сармад. «Пакистанский исследователь обнаружил уязвимость подмены адресной строки в Safari и Microsoft Edge». Получено 2019-01-01.
  39. ^ «Браузеры Apple Safari и Microsoft Edge содержат ошибку спуфинга». SC Media. 2018-09-12. Получено 2019-01-01.
  40. ^ tweet_btn (), Шон Николс в Сан-Франциско 11 сен 2018 в 05:01. «Safari, поклонники Edge: вы действительно думаете, что посещаете этот веб-сайт?. www.theregister.co.uk. Получено 2019-01-01.
  41. ^ «Обнаружен эксплойт с подменой URL в Safari для iOS, без документированного исправления». AppleInsider. Получено 2020-09-20.
  42. ^ «Перезагрузка 25: ищущие угрозы». SC Media. 2014-12-08. Получено 2019-08-19.
  43. ^ а б c Аллен, Грант (18 декабря 2015 г.). Начиная с Android. Апресс. ISBN  9781430246879.
  44. ^ «Google передает старые исправления для Android; 930 миллионов устройств уязвимы». угрозаpost.com. Получено 2019-01-01.
  45. ^ «Нет исправлений для обхода политики одинакового происхождения на старых устройствах Android». Блог Zimperium Mobile Security. 2015-01-15. Получено 2019-08-19.
  46. ^ «Сдвиг безопасности Android подвергает опасности пользователей». 2015-01-13. Получено 2019-08-19.
  47. ^ «Интернет-безопасность: пакистанский помогает Google избежать катастрофы с конфиденциальностью». Экспресс Трибьюн. 2014-09-20. Получено 2019-01-01.