«Доктор Веб» разъяснил опасность использования приложений «банк-клиент» с SSL v.2

16 фев 2017 19:05 #52943 от ICT
Служба технической поддержки «Доктор Веб» выступила с заявлением относительно приложений «банк-клиент», использующих небезопасный протокол SSL v.2. Как рассказали CNews в компании, на данный момент в связи с многочисленными уязвимостями в SSL v.2 использование данного протокола, а равно и приложений, его использующих, является небезопасным. В частности, при использовании данного протокола возможны атаки типа «человек посередине» (MITM-атаки) и атаки, позволяющие изменить ход передачи данных. Используемый в SSL v.2 алгоритм хэширования MD5 на данный момент также скомпрометирован и не рекомендуется к использованию. О небезопасности протокола SSL v.2 известно давно, еще в 1996 г. это послужило основанием для его замены версией SSL v.3, в которой впоследствии также была обнаружена уязвимость CVE-2014-3566. Протокол SSL v.2 был официально переведен в разряд устаревших в 2011 г. в соответствии с технической спецификацией RFC 6176. В связи с наличием данной спецификации антивирус Dr.Web в момент установления соединения в соответствии с протоколом SSL v.2 информировал своих пользователей об опасности. Как стало понятно из обращений пользователей Dr.Web в службу технической поддержки, приложения «банк-клиент» некоторых российских банков продолжают использовать небезопасный протокол SSL v.2. Сотрудники служб поддержки клиентов этих банков даже советовали нашим пользователям, испытывавшим проблемы при работе с банковскими приложениями из-за работы Dr.Web, деинсталлировать Dr.Web, подвергая денежные средства своих же клиентов серьёзному риску. Компания «Доктор Веб» рекомендует пользователям небезопасных приложений обновить их. В случае невозможности обновления пользователи могут разрешить их использование, включая использование небезопасного протокола, в настройках продуктов Dr.Web. Если вы принимаете решение об использовании системы «банк-клиент», поинтересуйтесь у банка безопасностью используемого в приложении протокола, и в случае использования SSL v.2 или SSL v.3 откажитесь от использования приложения. Рекомендуемыми протоколами на данный момент являются протоколы TLS v.1 и выше. Ссылка на источник


  • Сообщений: 75474

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    "Банк Москвы" интегрировал "Интернет Банк-Клиент" с системой "1С:Бухгалтерия"12.77Среда, 01 апреля 2015
    Solar inCode: без-исходная безопасность. Новый продукт оценит «опасность» мобильных и онлайн-приложений12.62Понедельник, 09 ноября 2015
    Банк "Открытие" запустил систему "Единый клиент"11.27Среда, 29 апреля 2015
    ВТБ24 запустил мобильную версию системы "Банк-Клиент Онлайн"11.03Понедельник, 03 августа 2015
    «Росевробанк» внедрил новую систему «Банк-Клиент» для корпоративных клиентов11.03Вторник, 29 мая 2018
    Банк-клиент онлайн" ВТБ24 теперь доступен с любого интернет-браузера10.92Среда, 08 апреля 2015
    Банк «Уралсиб» запустил в «Клиент-банке» для юрлиц сервис проверки контрагентов10.92Понедельник, 18 июля 2016
    «Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений10.91Четверг, 26 ноября 2015
    «Банк Казани» расширил масштабы использования ECM-системы Directum10.37Пятница, 26 августа 2016
    В "Пробизнесбанке" создан единый интернет-банк для корпоративного и личного использования10.26Среда, 25 февраля 2015

    Мы в соц. сетях