パスワードを忘れた? アカウント作成
12707623 journal
日記

BlackWingCatの日記: 多くの 地方・都市銀行で導入を推奨している韓国製 SaAT Netizen を調べてみたら 第三者評価の辞退や脆弱性など、洒落にならないレベルだった件のまとめ

日記 by BlackWingCat
ここまでの流れ、
韓国 Ahnlab 製セキュリティ SaAT Netizen を解析してみたよ
2年前の記事:インストール方式が GOMPLAYER と同じで脆弱。しかも韓国のサーバー使っていると指摘

Ahnlab 国内サーバーにこっそり切り替えるだけの対応

銀行向け韓国製セキュリティ SaAT Netizenが酷過ぎてギャグレベルの惨状
自社製品に余計な機能を付けたのが原因なのに、最近他社製品と不具合を起こすようになったのは他社の仕様変更が原因と断言。IBMのセキュリティソフトと競合して大問題に

【衝撃】SaAT Netizenで有名なAhnlabの対フィッシング性能評価。オプトアウト希望で逃れていた事が判明!
いつも自社ウィルス対策製品の第三者評価機関として使っているAV-Comparatives にアンチフィッシング評価をオプトアウトで除外してもらっていた。

多くの都市銀行で採用されている韓国製SaAT Netizenをハッキングできるか実験してみた
ダウンロードファイルの乗っ取りができるか調べたら暗号の強度32bitだったでござる。ファイルサイズのチェックすらしていない

日本の 都市・地方銀行で採用されている韓国製SaAT NetizenにSuperFishと同じ脆弱性
DLLハックしたら、暗号関係なしに、自分で署名作れてしまったでござる。32bitの暗号も無意味に…

韓国製SaAT Netizenの3年前からある脆弱性、導入済み全ユーザにもサイバーテロ可能な事が判明
バージョンアップもインストールと同じ方式を使ってることが判明。インストールどころか導入してる全ユーザーに脆弱性


・saatalj.durasite.net サーバーや o2d1.saat.jp を乗っ取ることができた場合
・ユーザーが使っているプロバイダやDNSサーバーを乗っ取ることができた場合
・ユーザーが使っているパソコンの管理者権限を乗っ取ることができた場合
・Darkhotel などの手法で ユーザーの通信自体を乗っ取ることができた場合
・Proxy サーバーの乗っ取りができた場合

上記のいずれかで、悪意のあるソフトをダウンロードさせて管理者権限で実行可能な、SuperFish/SwiftKey を超える脆弱性を持ったアプリだと判明

SaAT Netizen開発元自社製セキュリティソフトの更新はSHA-256で保護されてることが判明
少なくとも、技術力がなかったから実装できなかったわけではないらしい。インストーラーにはチェック機構がなく、アップデートはチェックを行える?

Ahnlab 製品 の解析から分かった SaAT Netizenの脅威のまとめ

銀行が推奨しているSaAT Netizenのログの暗号を解除してみた
ログの暗号化を解除するソフトを作ってみたのでログを眺める

SaAT Netizen の更新プログラム機能の別の脆弱性?
あれ?なんかおかしいぞ

【よくできたバックドア】SaAT Netizen中間者攻撃で任意のファイルをプロセス隠蔽してシステム最上位権限で実行できた件
インストール直後に実行されるオンラインアップデータが、定義情報検証せずに、任意の場所にファイルを複数ダウンロードした挙句、システム最上位権限で実行できるアプリに偽装できる凶悪な脆弱性が発覚

JVNに問い合わせ

ぜひ報告をと返事

JVNに報告書送った ↓
こちらで定義する脆弱性とは認められないが情報公開すると連絡

JVNVU#97339542 SaAT Netizen にダウンロードファイル検証不備の脆弱性


【ニコニコ動画】韓国製SaAT Netizen インストーラー 脆弱性 実証動画
SaAT Netizenの脆弱性と 撤退した前身のnProtect の脆弱性の違い
この議論は、BlackWingCat (36519)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...