Rafay Baloch - Rafay Baloch

Rafay Baloch
Fotografie
Rafay Baloch v Tech Valley, v roce 2019
narozený (1993-02-05) 5. února 1993 (věk 27)
NárodnostPákistán
webová stránkawww.rafaybaloch.com

Rafay Baloch (Urdu: رافع بلوچ, Narozen 5. února 1993) je pákistánská etika hacker a bezpečnostní výzkumník známý svým objevem zranitelností na internetu Android operační systém. Byl uváděn a znám jak v národních, tak v mezinárodních médiích a publikacích[1][2] jako Forbes,[3] BBC,[4] The Wall Street Journal,[5] a Expresní tribuna.[1] CheckMarx byl zařazen mezi „Top 5 Ethical Hackers of 2014“ [1][6]. Následně byl uveden jako jeden z „15 nejúspěšnějších etických hackerů po celém světě“[7] a mezi „25 nejlepšími hledači hrozeb“ [8] podle SCmagazine. Baloch byl také přidán do seznamu TechJuice 25 do 25 pro rok 2016 a získal 13. místo v seznamu vysoce úspěšných [9].

Osobní život

Rafay Baloch navštěvoval Bahria University Karachi Campus, kde získal bakalářský titul v oboru počítačových věd. Baloch je v současné době umístěn v síni slávy Bahria University.[10]

Kariéra

Baloch zahájil svoji hackerskou kariéru, zatímco ještě dělal bakaláře. Poté napsal knihu s názvem „Etické hackerství Penetrační testování Průvodce ". Je prvním pákistánským výzkumníkem v oblasti bezpečnosti, kterého uznal Google, Facebook, PayPal, Jablko, Microsoft[11] a mnoho dalších mezinárodních organizací. Napsal také několik článků o informacích bezpečnostní, jmenovitě „HTML5 Modern Day Attack Vectors “,„ Web Application Firewall Bypass “a„ Bypassing Browser Security Polies for Fun And Profit “.[12]

Rafay Baloch v současné době pracuje jako poradce pro kybernetickou bezpečnost ve společnosti Pákistánský telekomunikační úřad.[13]

Bug bounty programy

Baloch se aktivně účastnil bug bounty programů a hlásil několik kritických zranitelností[14] v několika open source webových aplikacích i v bug odměna programy. Baloch našel kritické zranitelnosti v PayPalu v roce 2012: hackl se na servery PayPal tím, že využil zranitelnost vzdáleného spuštění kódu. Byl odměněn 10 000 $ a nabídkou práce, aby pro ně pracoval jako bezpečnostní výzkumník, kterou odmítl, protože stále dělal své bakalář toho času.[15] HackRead, zpravodajská platforma na InfoSec, ho zařadila mezi „10 slavných lovců odměn za odměny všech dob“.[16] Společnost Baloch také získala 5 000 USD od společností Google a Firefox za vyloučení této chyby zabezpečení v jejich prohlížečích.[17]

Výzkum zabezpečení prohlížeče

Baloch aktivně hlásil několik kritických zranitelností v prohlížečích. Začal tím, že našel Stejná politika původu (SOP) obejít v prohlížeči Android Stock, který byl původně odmítnut společností Google;[18] toto však bylo později ověřeno Googlem poté, co to ověřili vědci z Rapid7.[19] Toto bylo vytvořeno jako CVE -2014-6041. Baloch následovaný hlášením několika dalších obchvatů SOP.[20] Výzkumní pracovníci v Trend Micro shledal tuto chybu rozšířenější.[21] Později bylo oznámeno, že hackeři k hackování aktivně využívali Balochovy obchvatové obchůzky SOP Facebook účty.[22] Chyba bypassu SOP byla zvýšena výzkumníkem Rapid7 Joe Vennixem za provedení vzdáleného spuštění kódu.[23][24] Baloch také našel několik zranitelností ovlivňujících WebView, které útočníkovi umožňovaly číst místní soubory a krást cookies z uživatelského zařízení.[25] V říjnu 2020 představila společnost Baloch několik chyb zabezpečení spočívajících v spoofingu adresního řádku, které ovlivňují Apple Safari, Yandex, Opera Mini, UC Browser, Opera Touch, Bolt Browser a RITS browser. Zveřejnění zranitelnosti koordinoval Rapid7, který poskytl 60denní časovou osu pro opravu zranitelností. Po dokončení 60 dnů Baloch uvolnil POC zneužití postižených prohlížečů.[26][27][28][29][30][31][32][33][34]

Panel adres Apple Safari spoofing kontroverze

V roce 2018 odhalil Baloch trhlinu v obou Safari a Prohlížeč Microsoft Edge což připravilo cestu pro to, aby se URL bezpečného webu zobrazovalo v adresním řádku, zatímco uživatelé byli ve skutečnosti přesměrováni na jiný, možná škodlivý web.[35] Rafay Baloch identifikoval problém se zabezpečením a informoval společnosti Apple a Microsoft počátkem června 2018. Microsoft problém vyřešil do dvou měsíců, ale Apple nereagoval na zprávu Balocha i přes stanovenou lhůtu 90denní lhůty, takže podrobnosti zveřejnil.[36] Rafay Baloch ve svém článku napsal, že adresní řádek lze použít ke snadnému narušení soukromí někoho jiného, ​​aniž by si toho všiml.[37] Důvodem je to možné proto, že adresní řádek je jediným spolehlivým indikátorem zabezpečení v nových prohlížečích, protože zobrazuje adresu URL webu a další podrobnosti související s webovou stránkou, na které je.[38][39][40][41]

Zjištění zásad bez oprav Google

V roce 2014 poté, co Rafay Baloch a Joe Vennix informovali Google o chybě, která by hackerům umožnila vyhnout se zásadám stejného původu (SOP) prohlížeče Android Open Source Platform (AOSP), [42] zjistili, že Google již ukončil svou podporu pro WebView na zařízeních Android se systémem Android 4.3 nebo staršími verzemi, přičemž dal břemeno na výrobce OEM a komunitu zabezpečení otevřeného zdroje, aby uživatelům poskytovali opravy současně. Zatímco oficiální postoj společnosti Google k WebView pro starší zařízení starší než Android 4.4 byl následující: „Pokud je ovlivněná verze [WebView] starší než 4.4, obvykle nevyvíjíme tyto opravy sami, ale vítáme opravy s touto zprávou ke zvážení. Kromě oznámení výrobcům OEM nebudeme moci podniknout kroky v případě jakékoli zprávy ovlivňující verze před 4.4, které nejsou doprovázeny opravou. “ [43] Bohužel starší verze Androidu s neopravenými chybami WebView byly způsobeny hlavně jejich špatnou upgradovanou cestou, takže uživatelé byli vystaveni. [43][44]

Google poté vydal WebView jako samostatnou aplikaci, kterou lze aktualizovat odděleně od verze zařízení pro Android. Jednoduše řečeno, přebudování WebView by prospělo nejnovějším verzím Androidu, Lollipop 5.0 a Marshmallow 6.0. [43] Tato možnost však pro starší verzi operačního systému není k dispozici nikomu. [36]

Pokud jde o zásadu no-patch společnosti Google, Baloch sdílel své názory se společností Zimperium a uvedl, že „rozhodnutí společnosti Google, že již nebude opravovat kritické bezpečnostní chyby (pre-KitKat), by určitě mělo dopad na drtivou většinu uživatelů. Bezpečnostní firmy již vidí útoky ve volné přírodě, kde uživatelé zneužívají zásadu SOP (Same Origin Policy) a obcházejí chyby, aby cílovali uživatele Facebooku. “ [45]

Metasploit Framework, vlastněný Rapid7, obsahoval 11 takových WebView exploitů, které bylo třeba opravit, většinou šlo o příspěvky od Rafay Baloch a Joe Vennix. [46][47]

Reference

  1. ^ A b C „Neznámý účastník: Pákistánci zaujímají první místo v seznamu etických hackerů roku 2014 - Express Tribune. Expresní tribuna. 2015-01-03. Citováno 2018-05-06.
  2. ^ „Rafay Baloch uznáván jako jeden z nejlepších etických hackerů roku 2014“. propakistani.pk. Citováno 2018-05-06.
  3. ^ Fox-Brewster, Thomas. „Rozsáhlá chyba zabezpečení systému Android„ Pohroma soukromí “, tvrdí výzkumní pracovníci“. Forbes. Citováno 2018-05-06.
  4. ^ „Posun zabezpečení systému Android vystavuje uživatele“. BBC novinky. 2015. Citováno 2018-05-06.
  5. ^ Yadron, Danny (01.01.2015). „Google neopravuje některé staré chyby systému Android“. WSJ. Citováno 2018-05-06.
  6. ^ Husain, Osmane. „Rafay Baloch uznáván jako jeden z nejlepších etických hackerů roku 2014“. Citováno 2019-10-27.
  7. ^ „15 nejúspěšnějších etických hackerů na světě“. SC Media UK. 2016-04-06. Citováno 2018-06-04.
  8. ^ „Restartovat 25: Hledači hrozeb“. SC Media. 2014-12-08. Citováno 2019-10-27.
  9. ^ „Rafay Baloch, 22“. TechJuice. Citováno 2019-10-28.
  10. ^ Mezinárodní uznání studentů BU
  11. ^ „Zabezpečení Microsoftu“.
  12. ^ „Black Hat Asia 2016“. www.blackhat.com. Citováno 2018-05-06.
  13. ^ „Rafay Baloch - poradce pro kybernetickou bezpečnost - PTA“.
  14. ^ „Soubory od Rafaye Balocha“.
  15. ^ „Práce u stolu: Mladí technici využívají IT dovednosti s miliony rupií“. Expresní tribuna. 2012-12-30. Citováno 2018-05-06.
  16. ^ „10 slavných lovců odměn za bugy všech dob“. HackRead. 2016-02-10. Citováno 2020-09-20.
  17. ^ „Pákistánský hacker získal 5 000 $ za nalezení chyby v prohlížeči Chrome, Firefox“. Expresní tribuna. 2016-08-18. Citováno 2020-09-20.
  18. ^ „Google Under Fire pro tiché zabíjení důležitých aktualizací zabezpečení systému Android za téměř jednu miliardu“. Citováno 2015-01-12.
  19. ^ „Hlavní chyba systému Android je katastrofou v oblasti soukromí (CVE-2014-6041)“.
  20. ^ „Další chyba odhalená pákistánským výzkumníkem“.
  21. ^ „Zranitelnost obcházení zásad stejného původu má širší dosah, než si myslel - Trendmicro“. Trendmicro. 2014-09-29.
  22. ^ „Využívají zásady stejného původu uživatelů Facebooku na Android - Trendmicro“. Trendmicro. 2014-10-26.
  23. ^ „Google Play Store X-Frame-Options (XFO) Gaps Enable Android Remote Code Execution (RCE)“. 2015-02-10.
  24. ^ „(XFO) Gaps Enable Android Remote Code Execution (RCE)“.
  25. ^ „Bypassing-Browser-Security-Policies-For-Fun-And-Profit“ (PDF).
  26. ^ „Apple, Opera a Yandex opravují spoofingové chyby v adresním řádku prohlížeče, ale miliony dalších jsou stále zranitelné“. TechCrunch. Citováno 2020-10-27.
  27. ^ „Chyba mobilního prohlížeče vystavuje uživatele spoofingovým útokům“. IT PRO. Citováno 2020-10-27.
  28. ^ „[Vuln Disclosure] Mobile Browser Bar Spoofing zranitelnosti“. Blog Rapid7. 2020-10-20. Citováno 2020-10-27.
  29. ^ „Byly nalezeny oblíbené mobilní prohlížeče zranitelné při útoku na spoofing adresního řádku“. Hackerské zprávy. Citováno 2020-10-27.
  30. ^ Team, Exavibes (2020-10-20). „Apple, Opera a Yandex opravují spoofingové chyby v adresním řádku prohlížeče, ale miliony dalších jsou stále zranitelné - TechCrunch“. ExaVibes | Přináší nejnovější zprávy a aktualizace. Citováno 2020-10-27.
  31. ^ „Apple, Opera a Yandex opravují spoofingové chyby v adresním řádku prohlížeče, ale miliony dalších jsou stále zranitelné“. news.yahoo.com. Citováno 2020-10-27.
  32. ^ „Apple Safari, Opera a Yandex nalezeny se zranitelností spoof adresního řádku, ne všechny jsou opraveny“. Hindustan Times Tech. Citováno 2020-10-27.
  33. ^ „Zranitelnosti adresního řádku odhalil výzkumný pracovník Cyber ​​Citadel“. Cyber ​​Citadel. 2020-10-20. Citováno 2020-10-28.
  34. ^ „Chyba adresního řádku odhaluje potřebu obrany proti kybernetickým útokům Covid“. South China Morning Post. 2020-10-24. Citováno 2020-10-28.
  35. ^ „Bezpečnostní chyba ponechala uživatele Safari a Edge zranitelní vůči falešným webům“. Engadget. Citováno 2019-01-01.
  36. ^ A b Fox-Brewster, Thomas. „Google Under Fire pro tiché zabíjení důležitých aktualizací zabezpečení systému Android za téměř jednu miliardu“. Forbes. Citováno 2019-01-01.
  37. ^ „Spoofing adresního řádku prohlížeče Apple Safari a Microsoft Edge Browser - zápis. Různé tátačky etického hackera. Citováno 2019-01-01.
  38. ^ Sameer, Sarmade. „Pákistánský výzkumník zjišťuje chybu zabezpečení spočívající v spoofingu adresního řádku v Safari a Microsoft Edge“. Citováno 2019-01-01.
  39. ^ „Prohlížeče Apple Safari a Microsoft Edge obsahují chybu spoofing“. SC Media. 2018-09-12. Citováno 2019-01-01.
  40. ^ tweet_btn (), Shaun Nichols v San Francisku 11. září 2018 v 05:01. „Safari, fanoušci Edge: Je to opravdu ten web, o kterém si myslíte, že ho navštěvujete?. www.theregister.co.uk. Citováno 2019-01-01.
  41. ^ „Bylo odhaleno zneužití spoofingu URL pro iOS pro iOS, bez zdokumentované opravy“. AppleInsider. Citováno 2020-09-20.
  42. ^ „Restartovat 25: Hledači hrozeb“. SC Media. 2014-12-08. Citováno 2019-08-19.
  43. ^ A b C Allen, Grant (2015-12-18). Počínaje Androidem. Apress. ISBN  9781430246879.
  44. ^ „Google předává starší opravy pro Android; 930 milionů zařízení je zranitelných“. threatpost.com. Citováno 2019-01-01.
  45. ^ „Žádná oprava obcházení zásad stejného původu ve starých zařízeních Android“. Blog společnosti Zimperium Mobile Security. 2015-01-15. Citováno 2019-08-19.
  46. ^ „Posun zabezpečení systému Android vystavuje uživatele“. 2015-01-13. Citováno 2019-08-19.
  47. ^ „Zabezpečení online: Pákistánština pomáhá Googlu předcházet katastrofě v oblasti soukromí. Expresní tribuna. 2014-09-20. Citováno 2019-01-01.