دء التشغيل الذي يحاول تغيير الطريقة التي نؤدي بها البريد الإلكتروني من خلال إنشاء الخوادم الخاصة بنا، تنتهج أن منتجاتها "يضمن الأمن المطلق والخصوصية." والحقيقة هي أن علينا جميعا ربما تشغيل يصرخ عندما نرى مثل هذه الكلمات في وصفها للمنتج لأنه ثبت مرارا وتكرارا أن الحقيقة هي الكثير مختلفة.
الباحث الأمني يقول سكوت هيلم الجهاز $ 199 Nomx تبيع أبعد ما يكون عن ما تقول هو عليه. في الواقع، كما اكتشفت HELME، مربع يحمل التوت بي وث البرامج التي عفا عليها الزمن والكثير من البق. ويضيف أن ومليئة رمز مع "أمثلة سيئة لكيفية فعل الأشياء."أوتش!
ووجدت الباحثة الكثير من القضايا مع المنتج Nomx ككل، ولكن ربما كان أحد أخطر حقيقة أن تطبيق الويب الخاص بها جاءت محملة الضعف التي سمحت فقط حول أي شخص لتولي السيطرة الكاملة للجهاز عن بعد عن طريق زيارة بسيطة ل موقع على شبكة الإنترنت الخبيثة. وكانت النتيجة أن يتمكن من قراءة، وإرسال رسائل البريد الإلكتروني وحذف، أو حتى إنشاء عنوان بريد إلكتروني جديد.
وبشكل أكثر تحديدا، تطبيق الويب Nomx عرضة لعبر موقع ضعف الطلب التزوير الذي هو تماما طريقة الهجوم المشترك. إذا كان عليك زيارة الموقع الإلكتروني الخبيثة، عليك أن تعطي المتسللين من الوصول إلى حساب البريد الإلكتروني الخاص بك يعمل على Nomx.
كما اللوحة يشير، وكان الرئيس التنفيذي لشركة Nomx سريع لانتقاد التقرير، قائلا إن أجهزة Nomx أحدث لا تعمل على التوت بي والتي كانت متجذرة الجهاز أعطيت HELME لأغراض الاختبار والكبار. وعلاوة على ذلك، من أجل مثل هذا الهجوم إلى العمل، أن يكون لدى المستخدمين لديك حساب بريد إلكتروني الصفحة مفتوحة.
البرامج القديمة
وفقا لقائمة HELME، تم الإفراج عن أحدث نسخة من البرنامج على الجهاز في سبتمبر عام 2016، مع أقدم تعود إلى مايو 2012.
"من المثير للاهتمام أن نرى مثل هذه الإصدارات القديمة من البرنامج على هناك إذا تم بناء جهاز ولو من بعيد مؤخرا لست متأكدا كيف كنت في نهاية المطاف مع هذه الإصدارات القديمة بجدية المثبتة. كان لي نظرة لأي آلية التحديث التلقائي بأنني يمكن العثور على ولكن لا يمكن أن نرى أي شيء هناك "، ويلاحظ HELME.
ثم هناك حقيقة أنه في كل مرة كان يحاول إرسال البريد الإلكتروني، وارتدت الرسائل مرة أخرى. إلا إذا قمت بإرسال بريد إلكتروني إلى شخص آخر باستخدام Nomx (التي لا تعترف بها عن طريق "المصافحة" بين الأجهزة)، فإن الشيء لا تعمل كما ينبغي، ورسائل البريد الإلكتروني قد ينتهي بشكل جيد جدا حتى على خدمة البريد غير آمنة.
يسرد HELME قائمة كاملة من المشاكل التي اكتشفت في تقريره المطول والمفصل جدا
A service proclaiming to be the most secure in the world is anything but that, a researcher says, after discovering plenty of critical vulnerabilities.
Nomx, a startup that's trying to change the way we do email by setting up our own private servers, touts that its product "ensures absolute security and privacy." The reality is that we should all probably run screaming when we see such words in a product's description because it's been proven time and time again that the truth is a lot different.
Security researcher Scott Helme says the $199 device Nomx is selling is far from what it says it is. In fact, as Helme discovered, the box holds a Raspberry Pi wth outdated software and plenty of bugs. He adds that the code is riddled with "bad examples of how to do things." Ouch!
The researcher found plenty of issues with the Nomx product as a whole, but perhaps the most dangerous one was the fact that its web application came packed with a vulnerability that allowed just about anyone to take full control of the device remotely via a simple visit to a malicious website. The result was that he could read, send and delete emails, or even create a new email address.
More specifically, the Nomx web app is vulnerable to a cross-site request forgery vulnerability which is quite a common attack method. If you'll visit the malicious website, you'll give hackers access to your email account running on Nomx.
As Motherboard points out, the Nomx CEO was quick to slam the report, saying that newer Nomx devices don't run on Raspberry Pi and that the device Helme was given for testing purposes was rooted and old. Furthermore, in order for such an attack to work, users would have to have the email account page open.
Outdated software
According to Helme's list, the most recent version of software on the device was released in September 2016, with the oldest going back to May 2012.
"It's interesting to see such outdated versions of software on there if the device was built even remotely recently I'm not sure how you'd end up with such seriously old versions installed. I had a look for any auto-update mechanism that I could find but couldn't see anything on there," Helme notes.
Then there's the fact that every time he tried to send an email, the messages bounced back. Unless you send an email to someone else using Nomx (which is recognized via a "handshake" between the devices), the thing won't work as it should and the emails may very well end up on insecure mail servers.
Helme lists a whole list of problems he discovered in his lengthy and very detailed report.
ليست هناك تعليقات:
إرسال تعليق