04.08.2021

Ростелеком «исследовал» безопасность 10 открытых приложений


Ростелеком опубликовал более чем странный отчёт «Свобода с подвохом» с результатами исследования безопасности 10 открытых приложений. В отчёте не приводятся конкретные сведения, информация о найденных уязвимостях размыта, а выводы делаются а пустом месте без каких-либо пояснений или подтверждений.

Складывается впечатление, что просто скопировали описание некторых типовых видов уязвимостей и без какого-то логического обоснования расставили цифры. Указано, что была проведена проверка с использованием «автоматизированного сканирования» и «методов статического, динамического и интерактивного анализа. Статический анализ производился в отношении исходного кода приложений в автоматическом режиме», что, скорее всего, свидетельствует, что найденные «уязвимости» ничто иное как предупреждения анализатора или ложные срабатывания, которые не потрудились проверить.

В пользу этой гипотезы может послужить заявление в отчёте, что «4 из 5-ти приложений … содержат такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования и пустые пароли, и встречающиеся в исходном коде в явном виде конфиденциальные данные». Выявление критических уязвимостей отмечено в проектах Krita, Search Everything, LibreOffice, Brave Browser и RetroArch. Как Ростелеком смог там найти пустые ключи и пароли, c учётом специфики упомянутых проектов, совершенно непонятно.

С учётом отсутствия хоть каких-то деталей вызывает недоумение также сделанный исследователями вывод: «Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено.»

Особенно если рассматривать вывод вместе с примечаниями: «однако «Ростелеком-Солар» не гарантирует точности и полноты информации для любых целей» и ««Ростелеком-Солар» не несет ответственность за какие-либо убытки или ущерб, возникшие в результате использования любой третьей стороной информации, содержащейся в данном отчете, включая опубликованные мнения или заключения, а также за последствия, вызванные неполнотой или неточностью представленной информации.»

Источник: https://www.opennet.ru/opennews/art.shtml?num=54221

Добавить комментарий