Служба технічної підтримки "Доктор Веб" виступила із заявою
Служба технічної підтримки «Доктор Веб» виступила із заявою щодо додатків «банк-клієнт», які використовують небезпечний протокол SSL v.2. Як розповіли CNews в компанії, на даний момент у зв'язку з численними вразливістю в SSL v.2 використання даного протоколу, а також додатків, що його використовують, є небезпечним.
Зокрема, при використанні даного протоколу можливі атаки типу «людина посередині» (MITM-атаки) та атаки, що дозволяють змінити хід передачі даних. Алгоритм хешування MD5, що використовується в SSL v.2, на даний момент також скомпрометований і не рекомендується до використання.
Про небезпеку протоколу SSL v.2 відомо давно, ще 1996 р. це стало підставою для його заміни версією SSL v.3, в якій згодом також було виявлено вразливість CVE-2014-3566. Протокол SSL v.2 був офіційно переведений у розряд застарілих у 2011 р. відповідно до технічної специфікації RFC 6176. У зв'язку з наявністю даної специфікації антивірус Dr.Web у момент встановлення з'єднання відповідно до протоколу SSL v.2 інформував своїх користувачів про небезпеку.
Як стало зрозуміло зі звернень користувачів Dr.Web до служби технічної підтримки, програми «банк-клієнт» деяких банків продовжують використовувати небезпечний протокол SSL v.2. Співробітники служб підтримки клієнтів цих банків навіть радили нашим користувачам, які мали проблеми при роботі з банківськими додатками через роботу Dr.Web, деінсталювати Dr.Web, наражаючи кошти своїх же клієнтів на серйозний ризик.
Компанія «Доктор Веб» рекомендує користувачам небезпечних програм оновити їх. У разі неможливості оновлення користувачі можуть дозволити їх використання, включаючи використання небезпечного протоколу, у налаштуваннях продуктів Dr.Web.
Якщо ви приймаєте рішення про використання системи «банк-клієнт», поцікавтеся у банку безпекою використовуваного в додатку протоколу, і у разі використання SSL v.2 або SSL v.3 відмовтеся від використання програми.