Принадлежащий Amazon браузер Silk игнорирует HTTPS и уязвим для MitM-атак

Исследователи из Nightwatch Cybersecurity предупреждают о небезопасности старых версий браузера Silk, который является встроенным для устройств Amazon Kindle и Fire. Браузер игнорирует стандарты SSL безопасности для поиска в Google, а также открыт для осуществления man-in-the-middle атак.

Специалисты пишут, что все версии Silk ниже 51.2.1 (начиная с 49.3.1) имеют неприятную особенность: поисковые запросы пользователей обрабатываются посредством HTTP вместо HTTPS. При этом браузер препятствует автоматическим редиректам, которые отсылают пользователя к HTTPS версии поисковика, если тот обратился к Google через HTTP.

Если попытаться обратиться к региональной версии Google (к примеру, google.ru или google.fr) посредством HTTP, редирект на HTTPS версию сработает как должно. То есть никаких технических трудностей, мешающих работе с SSL, браузер не испытывает, и тот факт, что HTTPS для google.com не работает, не является результатом некой ошибки общего характера.

Так как все данные пользователя фактически передаются в открытом виде, это открывает большие возможности для реализации man-in-the-middle атак и перехвата трафика. К тому же сами поисковые запросы пользователей, из которых можно узнать многое о человеке, — это настоящее сокровище для рекламщиков.

Исследователи сообщили, что Amazon уже устранила проблемы, выпустив Silk версии 51.2.1, но компания отказалась как-либо комментировать странное поведение своего продукта.

Стоит сказать, что Silk подвергается критике со стороны специалистов по информационной безопасности не впервые. Еще в 2011 году многим пришлась не по вкусу идея облачного браузинга. Тогда Amazon начала использовать мощности Amazon Elastic Compute Cloud (EC2) для снижения нагрузки на пользовательские устройства, а также ускорения работы сетевых ресурсов. Часть вычислений отдали на откуп облаку, пропуская через него практически всю сетевую активность пользователей. EC2 выступал своеобразным прокси, то есть запрошенная информация сначала попадала в облако и лишь потом на устройство пользователя.

Фото: Tolbxela