Специалисты компании Digital Security в ходе инициативных исследований нашли уязвимости в мобильной платформе SAP Mobile, которые инженеры разработчика признали критичными, но не сумели устранить в течение месяца. Российская компания Digital Security сообщила о вынужденной отмене своего выступления 26-27 марта на одной из крупнейших конференций по информационной безопасности (ИБ) — BlackHat Asia в Сингапуре. В своем докладе под названием «Атакуя SAP Mobile» исследователь в сфере ИБ Ваагн Варданян и директор департамента аудита SAP в Digital Security Дмитрий Частухин готовились рассказать о том, как можно получить несанкционированный доступ к устройствам на мобильной платформе SAP. Эксперты намеревались подробно описать, на что способен злоумышленник, в распоряжении которого оказались секретные данные топ-менеджера крупной компании, чье устройство интегрировано в центральные бизнес-процессы предприятия. Речь в данном случае идет о составляющих экосистемы SAP Mobile, включая платформу SAP Mobile (ранее Sybase Unwired Platform), MDM-решение SAP Afaria, СУБД Sybase SQL Anywhere и сотни мобильных приложений SAP. Доклад строился на примере реальных уязвимостей, обнаруженных исследователями Digital Security. Как уточнили в компании, часть этих проблемных мест была найдена еще в конце 2014 г., и в отношении них в SAP уже провели соответствующие работы. О другой части уязвимостей корпорацию известили лишь месяц назад, и избавиться от них до конференции инженеры SAP не успели. Решение об отмене доклада эксперты Digital Security приняли совместно с корпорацией SAP, в которой выявленные бреши в защите своего продукта были признаны критичными. Если бы они стали достоянием общественности, под угрозой могли оказаться информационные системы многочисленных клиентов SAP, среди которых почти все компании из списка Fortune 2000. В Digital Security пояснили, что обычно SAP берет на закрытие уязвимостей срок до трех месяцев, поэтому в компании рассчитывают, что все требующиеся работы завершатся в ближайшее время — определенно, до конференции BlackHat в Лас-Вегасе в августе 2015 г. В компании указывают на то, что с SAP ее связывает договор, по которому корпорация привлекает Digital Security для тестирования защищенности предварительных версий своих продуктов. При этом уязвимости, о которых речь идет сейчас, были найдены компанией в инициативном порядке.
Источник