В мобильном браузере Kaspersky Safe обнаружена опасная уязвимость, позволяющая злоумышленникам перехватывать логины, пароли и другие персональные данные пользователей.

Эксперт в области информационной безопасности Дэвид Кумбер обнаружил опасную уязвимость в Kaspersky Safe Browser. Баг позволяет злоумышленнику похищать персональные данные пользователя. Как выяснилось, «безопасный» обозреватель не проверяет SSL-сертификаты, полученные при подключении к защищённым сайтам. Уязвимость (CVE-2016-6231) позволяет злоумышленнику осуществить атаку «человек посередине». По словам Кумбера, атакующий может подделать SSL-сертификат для защищённого сайта, который приложение будет принимать по умолчанию. Таким образом злоумышленник может с лёгкостью перехватить данные, передаваемые между приложением и сервером. В руках атакующего могут оказаться логин и пароль пользователя.

Kaspersky Safe Browser позиционируется разработчиками как бесплатный браузер для безопасного сёрфинга в Интернете на iPhone, iPad и iPod touch. Программа защищает от перехода на заражённые и мошеннические сайты, а также позволяет отфильтровать нежелательные категории сайтов. 23 июня 2016 года Кумбер уведомил об уязвимости программы «Лабораторию Касперского». Спустя четыре дня компания подтвердила в ответном письме наличие бреши безопасности, а через месяц выпустила версию браузера 1.7.0, в которой данная уязвимость устранена. По заявлению экспертов «Лаборатории», уязвимость может быть использована в том случае, если пользователь откроет вредоносную HTTPS-ссылку, которая не определяется антифишинговым или антивирусным фильтрами, встроенными в приложение.