Nul
Billede: DARPA
AMERIKANSKE militære tropper, der anvendes to Android-apps, der indeholdt alvorlige sårbarheder i live bekæmpe scenarier, en Flåde Inspector General rapport afslørede i dag.
De to apps er opkaldt KILSWITCH (Kinetisk Integreret Low-Cost Software Integreret Taktisk Kamp-Enhed) og GÅ (Android Præcision Angreb Strike Suite).
Begge apps fungerer ved at vise satellit-billeder af omgivelserne, herunder målsætninger, mål, mission, i nærheden af fjenden, og venlige kræfter.
De to apps til at fungere som en moderne erstatning for radioer og papir, kort og giver tropper til at bruge en real-time messaging-klient til at koordinere med andre militære grene, og kalder selv i luft-strejke støtte med et par enkle tryk på skærmen, i henhold til en DARPA pressemeddelelse og ledsagende YouTube-video.
De apps, som har været under udvikling siden 2012 og starter i 2015, som de har gjort generelt tilgængelige for alle AMERIKANSKE tropper via en offentlig app store, der forvaltes af National Geospatial-Intelligence Agency.
Men ifølge en Flåde Inspector General rapport fra Marts, der blev offentliggjort i dag, både apps, der er indeholdt sårbarheder, der kunne have givet mulighed for fjendtlige styrker adgang til tropperne oplysninger.
Den stærkt redigeret rapporten ikke nærmere karakter af de to sårbarheder, men det påpege, at Søværnet havde undladt at styre fordelingen af disse to programmer, og senere undladt at handle i advarsel tropper af den fare, de var i næsten et år.
Rapporten siger, at de to apps, KILSWITCH og GÅ, var aldrig beregnet eller godkendt til at blive indsat i live kampzoner.
“Cybersecurity ikke var en bekymring for [apps’] udviklere,” hedder det i rapporten, fordi udviklere i første omgang forventes de apps, der skal bruges til troppetransport uddannelse og militære øvelser primært.
Men de to apps, på grund af deres prangende funktioner og nemmere at bruge interface, blev meget populær blandt de AMERIKANSKE tropper, men også andre militære afdelinger, herunder udenlandske allierede styrker.
Navy Inspector General sagde, at Søværnet har undladt at rådgive tropper om karakteren af disse to apps. Revisorer sagde Navy og andre militære grene burde have rådgivet tropper mod at bruge KILSWITCH og GÅ i kamp zoner, hvor de skulle have brugt en anden app ved navn ATAK (Android Taktiske Angreb Kit), som var blevet grundigt testet og godkendt af US Department of Defense for krigszoner.
Navy Inspector General kreditter en whistleblower ‘ s vedholdende indsats for at fremhæve disse to sårbarheder. Mens informanten navn er redacted er rapporten om Anthony Kim.
Kim ‘ s tilfælde er lidt berygtet i militære kredse. Ifølge en rapport fra Washington Gratis Beacon fra tidligere i år, Kim virkede som et civilt program analytiker for Naval Air Warfare Center Våben Division (NAWCWD), en af de to militære afdelinger, der co-udviklet og fremmet KILSWITCH app.
Den Gratis Beacon, citerer Kim ‘ s advokat, siger Kim opdagede KILSWITCH og GÅ sårbarheder sidste år, i Marts 2017, og meddelt sin direkte vejledere, kun at blive ignoreret.
Når Kim fortsatte med at rejse spørgsmålet om de to sårbarheder med den civile ledelse af den militære base, hvor han arbejdede –Naval Air Våben Station i Kina Lake, Californien-han blev bedt om at “stoppe med at diskutere DPSS i nogen nedsættende måde.”
DPSS står for Digital Precision Strike Suite, en privat-ejet militære entreprenør, der var involveret i skabelsen af de to applikationer.
Kim ‘ s advokat siger, at hærens civile ledelse så reduceret, at hans klient er løn som en advarsel for at insistere på at hæve bekymringer om de to sårbarheder.
Men Kim ikke give op, og han rapporterede sårbarheder til Navy høje embedsmænd via Pentagon ‘ s whistleblower-program. Kim ‘s advokat siger, at en måned efter Navy Inspector General indledt en undersøgelse af Kim’ s klage army base ‘ s ledelse sætte ham på orlov, suspenderes hans løn, og trak sin sikkerhedsgodkendelse.
Nu, mere end et år efter Kim ‘ s klage, efterforskere har sidet med Kim i denne tvist.
“Tak for en modig whistleblower, der talte op, Søværnet er nu ved at tage cyber trussel, som disse apps alvorligt og sikre, at sikkerhedsforanstaltningerne er på plads,” sagde Særlige Rådgiver, Henry J. Kerner af det AMERIKANSKE Office of Special Counsel.
“Jeg kraftigt anbefale [REDACTED] for hans offentlige service i denne sag,” Kerner tilføjet, i et brev sendt til det Hvide Hus. “Ved at indgive denne oplysning, han udsat for et alvorligt problem, der potentielt truede den fysiske sikkerhed frem-udsendt militært personel.”
“Denne software blev udbredt i hele [REDACTED], hvoraf mange har brugt det i kamp. [REDIGERET] skal blive rost for sin vilje til at beskytte sikkerhed og trivsel af militært personel, der risikerer deres liv til at beskytte de Forenede Stater,” Kerner sagde.
Men udover at lovprise Kim for hans handlinger, den samme Hvide Hus brev er langt mere barsk mod NAWCWD embedsmænd, hævder, at de har bevidst vildledt DOD embedsmænd om app ‘ s sikkerhed, der førte til “uprøvede software” nå bekæmpe front-lines.
Kim ‘ s kommentarer, som nævnt i det Hvide Hus brev, hævdede de apps “blev markedsført og fremvist til at sikre den politiske og kapitalgevinster NAWCWD, med lidt hensyn til konsekvenserne af rullende ud sårbare software til enheder, som ville stole på den i kamp.”
Efter færdiggørelsen af Navy Inspector General rapport i Marts, Navy udsendt en officiel advarsel om, at tropper i juni dette år, rådgive militært personel til at stoppe med at bruge to apps i kampzoner. DOD embedsmænd også genindsat Kim ‘ s sikkerhedsgodkendelse og tillod ham at vende tilbage til arbejdet.
Mere cybersecurity nyheder:
Facebook bug er udsat private fotos af 6,8 millioner usersUS ballistiske missil-systemer har en meget dårlig cyber-securitySQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baseret browsersDOD ikke holde styr på dobbelt eller forældede softwareShamoon malware ødelægger data på italiensk olie og gas companyThousands af Jenkins servere vil lade anonyme brugere blive adminsHow for at aktivere spam ringe filtrering på din Android-telefon TechRepublic Nye antiphishing funktioner kommer til Google G-Suite CNET
Relaterede Emner:
Regeringen – OS
Sikkerhed-TV
Data Management
CXO
Datacentre
0