Noll
Bild: DARPA
USA militära trupper använde två Android-appar som innehöll allvarliga sårbarheter i live bekämpa scenarier, en Marinblå Inspector General rapporten visade idag.
De två apparna heter KILSWITCH (Kinetisk Integrerad Låg Kostnad Programvara Integrerad Taktiska Bekämpa Handhållen) och DÖ (Android Precision Misshandel Strike Suite).
Både appar fungerar genom att visa satellitbilder av omgivningen, inklusive mål, mål uppdrag, fiender i närheten och vänliga krafter.
De två appar fungerar som en modern ersättning för radio och kartor på papper och låta trupper att använda en real-time messaging-klient för att samordna med andra militära grenar, och även samtal i air-strike stöd med några enkla skärmen kranar, enligt DARPA pressmeddelande och tillhörande YouTube-video.
De appar som har varit under utveckling sedan 2012 och börjar 2015, de har gjorts tillgängliga till alla AMERIKANSKA trupper via en offentlig app store förvaltas av National Geospatial-Intelligence Agency.
Men enligt en Navy Inspector General rapport från Mars som offentliggjordes idag, både appar som finns sårbarheter som kan ha låtit fienden tillgång till trupperna”.
Kraftigt redigerad rapport behöver inte i detalj typ av två sårbarheter, men det pekar ut att Flottan hade misslyckats med att kontrollera distributionen av dessa två program, och senare underlåtit att agera varning trupper av den fara som de var i nästan ett år.
Rapporten säger att två program, KILSWITCH och DÖ, var aldrig tänkt eller godkända för att användas i live bekämpa zoner.
“It-säkerhet inte var en angelägenhet för [apps] utvecklare,” enligt rapporten, eftersom utvecklarna väntat apparna ska användas för trupp utbildning och militära övningar i första hand.
Men två program, på grund av sina flashiga funktioner och lättare att använda gränssnittet, blev omåttligt populär bland AMERIKANSKA soldater, men även andra militära grenar, inklusive utländska allierade styrkorna.
Marinen Inspector General sade Flottan misslyckades med att ge råd trupper om naturen av dessa två program. Revisorer sade Marinen och andra militära grenar borde ha biträtt trupper mot att använda KILSWITCH och DÖ i strid zoner, där de borde ha använt en annan app som heter SYMTOM (Android Taktiska Anfall Kit), som hade blivit grundligt testad och godkänd av AMERIKANSKA Försvarsdepartementet för krig.
Marinen Inspector General poäng en uppgiftslämnare: s ihärdiga arbete för påsvetsning av dessa två sårbarheter. Medan uppgiftslämnaren namn är redigerat rapporten handlar om Anthony Kim.
Kims fall är något ökänd i militära kretsar. Enligt en rapport från Washington Free Beacon från tidigare i år, Kim fungerade som en civil program analytiker för Naval Air Warfare Center Vapen Division (NAWCWD), en av de två militära avdelningar som tillsammans utvecklat och främjat KILSWITCH app.
Free Beacon, med hänvisning till Kim ‘ s advokat, säger Kim upptäckte KILSWITCH och DÖ sårbarheter förra året, i Mars 2017, och meddelat att han direkt arbetsledare, bara för att ignoreras.
När Kim fortsatte med att ta upp frågan om de två sårbarheter med civil ledning av den militära basen där han arbetade –Naval Air Weapons Station i Kina Lake, Kalifornien-han sa att “sluta diskutera dsp: er i någon nedvärderande sätt.”
Dsp: er står för Digital Precision Strike Svit, en privat ägda militär entreprenör som var inblandad i skapandet av de två programmen.
Kim advokat säger arméns civil ledning har då minskat sin klients betala som en varning för att insistera på frågor om de två sårbarheter.
Men Kim ville inte ge upp, och han rapporterade sårbarheter till Navy höga tjänstemän via Pentagon whistleblower-program. Kim advokat säger att en månad efter att Marinen Inspector General inlett en utredning av Kim s klagomål armén bas: s ledning satte honom på lämna, avbryts hans lön, och drog hans säkerhetsprövning.
Nu, mer än ett år efter Kim klagomål, utredare har dubbelsidig med Kim i denna tvist.
“Tack vare en modig uppgiftslämnare som talade, Marinen nu tar cyber hot som är förknippade med dessa appar på allvar och se till att säkerhetsåtgärderna är på plats,” sade Särskild advokat Henry J. Kerner av den AMERIKANSKA Office of Special Counsel.
“Jag rekommenderar starkt [CENSURERAT] för sin public service i den här frågan,” Kerner läggas i ett brev till Vita Huset. “Genom att lämna in detta offentliggörande, och han utsätts för en allvarlig fråga som potentiellt hotade den fysiska säkerheten för fram-distribuerat militär personal.”
“Det här programmet var spridda över [CENSURERAT], av vilka många används det i strid. [CENSURERAT] bör hyllas för sin vilja att skydda säkerheten och välbefinnandet för militär personal som riskerar sina liv för att skydda Usa,” Kerner sagt.
Men förutom hyllningarna till Kim för hans agerande, samma Vita Huset brev är långt mer hårda mot NAWCWD tjänstemän, som hävdar att de har avsiktligt vilselett DOD tjänstemän om appen säkerhet, vilket ledde till att “oprövade programvara” nå bekämpa frontlinjen.
Kim ‘ s kommentarer, som citeras i Vita Huset brev, hävdade apps “marknadsförs och presenteras för att säkra politisk och inkomst av kapital för NAWCWD, med liten hänsyn till konsekvenserna av att rulla ut sårbara program för enheter som skulle förlita sig på den i strid.”
Efter slutförandet av Flottan Inspector General rapport i Mars, Marinen skickade ut en officiell varning till trupperna i juni detta år, rådgivning till militär personal för att sluta använda två appar i strid zoner. DOD tjänstemän återinförde också Kims säkerhetsprövning och tillät honom att återgå till arbetet.
Mer it nyheter:
Facebook bugg exponeras privata bilder på 6,8 miljoner usersUS ballistiska missilsystem har mycket dåliga it-securitySQLite bugg påverkan tusentals appar, inklusive alla Krom-browsersDOD inte hålla reda på dubbletter eller föråldrade softwareShamoon skadlig kod förstör data på italienska olja och gas companyThousands av Jenkins servrar kommer att låta anonyma användare blivit adminsHow att aktivera spam-samtal filtrering på din Android-telefon TechRepublic Nya antiphishing har kommit till Google G Suite CNET
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0