Российская компания нашла способ обмануть Canon

Уязвимость в фирменной системе подтверждения подлинности снимков Canon позволяет выдать «отфотошопленную» фотографию за настоящую, обнаружила российская компания «Элкомсофт».

Российская компания «Элкомсофт» нашла уязвимость в технологии Canon Original Decision Data, пишет Boing Boing.

Canon Original Decision Data используется для подтверждения подлинности снимка, сделанного камерами Canon. Фотография может считаться подлинной, если ее не обрабатывали в графических редакторах, а также не изменяли дату и координаты места съемки в EXIF.

На сайте «Элкомсофта» размещены несколько фотоснимков. На одном из них изображен астронавт, стоящий на поверхности Луны рядом с советским флагом, на другом — Cтатуя Cвободы с серпом в руках, а на третьем — Сталин с iPhone. Проверка системой Canon OSK-E3 показывает, что снимки — подлинные, то есть никаких изменений в них внесено не было.

Сотрудникам «Элкомсофта» удалось извлечь из памяти камер Canon «ключи подлинности» и присвоить их измененным снимкам. В результате система проверки принимает «отфотошопленные» фотографии за исходные.

В камерах одной и той же модели используется один и тот же HMAC-ключ. Сообщается, что «обмануть» удалось фотоаппараты Canon следующих моделей: EOS 20D, EOS 5D, EOS 30D, EOS 40D, EOS 450D, EOS 1000D, EOS 50D, EOS 5D Mark II, EOS 500D и EOS 7D.

Об этой уязвимости сотрудник «Элкомсофт» Дмитрий Скляров рассказал на конференции Confidence 2.0, которая открылась в Праге 30 ноября. Ликвидировать уязвимость невозможно, так как она заложена еще на стадии проектирования системы защиты.

По данным РИА «Новости», «Элкомсофт» уведомила Canon об обнаруженной «дыре» за несколько месяцев до конференции, но ответа так и не получила.