Новости про безопасность

Атака CastHack была проведена двумя хакерами HackerGiraffe и j3ws3r. Первый из них через Twitter пояснил, что CastHack пользуется доступом у тех пользователей, которые включили сервис UPnP (Universal Plug'n'Play) в своих роутерах, пробросив специфичные порты из внутренней сети в Интернет.

Порты с номерами 8008, 8009 и 8443 обычно используются смарт ТВ, Chromcasts и Google Home для обеспечения различного функционала. Через эти порты пользователи могут отправлять команды со своих смартфонов на эти устройства для удалённого конфигурирования. Однако при неверной настройке эти порты становятся доступны всем.

Вебсайт, стоящий за атакой, подсчитал количество открытых телевизоров. Их количество перевалило за 3000, и все они посмотрели сообщение PewDiePie. Хакеры рекомендовали пользователям отключить UPnP в роутерах или запретить проброс портов 8008, 8009 и 8443.

Хакеры отметили, что таким образом «хотели помочь вам, а также любимым влогерам, в основном PewDiePie», — добавив, «Мы только пытаемся защитить и проинформировать вас об этой уязвимости до того, как кто-то реально воспользуется ею».

Решения этой проблемы нет. Несколько лет назад мы писали о USB-презервативе, однако вряд ли обычный пользователь станет носить с собой дополнительный гаджет для безопасной подзарядки телефона в аэропорту или торговом центре.

Кардинально решить проблему должна помочь новая программа аутентификации USB Type-C, которую начал разработчик стандарта USB Implementers Forum. Программа определяет оптимальные средства криптографической аутентификации для устройств USB-C и зарядных станций. Любая хост-система, использующая данный протокол, сможет подтвердить подлинность устройства или источника питания, включая возможности и дескрипторы, прямо в момент подключения. Так что, если вы хотите зарядить телефон в общественном месте, вы можете быть уверены в безопасности процесса.

Ваш телефон может применять политики, позволяющие лишь зарядку от сертифицированных зарядных устройств. Компании же могут устанавливать политики для ПК, позволяя доступ лишь к сертифицированным USB накопителям.

На данном этапе программа является рекомендательной, однако её создание говорит о будущих намерениях USB-IF по продвижению «единого кабеля будущего».

Томас Брюстер напечатал свою голову на 3D принтере и протестировал систему распознавания лица на четырёх телефонах с Android и iPhone X.

Из этой пятёрки только iPhone X не удалось одурачить, а вот устройства с Android открылись сразу же. Компания Apple возлагала на распознавание лиц большие надежды и вкладывала большие ресурсы. И сейчас компания готова противостоять хотя бы самым простым способам обмана.

В то же время Android больше полагается на сканер отпечатков пальцев. Посмотрите на Pixel 3. В нём нет распознавания лица по умолчанию, но зато его добавили в свои флагманские устройства Huawei, Samsung и OnePlus. Но работает она не так хорошо, как у Apple.

Не секрет, что распознавание лица пока находится на ранних этапах освоения, чем активно пользуются правоохранительные органы.

Опытные пользователи для таких целей создают виртуальные машины, но если вы не хотите с ними заморачиваться, то у Microsoft вскоре будет готовое решение.

Среда Windows Sandbox создаётся безопасной и легкодоступной, а после закрытия теста приложения, вся песочница уничтожается. Никаких виртуальных машин для этого не потребуется, однако виртуализацию придётся включить в BIOS компьютера. Песочница должна войти в состав Windows 10 Pro или Windows 10 Enterprise, и, очевидно, нацелена на опытных домашних пользователей и предприятия.

В ходе работы Windows Sandbox будет каждый раз создавать новую легковесную виртуальную машину (порядка 100 МБ), в которой и будет запускаться неизвестное приложение. В компании будут использовать собственный гипервизор для создания отдельного ядра, изолированного от основного ПК. Тестеры Windows 10 смогу присоединиться к проверке новой функции начиная со сборки 18305.

Приложение Optimization Android, описываемое как средство уменьшение энергопотребления, на самом деле ничего не оптимизирует, а просто закрывается после запуска. Однако остаётся фоновым процессом и ждёт подходящего момента.

При установке приложение просит доступ к сервисам Android Accessibility. Это разрешение позволяет вредоносному приложению отслеживать нажатия сенсорного экрана. И когда запускается PayPal, зловред просто перехватывает все нажатия, узнавая логин, пароль и даже код подтверждения. После этого приложение за 5 секунд снимает со счёта деньги и переводит на кошелёк хакера.

При тестировании приложение пыталось угнать 1000 евро, но эта сумма может меняться в зависимости от страны.

В ESET отмечают, что атака будет вестись до тех пор, пока будут деньги на счету, либо пока будут деньги на привязанной к счёту карте. Если этого мало, то зловред также может изменять контакты, совершать и перенаправлять вызовы и даже перехватывать и удалять SMS.

Исследователи отмечают, что Optimization Android выявлен только на альтернативных площадках, однако в Google Play были найдены другие приложения с аналогичным функционалом.

Всё началось 4 октября, когда Bloomberg сообщил, будто китайские поставщики материнских плат встраивали крошечные шпионские чипы в продукты Supermicro. Затем эти продукты оказывались в центрах обработки данных таких компаний как Amazon и Apple.

Сами клиенты выступили в защиту Supermicro, заявив, что после экспертизы ничего подозрительного не было обнаружено. После скандала, Supermicro наняла ещё одну компанию-аудитора, Nardello & Co., которая проверила аппаратную часть продукции и ничего не нашла.

В Nardello проверили материнские платы, которые сейчас выпускаются Supermicro, а также те, что были проданы Apple и Amazon ранее. Кроме аппаратных шпионов фирма также искала подозрительную активность на программном уровне. Отчёт аудиторов гласит, что никаких признаков зловредов выявлено не было.

Пока Bloomberg никак не реагирует на проведенную работу. Но дело сделано, и после инцидента цена на акции Supermicro обвалилась на 41%.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Эта уязвимость позволяет злоумышленникам обойти аппаратное шифрование диска и получить доступ к данным.

Аппаратное шифрование в SSD реализовано с помощью специальных чипов. Исследователи Карло Мейер и Бернард Ван Гастель установили, что уязвимость кроется в прошивках. Они выяснили, что за шифрование отвечают две спецификации: ATA security и TCG Opal. В ходе расследования они выяснили, что расшифровать данные на диске можно не только с помощью пользовательского пароля, но и с помощью мастер пароля, который установили разработчики SSD. Как и в случае с роутерами, которые имеют учётную запись с завода, SSD также хранят такую запись в своей памяти, а значит, кто угодно, знающий заводской пароль, может получить доступ к данным.

Некоторые из исследованных накопителей имели неверную реализацию стандартов ATA security и TCG Opal. Эта неверная реализация означает, что пользовательский пароль не связан с ключом шифрования криптографически. «Отсутствие этой связи — катастрофично. На самом деле, защита пользовательских данных больше не связана секретом. Вся информация, требуемая для расшифровки данных, хранится на самом накопителе и может быть восстановлена», — отметили исследователи.

Также учёные отметили, что пока проверили ограниченное количество SSD, однако уязвимость срабатывала на всех. В объёме исследования были проверены модели Crucial MX100, Crucial MX200, Crucial MX300, Samsung 840 Evo, Samsung 850 Evo, Samsung T3 и Samsung T5.

Эксперт обнаружил в Google Play 13 игровых приложений выпущенных одним и тем же разработчиком. Две из этих игр рекламировались самим Google Play, находясь в разделе «Топ платных». Это игры — автосимуляторы, однако они являются зловредами. По сумме инсталляций инфицированными оказались 580 тысяч устройств.

Загружавшие приложения надеялись погонять на грузовике или автомобиле, но по факту игра постоянно вылетала. В реальности игра загружала данные с другого домена, зарегистрированного на разработчика приложения в Стамбуле. Что делает зловред пока не выявлено. Ясно, что он загружается вместе с Android и имеет полный доступ к сетевому трафику, что позволяет автору воровать секретные данные.

Домен зарегистрирован на Мерта Озека, но на электронные письма он не отвечает. Представитель Google Скотт Вестовер подтвердил, что приложение нарушает правила Play Store. Компания Google достаточно часто подвергается критике за то, что допускает к публикации вредоносные приложения. Фирма создала специальный сервис для проверки злонамеренных действий, но, похоже, он не стал панацеей. Тем временем блог Лукаса продолжает полнится вредоносными приложениями из Google Play.

Тем не менее, Adobe выпустила новую версию плагина Flash Player 31.0.0.153. Эта новая версия исправляет критическую уязвимость, заключающуюся в исполнении стороннего кода. Обновление вышло горячим, после того, как ряд обновлений прошёл во вторник патчей. Уязвимость была крайне опасной, поскольку позволяла инсталляцию вредоносного ПО при простом просмотре веб страницы с файлом Flash.

Уязвимость за номером CVE-2018-15981 позволяла удалённо исполнять код на машине. Вредоносный код может размещаться во Flash .swf файле, на странице и скрытно устанавливать вредоносное приложение на любой уязвимой машине.

Если вы ещё не провели обновление, то вам крайне необходимо это сделать, или, что ещё лучше, отказаться от Flash вообще.