Новости про безопасность

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

IBM представила новый тип вредоносного ПО на базе искусственного интеллекта

Компания IBM в подтверждение концепции разработала вредоносное ПО под названием DeepLocker, которое использует искусственный интеллект для обхода средств кибернетической безопасности.

И хотя этот опасный эксперимент выглядит очень странно, он подтверждает, что злоумышленники также создают свои зловреды, используя ИИ.

Обычный зловред может быть перехвачен и разобран, чтобы создать средство обнаружения. Однако понять методы работы нейронной сети невозможно.

Чтобы продемонстрировать возможный ущерб от слияния криминала с искусственным интеллектом, в IBM создали специальный инструмент DeepLocker. Этот инструмент скрывается в других приложениях до тех пор, пока не выявит свою жертву. И когда человек, против которого нацелен зловред, идентифицируется, зловред срабатывает.

Искусственный интеллект
Искусственный интеллект

Срабатывание инструмента происходит после идентификации жертвы по нескольким критериям. Это может быть визуальное или звуковое выявление, геолокация, системные события. При этом выявить все возможные триггеры практически невозможно, поскольку реверс-инжиниринг нейронной сети — вещь крайне сложная.

В проведенной демонстрации DeepLocker прятался в приложении для конференц-связи. С помощью ИИ его научили срабатывать при выявлении определённого лица. Как только в кадре появлялся нужный человек, зловред исполнял возложенную на него функцию — блокировал систему жертвы.

Проведенная IBM работа показала традиционную слабость искусственного интеллекта как «чёрного ящика», в который нельзя заглянуть и понять его работу.

Выявлено 145 приложений Android с вредоносным кодом для Windows

Компания Google удалила из магазина приложений Play 145 программ, которые оказались инфицированы вредоносным кодом для Windows.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Приложения для Android
Приложения для Android

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.

Уязвимость WPA2 позволяет легко взламывать WiFi

Уязвимость в безопасности сетей выявлена в протоколе WPA/WPA2. Она позволяет не только подключаться к Сети, но и получать доступ к роутеру.

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

Роутер

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Microsoft добавит песочницу в Windows 10

Компания Microsoft готовится добавить в свою операционную систему новую функцию безопасности, которая предназначена для безопасного запуска приложений, полученных из сомнительных источников.

Функция получила название InPrivate Desktop, а её предварительная версия была обнаружена в Windows 10 Insider Feedback Hub. В описании говорится, что InPrivate Desktop for Windows 10 обеспечит «разовую песочницу для безопасного однократного исполнения недоверенного ПО». Это значит, что целью внедрения песочницы является снижение рисков для хост-системы при исполнении сомнительных программ.

Windows 10
Windows 10

Разбор Feedback Hub также показал, что функция InPrivate Desktop будет доступна исключительно для Windows 10 Enterprise, начиная с версии 17718. Для её работы потребуется как минимум 4 ГБ ОЗУ, 5 ГБ дискового пространства и два ядра процессора. Безусловно, функция гипервизора должна быть включена в BIOS.

InPrivate Desktop
InPrivate Desktop

Пока Microsoft официально не анонсировала функцию, так что о сроках её выпуска ничего не известно.

Intel будет использовать встроенную графику для выявления зловредов

Компания Intel дополнила технологии Accelerated Memory Scanning и Advanced Platform Telemetry двумя новыми средствами для противостояния вредоносному ПО на аппаратном уровне.

Теперь система Accelerated Memory Scanning будет выгружать выявление атак на основе памяти на встроенную графику CPU. Согласно внутренним тестам компании, нагрузка методом GPGPU позволила снизить использование CPU с 20% до 2%.

Скан вредоносного кода
Скан вредоносного кода

Вторая техника объединяет отслеживание и облачное машинное обучение для выявления более совершенных угроз. Когда вредоносный код размещается на жёстком диске, он может быть замаскирован или даже зашифрован. Теоретически, когда он попадает в память, его становится легче выявить.

Процесс сканирования памяти на признаки вредоносного кода обслуживается драйвером Intel и работает в так называемой цепи приложений или Ring 3. Однако возможности данного решения могут быть расширены до уровня ядра, или Ring 0. Интенсивность сканирования может быть настроена для загрузки GPU. Однако если пользователь играет в игру, сканирование может быть отложено или размещено на других незагруженных ядрах GPU.

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish
Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Microsoft готовит новую операционную систему

Крупнейший производитель биометрических датчиков, компания Synaptics, уверяет, что компания Microsoft готовит операционную систему нового поколения, которая будет сфокусирована на средствах биометрической аутентификации и Windows Hello.

Данный слух появился на основании пресс-релиза Synaptics, которая объединила свои усилия с AMD в создании «нового промышленного бенчмарка по биометрической аутентификации отпечатками пальцев с высокой безопасностью». Партнёрство нацелено на внедрение датчика Synaptics FS7600, технология которого предусматривает собственное хранение и обработку текстур отпечатков. Это значит, что текстуры хранятся и обрабатываются отдельно от всей системы и ОС, создавая дополнительный слой безопасности в процессе аутентификации.

Логотипы Microsoft Windows
Логотипы Microsoft Windows

Технология будет опробована на платформе AMD Ryzen Mobile и новой операционной системе Microsoft, о чём в первом абзаце пресс-релиза сказано дважды.

Пока же от Microsoft не поступало никаких комментариев. По слухам, новая версия ОС, называемая Windows Core OS, будет иметь модульную структуру, адаптируемую для разных типов устройств. Вариант структуры с кодовым именем Polaris предназначен для настольных ПК. Для ноутбуков будет создана другая конфигурация.

Издатели игр обещают убрать спорное шпионское приложение

Сайт Bleeping Computer сообщает, что целый ряд разработчиков игр пообещал удалить утилиту RedShell, аналитический пакет, созданный Innervate.

Набор разработчика этой утилиты интегрирован во множество новых игр. Данный инструмент отсылает данные издателям, включая информацию об источнике получения игры. Пользователи Reddit и Steam выявили, что утилита создаёт профиль каждого игрока с информацией об игровой системе и онлайн активности.

RedShell
RedShell

Примечательно, что большинство издателей игр никак не предупредили пользователей об использовании шпионского ПО, равно как и не дали возможности опциональной установки. Список всех игр с RedShell можно найти на Reddit, а вот список игр, где издатели отказались от слежки, приведён ниже:

Elder Scrolls Online, Conan Exiles, Ylands, Holy Potatoes! We’re in Space?!, All Total War games, Warhammer: Vermintide II, Warhammer: Vermintide I, My Time At Portia, Dead by Daylight, Battlerite, AER Memories of Old, Magic the Gathering Arena, Secret World Legends, Hunt: Showdown, Escapists 2, Omensight.

Mozilla начинает тестировать функцию безопасности Firefox Monitor

Компания Mozilla начала работу над новой функцией безопасности для Firefox, которая позволяет выяснить, были ли аккаунты пользователей взломаны или компрометированы. Решение основано на ресурсе Троя Ханта Have I been Pwned (HIBP), который индексирует утечки данных.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Firefox Monitor
Firefox Monitor

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.