Новости про безопасность

Mozilla обвиняет плагины Avast в сборе пользовательских данных

Группа Mozilla приняла решение удалить продукты Avast и AVG из репозитория дополнений своего браузера после того, как был выявлен сбор большого количества пользовательских данных.

Таким образом, теперь установить плагины Avast или AVG из хранилища Mozilla больше нельзя. Ни Avast Online Security и SafePrice, ни AVG Online Security и SafePrice, больше недоступны. При этом сами плагины пока не запрещены, так что ими можно свободно пользоваться.

Дополнения в Firefox
Дополнения в Firefox

Создатель AdBlock Plus Владимир Палант опубликовал анализ работы расширения Avast в октябре 2019 года на своём персональном сайте. Он выявил, что расширения Avast передают данные материнской компании, и эти данные куда шире, чем требовалось бы для работы расширения. Так, расширение отсылает полные адреса страницы, заголовка страницы, рефералы и прочие данные по запросу. Данные собираются при открытии страницы и при переключении вкладки. На странице поиска передаётся также каждая ссылка.

Пока переговоры между Mozilla и Avast о работе плагина не ведутся, и если ситуация не изменится, средства Avast могут быть полностью заблокированы в Firefox.

Выявлен необычный зловред для серверов

Исследователи из Intezer и IBM X-Force обнаружили необычную форму вредоносного ПО, которое нацелено на атаку корпоративных серверов.

Названный PureLocker вирус написан на PureBasic, что не только необычно, но и облегчает хакерам процесс заражения, поскольку иногда поставщики антивирусного ПО не могут достоверно определить вирусную сигнатуру зловреда, написанного на этом языке.

Майкл Каджилоти из Intezer заявил, что PureBasic можно использовать в Windows, Linux и OS-X, а значит хакеры не зависят от какой-либо ОС на целевом сервере.

«Целевой сервер означает, что хакеры пытаются поразить своих жертв в самое уязвимое место, особенно, в базы данных, которые содержат наиболее важную информацию в организации».

Пока о количестве жертв PureLocker информации нет, однако в Intezer и IBM X-Force отметили, что кампания по распространению вируса активна. Кроме того, зловред предлагается хакерам «как сервис».

Сервис предлагается в виде сделанного на заказ инструмента и доступного киберпреступникам, способным заплатить значительную сумму. Исходный код вируса PureLocker имеет эксклюзивную природу, поскольку содержит много строк из зловреда, использующего бэкдор more_eggs.

Этот зловред продаётся в дарквэбе «ветеранскими» провайдерами вредоносного ПО. Инструменты использовались некоторыми из самых активных хакерских группировок, включая Cobalt Gang и FIN6, а зловреды разделяют код с предыдущими атаками, устроенными этими хакерами.

Смарт-спикером можно удалённо управлять с помощью лазера

Лазеры могут с лёгкостью одурачить смарт-спикеры и прочие современные гаджеты, управляемые голосовыми командами. Например, засветив лучом гаджет, можно открыть въездные ворота, при этом источник излучения будет находиться в десятках метров.

Исследователи из Токийского Университета и Университета Мичигана сообщили, что смогли взять управление над устройствами Google Assistant, Apple Siri и Amazon Alexa. Для этого они засвечивали микрофоны лазерными лучами.

Смарт-спикер от Google
Смарт-спикер от Google

Согласно проведённому исследованию, которое длилось 7 месяцев, учёные смогли управлять устройствами с расстояния от 70 до 107 метров. Для этого они фокусировали с помощью телеобъектива модулированный лазерный луч. По факту, они заставили Google Home, находившуюся в комнате в другом здании, открыть въездные ворота. Модулированная команда, попадавшая на микрофон устройства через окно, была эквивалентна голосовой команде «OK Google, открой гаражные ворота».

Как пояснили исследователи, суть фокуса состоит в том, что лазер может повторять движения диафрагмы микрофона, как будто они вызваны звуком. Дальше микрофон работает как обычно — преобразовывает вибрацию в электрические сигналы.

Схема проведения эксперимента с лазерным лучом и смарт-спикером
Схема проведения эксперимента с лазерным лучом и смарт-спикером

Кроме открытия дверей, учёные также смогли сделать онлайн покупки, открыть двери, защищённые смарт-замком и даже удалённо открыть машину, связанную с ИИ-устройствами.

Исследователи заявили, что уже уведомили Tesla, Ford, Amazon, Apple и Google об этой проблеме. Для её решения потребуется изменить конструкцию микрофонов, поскольку просто закрыть их плёнкой — недостаточно.

В ходе эксперимента учёным удалось получить доступ к устройствам Google Home/Nest, Echo Plus/Show/Dot, Facebook Portal Mini, Fire Cube TV, EchoBee 4, iPhone XR, iPad 6-го поколения, Samsung Galaxy S9 и Google Pixel 2.

На мобильных устройствах метод работает хуже. Максимальная дистанция срабатывания составила от 5 до 20 метров.

Intel выявила 77 новых уязвимостей процессоров

Каждый месяц компания Intel составляет отчёт о выявленных уязвимостях, чтобы передать их партнёрам, которые должны обеспечить безопасную работу продуктов.

В этом месяце компания опубликовала бюллетень, в котором указаны 77 уязвимостей, связанных с центральными процессорами, графикой и даже сетевыми контроллерами. 67 из этих ошибок выявлены самой Intel, а остальные 10 — сторонними компаниями. Среди этих ошибок самой неприятной является JCC Erratum, которая влияет на производительность последних поколений CPU, включая Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whiskey lake, Comet Lake и Kaby Lake.

Ошибка связана с работой буфера стримингового кэша/декодирования. Её можно исправить обновлением прошивки, однако в документе по Jump Conditional Code Erratum отмечается, что ожидаемое влияние на производительность при разрешении проблемы составит от 0 до 4%, исключая аномальные значения. Это значит, что при некоторых типах нагрузки, потери могут быть ещё больше.

Сайт Phoronix первым опубликовал результаты влияния исправления JCC Erratum на производительность процессора, отметив заметный спад в некотором ПО. В отличие от многих других решений Intel, исправление ошибки JCC Erratum ведёт к потере производительности в бытовых задачах, а значит, обновление с исправлением приведёт к снижению в скорости работы обычных PC в большей степени, чем при исправлении прошлых ошибок.

Google создаёт альянс по безопасности приложений Android

Магазин Google Play Store является домом для миллионов приложений, и, конечно же, не все они безопасные. Компания Google уделяет всё больше внимания своему магазину, постоянно удаляя несоответствующее ПО, однако всё чаще мы слышим новости о зловредах, которые устанавливают тысячи пользователей.

Чтобы эффективнее противостоять опасным приложениям, компания Google основала альянс, который она назвала App Defense Alliance. В него входят Google, ESET, Lookout и Zimperium. Целью его работы является «остановка плохих приложений до того, как они достигнут пользовательских устройств». Останавливать приложения будут с помощью дополнительных проверок перед публикацией в Play Store.

Google Play
Google Play

Интернет-гигант интегрирует сканирующие средства от каждой из трёх групп в систему обнаружения Play Protect, которая будет сканировать приложения на различные угрозы. Компании-партнёры также будут анализировать данные об угрозах, чтобы улучшить их выявление. По словам Google, системы будут использовать комбинацию машинного обучения, статического и динамического анализа.

Стоит отметить, что усиление безопасности в Play Store крайне необходимо. По словам исследователя Лукаса Стефанко, в магазине было выявлено 172 вредоносных приложения, которые установлены более чем 335 миллионами пользователей.

xHelper инфицировал 45 тысяч смартфонов на Android

В поле зрения антивирусных компаний попал новый зловред для операционной системы Android, который хотя и не наносит сильного вреда, имеет устойчивый механизм автоматической переустановки.

Вирус получил название xHelper. Впервые он появился в марте, после чего начал медленное распространение до 32 тысяч поражённых устройств в августе и 45 тысяч устройств в октябре.

По словам Symantec, этот вирус находит ежедневно 131 новую жертву. Наибольшее распространение xHelper получил в Индии, США и России.

Как сообщает Malwarebytes, инфекция распространяется благодаря переводу пользователей на страницу, где выложено некое приложение для Android. На этом сайте даются инструкции, как установить приложение из неофициального источника. А вот код, скрытый в этом приложении, и содержит троян xHelper.

За ним пока не выявлены разрушительные действия. По данным Malwarebytes и Symantec, большую часть своей жизни этот вирус занимается принудительной демонстрацией рекламы, а также показывает спам в области уведомлений. Эта реклама и нотификации переводят пользователей на Play Store, где жертву просят установить другое приложение. Таким образом, создатели xHelper зарабатывают деньги на комиссиях с установки.

Самое неприятное в XHelper то, что он работает с устройством как приложение из прошивки и устанавливает себя в виде отдельного сервиса. Более того, приложение нельзя удалить, поскольку троян постоянно переустанавливает себя, даже после сброса телефона до заводских настроек.

Intel предлагает использовать в процессорах память защищённую от спекулятивного доступа

Компания Intel опубликовала исследование, в котором предлагает создать память с защитой от спекулятивного доступа.

Такая идея пришла на ум команде агрессивных стратегических исследований и сокращений (STrategic Offensive Research & Mitigations — STORM). Идея работы заключается в замене существующей процессорной памяти более безопасным стандартом, который не допускает спекулятивного исполнения кода при атаках, похожих на Spectre.

Значок уязвимости Spectre
Значок уязвимости Spectre

С начала 2018 года промышленность потрясло открытие уязвимостей Meltdown и Spectre. С того момента были выявлены многие другие уязвимости подобного плана, что свидетельствует о больших проблемах в архитектуре. Побочные атаки спекулятивного доступа несут большую угрозу в ситуациях, когда много пользователей делят общие вычислительные ресурсы. Такая ситуация имеет место быть в облачных вычислениях или у хостинг-провайдеров.

Память Speculative-Access Protected Memory (SAPM) пока находится на уровне теоретических изысканий. Команда STORM предлагает некоторые варианты её реализации, однако впереди ещё много работы. В исследовании говорится, что такая память приведёт к потере производительности, однако эта потеря будет не столь большой, с какой мы столкнулись при программных исправлениях выявленных уязвимостей.

Торвальдс сообщил о функции «фиксации» ядра Linux

Линус Торвальдс подтвердил разработку новой функции безопасности в операционной системе Linux, которая получила название «lockdown».

Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.

Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.

Основатель Linux Линус Торвальдс
Основатель Linux Линус Торвальдс

Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.

Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».

Google анонсирует три новые функции приватной безопасности

Компания Google представила новые инструменты, которые позволяют повысить уровень приватности при пользовании фирменными сервисами: Google Maps, YouTube, and Google Assistant.

В Google Maps был внедрён режим инкогнито. При его включении на мобильном устройстве активность и история поиска не будут сохраняться в учётной записи и не будут использоваться для персонализации использования Maps. Этот функционал появится на Android в октябре, а на iOS он будет доступен позднее.

Для YouTube компания предлагает функцию автоудаления веб-данных и истории местоположения за желаемый период. «Устанавливайте период времени, в течение которого будут храниться ваши данные — 3 месяца, 18 месяцев или до ручного удаления», — сообщил представитель Google Эрик Мираглиа.

Настройка персональной активности Google
Настройка персональной активности Google

И, наконец, Google позволит очистить голосовые команды или запросы к Google Assistant без открытия приложения. Достаточно просто сказать: «ОК Google, удали последнее, что я сказал» или «удали всё, что я сказал на прошлой неделе». После чего данные будут удалены. К сожалению, если вы хотите удалить историю голосовых запросов за более длительный период, то вам придётся открыть настройки Google Assistant.

Также компания сообщила, что готовит новую функцию проверки пароля, сохранённого в менеджере паролей. Компания будет быстро проверять, скомпрометирован ли ваш пароль при прошлых утечках, используется ли он в различных учётных записях и не являются ли ваши пароли слишком простыми для взлома.

В Chrome выявлены мошеннические блокираторы рекламы

Многих людей раздражает реклама в Интернете, и они используют блокировщики рекламы. Но оказалось, что не все блокировщики выполняют свою работу по-честному.

Исследователи из Adguard выявили два расширения для браузера Chrome, которые используют названия, очень похожие на именитых блокировщиков, обманывая людей. Первое из этих расширений — uBlock by Charlie Lee, имело более 850 000 пользователей, а второе, AdBlock by AdBlock Inc — более 800 000.

Эти расширения удаляют рекламу с веб-страниц, посещаемых пользователями, однако исследователи обнаружили, что при этом применяется cookie stuffing — мошенническая схема подмены куки на стороне пользователя, которая генерирует прибыль разработчикам.

Поддельные блокировщики рекламы
Поддельные блокировщики рекламы

Безопасники выяснили, что через 55 часов после установки расширения отправляли запрос на URL для каждого нового посещённого пользователем домена. Таким образом они получали от сайтов партнёрские ссылки. В Adguard пояснили, что «этот новый ответ содержит список команд, которые должно выполнить расширение. После этого поведение расширений меняется, и они начинают делать еще несколько вещей, помимо блокировки рекламы».

Вся вина за произошедшее пала на Google, которая должна была удалить расширения. Но каковы масштабы бедствия?

Безопасники заявляют, что масштаб беспрецедентен. Эти два расширения имели более 1,6 миллиона «еженедельно активных пользователей», получавших дополнительные куки с более 300 вебсайтов, входящих в список Alexa Top 10000. Ущерб оценить сложно, но речь идёт о миллионах долларов ежемесячно.