Новости про безопасность

Названный PureLocker вирус написан на PureBasic, что не только необычно, но и облегчает хакерам процесс заражения, поскольку иногда поставщики антивирусного ПО не могут достоверно определить вирусную сигнатуру зловреда, написанного на этом языке.

Майкл Каджилоти из Intezer заявил, что PureBasic можно использовать в Windows, Linux и OS-X, а значит хакеры не зависят от какой-либо ОС на целевом сервере.

«Целевой сервер означает, что хакеры пытаются поразить своих жертв в самое уязвимое место, особенно, в базы данных, которые содержат наиболее важную информацию в организации».

Пока о количестве жертв PureLocker информации нет, однако в Intezer и IBM X-Force отметили, что кампания по распространению вируса активна. Кроме того, зловред предлагается хакерам «как сервис».

Сервис предлагается в виде сделанного на заказ инструмента и доступного киберпреступникам, способным заплатить значительную сумму. Исходный код вируса PureLocker имеет эксклюзивную природу, поскольку содержит много строк из зловреда, использующего бэкдор more_eggs.

Этот зловред продаётся в дарквэбе «ветеранскими» провайдерами вредоносного ПО. Инструменты использовались некоторыми из самых активных хакерских группировок, включая Cobalt Gang и FIN6, а зловреды разделяют код с предыдущими атаками, устроенными этими хакерами.

Исследователи из Токийского Университета и Университета Мичигана сообщили, что смогли взять управление над устройствами Google Assistant, Apple Siri и Amazon Alexa. Для этого они засвечивали микрофоны лазерными лучами.

Согласно проведённому исследованию, которое длилось 7 месяцев, учёные смогли управлять устройствами с расстояния от 70 до 107 метров. Для этого они фокусировали с помощью телеобъектива модулированный лазерный луч. По факту, они заставили Google Home, находившуюся в комнате в другом здании, открыть въездные ворота. Модулированная команда, попадавшая на микрофон устройства через окно, была эквивалентна голосовой команде «OK Google, открой гаражные ворота».

Как пояснили исследователи, суть фокуса состоит в том, что лазер может повторять движения диафрагмы микрофона, как будто они вызваны звуком. Дальше микрофон работает как обычно — преобразовывает вибрацию в электрические сигналы.

Кроме открытия дверей, учёные также смогли сделать онлайн покупки, открыть двери, защищённые смарт-замком и даже удалённо открыть машину, связанную с ИИ-устройствами.

Исследователи заявили, что уже уведомили Tesla, Ford, Amazon, Apple и Google об этой проблеме. Для её решения потребуется изменить конструкцию микрофонов, поскольку просто закрыть их плёнкой — недостаточно.

В ходе эксперимента учёным удалось получить доступ к устройствам Google Home/Nest, Echo Plus/Show/Dot, Facebook Portal Mini, Fire Cube TV, EchoBee 4, iPhone XR, iPad 6-го поколения, Samsung Galaxy S9 и Google Pixel 2.

На мобильных устройствах метод работает хуже. Максимальная дистанция срабатывания составила от 5 до 20 метров.

В этом месяце компания опубликовала бюллетень, в котором указаны 77 уязвимостей, связанных с центральными процессорами, графикой и даже сетевыми контроллерами. 67 из этих ошибок выявлены самой Intel, а остальные 10 — сторонними компаниями. Среди этих ошибок самой неприятной является JCC Erratum, которая влияет на производительность последних поколений CPU, включая Coffee Lake, Amber Lake, Cascade Lake, Skylake, Whiskey lake, Comet Lake и Kaby Lake.

Ошибка связана с работой буфера стримингового кэша/декодирования. Её можно исправить обновлением прошивки, однако в документе по Jump Conditional Code Erratum отмечается, что ожидаемое влияние на производительность при разрешении проблемы составит от 0 до 4%, исключая аномальные значения. Это значит, что при некоторых типах нагрузки, потери могут быть ещё больше.

Сайт Phoronix первым опубликовал результаты влияния исправления JCC Erratum на производительность процессора, отметив заметный спад в некотором ПО. В отличие от многих других решений Intel, исправление ошибки JCC Erratum ведёт к потере производительности в бытовых задачах, а значит, обновление с исправлением приведёт к снижению в скорости работы обычных PC в большей степени, чем при исправлении прошлых ошибок.

Чтобы эффективнее противостоять опасным приложениям, компания Google основала альянс, который она назвала App Defense Alliance. В него входят Google, ESET, Lookout и Zimperium. Целью его работы является «остановка плохих приложений до того, как они достигнут пользовательских устройств». Останавливать приложения будут с помощью дополнительных проверок перед публикацией в Play Store.

Интернет-гигант интегрирует сканирующие средства от каждой из трёх групп в систему обнаружения Play Protect, которая будет сканировать приложения на различные угрозы. Компании-партнёры также будут анализировать данные об угрозах, чтобы улучшить их выявление. По словам Google, системы будут использовать комбинацию машинного обучения, статического и динамического анализа.

Стоит отметить, что усиление безопасности в Play Store крайне необходимо. По словам исследователя Лукаса Стефанко, в магазине было выявлено 172 вредоносных приложения, которые установлены более чем 335 миллионами пользователей.

Вирус получил название xHelper. Впервые он появился в марте, после чего начал медленное распространение до 32 тысяч поражённых устройств в августе и 45 тысяч устройств в октябре.

По словам Symantec, этот вирус находит ежедневно 131 новую жертву. Наибольшее распространение xHelper получил в Индии, США и России.

Как сообщает Malwarebytes, инфекция распространяется благодаря переводу пользователей на страницу, где выложено некое приложение для Android. На этом сайте даются инструкции, как установить приложение из неофициального источника. А вот код, скрытый в этом приложении, и содержит троян xHelper.

За ним пока не выявлены разрушительные действия. По данным Malwarebytes и Symantec, большую часть своей жизни этот вирус занимается принудительной демонстрацией рекламы, а также показывает спам в области уведомлений. Эта реклама и нотификации переводят пользователей на Play Store, где жертву просят установить другое приложение. Таким образом, создатели xHelper зарабатывают деньги на комиссиях с установки.

Самое неприятное в XHelper то, что он работает с устройством как приложение из прошивки и устанавливает себя в виде отдельного сервиса. Более того, приложение нельзя удалить, поскольку троян постоянно переустанавливает себя, даже после сброса телефона до заводских настроек.

Такая идея пришла на ум команде агрессивных стратегических исследований и сокращений (STrategic Offensive Research & Mitigations — STORM). Идея работы заключается в замене существующей процессорной памяти более безопасным стандартом, который не допускает спекулятивного исполнения кода при атаках, похожих на Spectre.

С начала 2018 года промышленность потрясло открытие уязвимостей Meltdown и Spectre. С того момента были выявлены многие другие уязвимости подобного плана, что свидетельствует о больших проблемах в архитектуре. Побочные атаки спекулятивного доступа несут большую угрозу в ситуациях, когда много пользователей делят общие вычислительные ресурсы. Такая ситуация имеет место быть в облачных вычислениях или у хостинг-провайдеров.

Память Speculative-Access Protected Memory (SAPM) пока находится на уровне теоретических изысканий. Команда STORM предлагает некоторые варианты её реализации, однако впереди ещё много работы. В исследовании говорится, что такая память приведёт к потере производительности, однако эта потеря будет не столь большой, с какой мы столкнулись при программных исправлениях выявленных уязвимостей.

Новая функция будет поставлена в виде LSM (Linux Security Module) и будет работать с семейством ядер Linux версии 5.4, однако она будет по умолчанию выключенной. Это сделано из-за того, что данная функция может нарушить работу существующей системы.

Функция Lockdown позволит усилить разделение между пользовательскими процессами и кодом ядра, не допуская даже root-аккаунт к взаимодействию с кодом ядра. Раньше система позволяла это делать.

Будучи включённой, lockdown ограничит некоторый функционал ядра даже для root-пользователей, что затруднит скомпрометированным администраторским учётным записям доступ к остальной части ОС.

Торвальдс отметил: «При активации, различные части функционала ядра блокируются. К ним относятся ограничение доступа к функциям ядра, которые могут позволить исполнение произвольного кода через поддержку кода пользовательскими процессами. Блокирование процессов от чтения и записи памяти /dev/mem и /dev/kmem. Блокирование доступа к открытию /dev/port для предотвращения прямого доступа к портам. Усиление сигнатур модулей ядра и другие изменения».

В Google Maps был внедрён режим инкогнито. При его включении на мобильном устройстве активность и история поиска не будут сохраняться в учётной записи и не будут использоваться для персонализации использования Maps. Этот функционал появится на Android в октябре, а на iOS он будет доступен позднее.

Для YouTube компания предлагает функцию автоудаления веб-данных и истории местоположения за желаемый период. «Устанавливайте период времени, в течение которого будут храниться ваши данные — 3 месяца, 18 месяцев или до ручного удаления», — сообщил представитель Google Эрик Мираглиа.

И, наконец, Google позволит очистить голосовые команды или запросы к Google Assistant без открытия приложения. Достаточно просто сказать: «ОК Google, удали последнее, что я сказал» или «удали всё, что я сказал на прошлой неделе». После чего данные будут удалены. К сожалению, если вы хотите удалить историю голосовых запросов за более длительный период, то вам придётся открыть настройки Google Assistant.

Также компания сообщила, что готовит новую функцию проверки пароля, сохранённого в менеджере паролей. Компания будет быстро проверять, скомпрометирован ли ваш пароль при прошлых утечках, используется ли он в различных учётных записях и не являются ли ваши пароли слишком простыми для взлома.

Исследователи из Adguard выявили два расширения для браузера Chrome, которые используют названия, очень похожие на именитых блокировщиков, обманывая людей. Первое из этих расширений — uBlock by Charlie Lee, имело более 850 000 пользователей, а второе, AdBlock by AdBlock Inc — более 800 000.

Эти расширения удаляют рекламу с веб-страниц, посещаемых пользователями, однако исследователи обнаружили, что при этом применяется cookie stuffing — мошенническая схема подмены куки на стороне пользователя, которая генерирует прибыль разработчикам.

Безопасники выяснили, что через 55 часов после установки расширения отправляли запрос на URL для каждого нового посещённого пользователем домена. Таким образом они получали от сайтов партнёрские ссылки. В Adguard пояснили, что «этот новый ответ содержит список команд, которые должно выполнить расширение. После этого поведение расширений меняется, и они начинают делать еще несколько вещей, помимо блокировки рекламы».

Вся вина за произошедшее пала на Google, которая должна была удалить расширения. Но каковы масштабы бедствия?

Безопасники заявляют, что масштаб беспрецедентен. Эти два расширения имели более 1,6 миллиона «еженедельно активных пользователей», получавших дополнительные куки с более 300 вебсайтов, входящих в список Alexa Top 10000. Ущерб оценить сложно, но речь идёт о миллионах долларов ежемесячно.

Благодаря сервису шифрования доступа к DNS 1.1.1.1 пользователи мобильных платформ могли быть уверены, что никто не отследит посещаемый ими сайт. Благодаря новому сервису VPN, подключение становится полностью зашифрованным.

Новый VPN-сервис Warp заработал после длительного ожидания. По словам разработчиков, Warp ожидали порядка двух миллионов человек. Теперь он доступен всем желающим совершенно бесплатно.

Не обошлось и без платных возможностей. Сервис Warp+ обеспечивается сетью Cloudflare Argo, которая по словам компании, позволяет сайтам загружаться на 30% быстрее. Что касается стоимости — то она рассчитывается весьма необычно. Так, месячный тариф использования Warp+ составляет цену на один Big Mac в местной валюте. Кроме того, все, кто изъявил желание попробовать Warp до его готовности, получили по 10 ГБ бесплатного трафика в Warp+.

Что касается нашего опыта, то особой разницы в скорости между Warp+ и Warp мы не заметили.

Приложение 1.1.1.1 доступно для iOS и Android. Другие платформы Cloudflare обещает рассмотреть в будущем.