Играете в Fornite и читите (читирите)? ай-ай-ай! Так нехорошо. И опасно — обнаружили вредоносное ПО в составе читерского для Fortnite, которое в процессе читов еще и в трафик рекламу вставляло (методом MITM)

на англ
https://blog.rainway.io/how-we-discovered-a-virus-infecting-tens-of-thousands-of-fortnite-players-e5dd6fe1ff55

на русс (за ссылку спасибо читателю канала)
https://tproger.ru/news/fortnite-https-malware/

Привет. в своё время я тут много писал всякого про сервис Strava, который на основе данных, собранных от пользователей, опубликовал некую карту поездок и забегов, что привело к неожиданному раскрытию различных секретных данных. С помощью поиска можно найти записи по этому поводу, я свою позицию описал тут (https://t.me/alexmakus/1726)

Почему я об этом вспомнил? Вчера появилась очень похожая новость про другой сервис c очень похожей проблемой (ссылку об этом прислали мне примерно все). Bellingcat, известный своими расследованиями, обнаружил, что компания Polar, производитель популярного монитора сердцебиения, также предлагает и социальную сеть для своих пользователей. Оказалось, что в этой социальной сети публикуется в общедоступном виде достаточно много данных (а вообще - слишком много). Сервис позволяет найти определенного пользователя, и предоставляет в том числе и исторические данные по тренировкам этого человека до 2014 года.
https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/

То есть, например, зная место военной базы, можно обнаружить определенного военнослужащего (солдата, офицера), выяснить, когда и где он тренируется, причём не только на военной базе, но и дома. У Bellingcat есть большой список тех категорий пользователей, которых они обнаружили.

Более того, хуже то, что в настройках приватности у Polar, даже если поотключать всякие опции, все равно достаточно много информации остаётся публично доступной. И изменение настроек не влияет на исторические данные, что тоже очень неприятно. Там были и очень неприятные моменты, когда API позволяло выгребать данные даже по закрытым профилям. Короче, clusterfuck похуже Strava. Пока что Polar просто закрыл функцию своей публичной карты и опубликовал следующее сообщение
https://www.polar.com/en/legal/faq/public_and_private_training_data_statement

Можно долго спорить, что изначально виноваты пользователи, сами раздающие эту информацию (особенно если это солдаты на секретных базах), но подобные сервисы должны также думать больше о безопасности своих пользователях и потенциальных последствиях публикации таких данных. В общем, с момента истории со Стравой моя позиция по ссылке выше особо не поменялась. Берегите свои данные!

А еще выходные принесли историю про взлом сервиса TimeHop - сервиса, который показывал вам, что вы делали прошлым летом (в смысле, что вы там публиковали в этот день в прошедшие годы в социальных сетях).

Вот официальное заявление компании по этому поводу
https://www.timehop.com/security/

Кто-то залогинился в облачный сервис компании с админским логином(!) (2ФА - нет, не слышали), и после разведки (доступ был на протяжении 7 месяцев!) получили доступ к рабочей базе. Имена, адреса электронной почты, номера телефонов, и, что самое интересное - токены для доступа всех учетных записей 21 млн пользователей. Сервис утверждает, что сами данные пользователей (социальный контент) остался в неприкосновенности. Токены сбросили, так что при логине придётся пройти повторную авторизацию. Кроме этого, пере-подключить все социальные сервисы, которые вы захотите использовать с TimeHop. Короче, красиво у них там получилось обосраться

Ещё читатель прислал интересную ссылку про исследование вектора атаки на Smart TV через Hybrid broadband broadcast TV (HbbTV), формат доставки приложений в формате цифрового ТВ по стандарту DVB-T. Возможные варианты порчи жизни: модификации аналитических данных о просмотре программ, модификация контента для доступа с телевизора, криптомайнинг (конечно, куда без него), показ видео на экране вместо текущей трансляции, использование телевизора для доступа к локальной сети. Эти HbbTV приложения исходят из того, что сеть, по которой они транслируются, безопасна, и поэтому никак не подписываются телеканалами, их транслирующими. Пока что только исследование с потенциальными примерами, но от исследования до реальной атаки может пройти не так много времени. В целом, интересно почитать хотя бы о том, насколько разнообразен мир информационных опасностей, особенно в свете того, что мы все больше и больше окружаем себя «умными» гаджетами.

https://www.sstic.org/media/SSTIC2018/SSTIC-actes/smart_tvs_security_of_dvb-t/SSTIC2018-Article-smart_tvs_security_of_dvb-t-kasmi_lopes-esteves_claverie.pdf

Что вы как пользователь можете сделать? Если в телевизоре есть такие настройки, то лучше полностью пока что отключить HbbTV в телевизоре. А дальше - консорциум может улучшить спецификацию DVB, производители телевизоров могут улучшить безопасность своих телевизоров, и тд.

Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно писал здесь в канале. Фича называется USB Accessories, и функциональность её достаточно простая: если час не разблокировать устройство, порт Lightning блокируется для передачи данных и работает только для зарядки устройства. Это сделано для борьбы с несколькими устройствами, которые научились перебирать простые цифровые пароли и сливать данные с устройств. Полезно, безопасно, вот это все.

Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/

Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?

У D-Link украли сертификаты и подписывали им вредоносное ПО, используемое для воровства паролей. Хорошо.
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/

Читатель прислал интересную ссылку про обнаруженную багу в Убунте - по описанию, бага позволяет входить в систему без пароля, если при спящем компьютере заменить жесткий диск. Хмммм. Конечно, физический доступ - это физический доступ, н все равно выглядит как-то неприятно

https://habr.com/company/acribia/blog/416425/

Дополнение к сегодняшней записи про USB Accessories блокировку в iOS 11.4.1
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.

https://support.apple.com/en-us/HT208857

Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:

If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer

То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.

В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -

and in some cases, it might not charge. Такие дела.

Привет. Сегодня у нас коллекция из ссылок, в то или иное время присланная читателями канала:

https://xakep.ru/2018/07/10/bancor-attack/
криптовалютный обменник взломали. что-то невероятное, не помню, чтобы такое когда-либо происходило!

https://www.wired.com/story/facebook-gave-russian-internet-giant-special-data-extension/
какая-то сильная шумиха вокруг истории, когда Mail.ru с помощью своих приложений получала, как и Cambridge Analytica, и миллионы других разработчиков под Facebook, доступ к пользовательским данным, а теперь, когда Facebook начал постпенно перекрывать кислород, то почему-то Mail.ru такой доступ продлил на пару недель. История мутная, туда намешали и Мильнера, который собрал в кучу мейлру, и в Фейсбук инвестировал, и деньги от госструктур получал, в общем, тут много у кого подгорает.

https://xakep.ru/2018/07/11/settingcontent-ms-ban/
Microsoft запретила работу файлов SettingContent-ms в документах Office 365

https://www.wired.com/story/apple-china-censorship-bug-iphone-crash-emoji
https://arstechnica.com/information-technology/2018/07/iphone-crashing-bug-likely-caused-by-code-added-to-appease-chinese-govt/
как фильтрация тайваньского флага в айфоне привела к багу, который валил iPhone

https://tripwire.me/2JbIkvK
Крупный американский ритейлер Macy’s объявил о взломе системы, и о том, что в пользовательские аккаунты ходил вообще непонятно кто и как


Ну и совершенно адская история про то, как разработчик в Apple пытался украсть и продать на сторону секретные материалы по проекту автономного автомобиля компании
https://www.macrumors.com/2018/07/10/apple-employee-steals-trade-secrets/

Короче, тут такое дело. Помните, я недавно писал про то, как исследователи исследовали, не пишут ли приложения звук с микрофона, и в процессе обнаружили, что некоторые приложения используют аналитические сервисы компании Appsee и сохраняют происходящее на экране в видео или делают скриншоты? Так вот, у вас есть возможность прикоснуться, так сказать, к прекрасному в приложении сети Бургер Кинг, которая именно это и делает

https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526

немножко паникерский пост на Пикабу о том, что “собирают данные карты, все пропало”. Ну, допустим, не все пропало, подобные сервисы обычно достаточно неплохо анонимизируют данные, о чем, кстати, можно почитать в ответе менеджера по приложению из БургерКинга в этом посте
https://pikabu.ru/@SergeyBurgerKing

А вот тут можно и чуть детальней почитать о самой технологии записи экрана, применяемой в SDK Appsee
https://www.appsee.com/features/user-recordings

Интересно, что затрагивает это и пользователей Android, и iPhone, у последних вроде как запись приложением экрана должна приводить к запросу на разрешение этой записи (если используется ReplayKit). возможно, если речь идет о записи из определенного SDK в рамках одного приложения, то тогда запрос на разрешение не требуется, но все равно как-то нехорошо.

Кибератаки везде

И снова здравствуйте. Закрывая тему с Бургеркингом, их приложением и слежкой за пользователями, хочу дать ссылку на ТЖ, где в целом неплохо разобрались в вопросе и разложили все по порядку

https://tjournal.ru/73536-burger-king-i-zapis-ekranov-pochemu-kompaniya-otricaet-sbor-personalnyh-dannyh-i-kak-otkazatsya-ot-slezhki

От себя хочу добавить, что такие рекламные мониторилки — естественное развитие всяких Флурри и Крешалитикс, сообщающих информацию о пользователях, их поведении, и проблемах в приложении. Надо также понимать, что AppSee — не единственное аналитическое СДК, которое так делает, и какие там еще приложения подобную информацию сохраняют, мы просто пока не знаем. Очень надеюсь, что и Google, и Apple научатся отлавливать такие СДК с записью контента в приложении и будут их нещадно банить в своих магазинах.

Твит со скриншотами, поэтому я дам на него ссылку просто. Там обнаружили сканер и распознавалку автомобильных номеров, без всякой защиты транслирующей в интернет собираемую информацию. а сколько еще такой информации можно найти в интернете, когда создатели системы не задумываются даже о том, что к их информации кто-то может захотеть получить доступ
https://twitter.com/sshell_/status/1016887687779778560

тут такое дело… если вам слова eslint-scope что-то говорят, то эта ссылка для вас. там в версию 3.7.2 кто-то подложил что-то нехорошее, что пытается загрузить ваши данные вовне, поэтому будьте осторожны
https://github.com/eslint/eslint-scope/issues/39

Сразу две новости похожего плана

1. кто-то продавал данные по доступу к системам безопасности крупного международного аэропорта всего за 10 долларов (потому что доступ к RDP — кто там на него особо заморачивается)
https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

2. Кто-то продавал секретные военные документы о военных дронах всего за 150-200 долларов (потому что кто-то не сменил пароль на FTP-доступа на роутере)
https://www.bleepingcomputer.com/news/security/hacker-steals-military-docs-because-someone-didn-t-change-a-default-ftp-password/

еще очень полезная ссылка от читателя — браузер Chrome в борьбе за уменьшение рисков и последствий от проблемы Spectre (эксплуатация недостатков в спекулятивном исполнении команд в процессорах) включил изоляцию сайтов друг от друга. Таким образом, минимизируется риск, что вредоносный сайт сможет похитить информацию из памяти о другом сайте
https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html

Еще раз сделаем попытку закрыть тему одной бургерной компании, их мобильного приложения и “слежки за пользователями”. Теперь — ответом разработчиков самого приложения

https://habr.com/company/e-Legion/blog/417043/

Тема с уязвимостями процессоров Intel и атаками Spectre тоже не отпускает. Еще два новых сценария уязвимости, приводящих к восстановлению данных в кэше процессора при спекулятивном исполнении инструкций

исследование на английском
https://people.csail.mit.edu/vlk/spectre11.pdf

статья об этом на русском
https://tproger.ru/news/new-spectre-vulnerabilities/

Кстати, новость про изоляцию сайтов в Chrome из вчера — как раз для защиты от подобных сценарией t.me/alexmakus/2234

и вдогонку про вчерашнее с eslint-scope — разработчики опубликовали post mortem о том, что произошло и как их заразили вирусом. Ключевое, что нужно знать всем: виной всему оказалось повторное использование паролей одним из администраторов на разных сайтах.

Package maintainers and users should avoid reusing the same password across multiple different sites. Ну и двухфакторную авторизацию никто не отменял

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

Приложения со встроенным вредоносным кодом в Google Play, никогда такого не было, и вот опять! вирус Anubis под видом всяких полуполезных приложений попадал в Google Play, а после установки из магазина воровал пароли из банковских приложений, кошельков и проч.

https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/