Ещё читатель прислал интересную ссылку про исследование вектора атаки на Smart TV через Hybrid broadband broadcast TV (HbbTV), формат доставки приложений в формате цифрового ТВ по стандарту DVB-T. Возможные варианты порчи жизни: модификации аналитических данных о просмотре программ, модификация контента для доступа с телевизора, криптомайнинг (конечно, куда без него), показ видео на экране вместо текущей трансляции, использование телевизора для доступа к локальной сети. Эти HbbTV приложения исходят из того, что сеть, по которой они транслируются, безопасна, и поэтому никак не подписываются телеканалами, их транслирующими. Пока что только исследование с потенциальными примерами, но от исследования до реальной атаки может пройти не так много времени. В целом, интересно почитать хотя бы о том, насколько разнообразен мир информационных опасностей, особенно в свете того, что мы все больше и больше окружаем себя «умными» гаджетами.

https://www.sstic.org/media/SSTIC2018/SSTIC-actes/smart_tvs_security_of_dvb-t/SSTIC2018-Article-smart_tvs_security_of_dvb-t-kasmi_lopes-esteves_claverie.pdf

Что вы как пользователь можете сделать? Если в телевизоре есть такие настройки, то лучше полностью пока что отключить HbbTV в телевизоре. А дальше - консорциум может улучшить спецификацию DVB, производители телевизоров могут улучшить безопасность своих телевизоров, и тд.

Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно писал здесь в канале. Фича называется USB Accessories, и функциональность её достаточно простая: если час не разблокировать устройство, порт Lightning блокируется для передачи данных и работает только для зарядки устройства. Это сделано для борьбы с несколькими устройствами, которые научились перебирать простые цифровые пароли и сливать данные с устройств. Полезно, безопасно, вот это все.

Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/

Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?

У D-Link украли сертификаты и подписывали им вредоносное ПО, используемое для воровства паролей. Хорошо.
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/

Читатель прислал интересную ссылку про обнаруженную багу в Убунте - по описанию, бага позволяет входить в систему без пароля, если при спящем компьютере заменить жесткий диск. Хмммм. Конечно, физический доступ - это физический доступ, н все равно выглядит как-то неприятно

https://habr.com/company/acribia/blog/416425/

Дополнение к сегодняшней записи про USB Accessories блокировку в iOS 11.4.1
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.

https://support.apple.com/en-us/HT208857

Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:

If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer

То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.

В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -

and in some cases, it might not charge. Такие дела.

Привет. Сегодня у нас коллекция из ссылок, в то или иное время присланная читателями канала:

https://xakep.ru/2018/07/10/bancor-attack/
криптовалютный обменник взломали. что-то невероятное, не помню, чтобы такое когда-либо происходило!

https://www.wired.com/story/facebook-gave-russian-internet-giant-special-data-extension/
какая-то сильная шумиха вокруг истории, когда Mail.ru с помощью своих приложений получала, как и Cambridge Analytica, и миллионы других разработчиков под Facebook, доступ к пользовательским данным, а теперь, когда Facebook начал постпенно перекрывать кислород, то почему-то Mail.ru такой доступ продлил на пару недель. История мутная, туда намешали и Мильнера, который собрал в кучу мейлру, и в Фейсбук инвестировал, и деньги от госструктур получал, в общем, тут много у кого подгорает.

https://xakep.ru/2018/07/11/settingcontent-ms-ban/
Microsoft запретила работу файлов SettingContent-ms в документах Office 365

https://www.wired.com/story/apple-china-censorship-bug-iphone-crash-emoji
https://arstechnica.com/information-technology/2018/07/iphone-crashing-bug-likely-caused-by-code-added-to-appease-chinese-govt/
как фильтрация тайваньского флага в айфоне привела к багу, который валил iPhone

https://tripwire.me/2JbIkvK
Крупный американский ритейлер Macy’s объявил о взломе системы, и о том, что в пользовательские аккаунты ходил вообще непонятно кто и как


Ну и совершенно адская история про то, как разработчик в Apple пытался украсть и продать на сторону секретные материалы по проекту автономного автомобиля компании
https://www.macrumors.com/2018/07/10/apple-employee-steals-trade-secrets/

Короче, тут такое дело. Помните, я недавно писал про то, как исследователи исследовали, не пишут ли приложения звук с микрофона, и в процессе обнаружили, что некоторые приложения используют аналитические сервисы компании Appsee и сохраняют происходящее на экране в видео или делают скриншоты? Так вот, у вас есть возможность прикоснуться, так сказать, к прекрасному в приложении сети Бургер Кинг, которая именно это и делает

https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526

немножко паникерский пост на Пикабу о том, что “собирают данные карты, все пропало”. Ну, допустим, не все пропало, подобные сервисы обычно достаточно неплохо анонимизируют данные, о чем, кстати, можно почитать в ответе менеджера по приложению из БургерКинга в этом посте
https://pikabu.ru/@SergeyBurgerKing

А вот тут можно и чуть детальней почитать о самой технологии записи экрана, применяемой в SDK Appsee
https://www.appsee.com/features/user-recordings

Интересно, что затрагивает это и пользователей Android, и iPhone, у последних вроде как запись приложением экрана должна приводить к запросу на разрешение этой записи (если используется ReplayKit). возможно, если речь идет о записи из определенного SDK в рамках одного приложения, то тогда запрос на разрешение не требуется, но все равно как-то нехорошо.

Кибератаки везде

И снова здравствуйте. Закрывая тему с Бургеркингом, их приложением и слежкой за пользователями, хочу дать ссылку на ТЖ, где в целом неплохо разобрались в вопросе и разложили все по порядку

https://tjournal.ru/73536-burger-king-i-zapis-ekranov-pochemu-kompaniya-otricaet-sbor-personalnyh-dannyh-i-kak-otkazatsya-ot-slezhki

От себя хочу добавить, что такие рекламные мониторилки — естественное развитие всяких Флурри и Крешалитикс, сообщающих информацию о пользователях, их поведении, и проблемах в приложении. Надо также понимать, что AppSee — не единственное аналитическое СДК, которое так делает, и какие там еще приложения подобную информацию сохраняют, мы просто пока не знаем. Очень надеюсь, что и Google, и Apple научатся отлавливать такие СДК с записью контента в приложении и будут их нещадно банить в своих магазинах.

Твит со скриншотами, поэтому я дам на него ссылку просто. Там обнаружили сканер и распознавалку автомобильных номеров, без всякой защиты транслирующей в интернет собираемую информацию. а сколько еще такой информации можно найти в интернете, когда создатели системы не задумываются даже о том, что к их информации кто-то может захотеть получить доступ
https://twitter.com/sshell_/status/1016887687779778560

тут такое дело… если вам слова eslint-scope что-то говорят, то эта ссылка для вас. там в версию 3.7.2 кто-то подложил что-то нехорошее, что пытается загрузить ваши данные вовне, поэтому будьте осторожны
https://github.com/eslint/eslint-scope/issues/39

Сразу две новости похожего плана

1. кто-то продавал данные по доступу к системам безопасности крупного международного аэропорта всего за 10 долларов (потому что доступ к RDP — кто там на него особо заморачивается)
https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

2. Кто-то продавал секретные военные документы о военных дронах всего за 150-200 долларов (потому что кто-то не сменил пароль на FTP-доступа на роутере)
https://www.bleepingcomputer.com/news/security/hacker-steals-military-docs-because-someone-didn-t-change-a-default-ftp-password/

еще очень полезная ссылка от читателя — браузер Chrome в борьбе за уменьшение рисков и последствий от проблемы Spectre (эксплуатация недостатков в спекулятивном исполнении команд в процессорах) включил изоляцию сайтов друг от друга. Таким образом, минимизируется риск, что вредоносный сайт сможет похитить информацию из памяти о другом сайте
https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html

Еще раз сделаем попытку закрыть тему одной бургерной компании, их мобильного приложения и “слежки за пользователями”. Теперь — ответом разработчиков самого приложения

https://habr.com/company/e-Legion/blog/417043/

Тема с уязвимостями процессоров Intel и атаками Spectre тоже не отпускает. Еще два новых сценария уязвимости, приводящих к восстановлению данных в кэше процессора при спекулятивном исполнении инструкций

исследование на английском
https://people.csail.mit.edu/vlk/spectre11.pdf

статья об этом на русском
https://tproger.ru/news/new-spectre-vulnerabilities/

Кстати, новость про изоляцию сайтов в Chrome из вчера — как раз для защиты от подобных сценарией t.me/alexmakus/2234

и вдогонку про вчерашнее с eslint-scope — разработчики опубликовали post mortem о том, что произошло и как их заразили вирусом. Ключевое, что нужно знать всем: виной всему оказалось повторное использование паролей одним из администраторов на разных сайтах.

Package maintainers and users should avoid reusing the same password across multiple different sites. Ну и двухфакторную авторизацию никто не отменял

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

Приложения со встроенным вредоносным кодом в Google Play, никогда такого не было, и вот опять! вирус Anubis под видом всяких полуполезных приложений попадал в Google Play, а после установки из магазина воровал пароли из банковских приложений, кошельков и проч.

https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Тут такое дело. Можно, конечно, верить или не верить во всемогущих российских хакеров, дело ваше. Но сегодня министерство юстиции США(ЭТО ВАЖНО) предъявило обвинение 12 хакерам, которые являлись сотрудниками ГРУ, и участвовали в незаконном взломе и доступе компьютерных систем во время президентских выборов 2016 года, в том числе к системам Демократического национального комитета, и к почте сотрудников некоторых избирательных кампаний. Полный текст обвинения, включая имена, адреса, номера военных частей, а также информация о методах взлома, доступна по ссылке в документе

https://www.justice.gov/file/1080281/download


Грубо говоря, обвинений 4

1: сговор для взлома DNC
2-9: identify theft (то, что использовалось для фишинга)
10: отмывание денег (потому что платежи через биткойны, и тд).
11: Сговор по взлому компьютеров избирательной системы в разных штатах

АААААААААА страницы 14 и 15 уапще... уровень детализации какой-то прям запредельный

Плюс: можно у ЦРУ запросить любую информацию и придёт ответ. Минус: ответ ничего не даст :)

Мне тут админы одной компании среднего размера (до 500 чел) рассказали о том, как они проводили фишинговое тестирование в компании. Около 20% пользователей кликнули по ссылке в письме и ввели пароль в поле на фейковой странице. Так что если вы ждали знака для того, чтобы ввести в компании двухфакторную авторизацию (или активировать её на своей учетке почты, ФБ или еще чего-то важного), то это — тот самый знак.