На прошлой неделе я писал про популярное приложение в Mac App Store, которое, как оказалось, отправляло пользовательские данные на сервер в Китае. Оказалось, что такое приложение не единственное, и есть еще несколько приложений в MAS, которые занимаются подобной активностью (не всегда это Китай, но тем не менее, утечка пользовательских данных имеет место быть). И, разумеется, пользователи ни сном, ни духом не в курсе происходящего.

Adware Doctor отправляет
- Историю браузеров
- Список запущенных процессов
- Список установленных приложений (и откуда они были установлены)

Open Any Files: RAR Support отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Antivirus отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Dr. Cleaner отправляет
- Историю браузеров
- Историю просмотра приложений в App Store

Из этого всего можно сделать вывод, что нельзя быть уверенным на 100% в надежности ПО, которое проходит проверку Apple и размещается в Mac App Store. Так что даже устанавливая приложения из этого источника, обращайте внимание на права, которые приложения запрашивают.

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах


Список приложений и компаний, занимающихся сбором такой информации, можно почитать тут. Что со всем этим делать? Как минимум, в настройках iOS можно включить опцию для минимизации рекламной слежки. Там же можно сбросить рекламный идентификатор (и делать это периодически). И, опять же, внимательно следить за тем, какие права запрашивают приложения, устанавливаемые на смартфон. В частности, если какое-то приложение просит доступ к местоположению "всегда", а не только когда это приложение работает, я бы напрягся. Кстати, также в настройках iOS можно посмотреть, какие приложения запрашивали такой доступ, и либо отключить им доступ "всегда" (если им не нужно это для функциональности - например, приложению-навигатору нужен), либо удалить такие приложения. Берегите свое местоположение!

PS И, конечно же, хотелось бы, чтобы Эпол ужесточила контроль за такими приложениями, обращая больше внимания на то, какие SDK и зачем используются в приложениях.

‌И снова с вами новости из мира, в котором информация ежесекундно подвергается опасносте!

На прошлой неделе я писал о том, что British Airways стала жертвой взлома, который привел к утечке данных 380 тысяч карт клиентов авиакомпании. Тогда компания решила не делиться информацией о том, как произошел взлом, а сейчас информация стала доступной благодаря расследованию компании RiskIQ. Та же группа злоумышленников (Magekart, которая взломала сервис по продаже билетов Ticketmaster UK, смогла вставить 22 строки кода JavaScript в страницу оплаты при покупке билетов, что позволило одновременно атаковать и покупки на вебе, и в мобильном приложении

Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript 'Safest' security level (supposed to block all JS). PoC: Set the Content-Type of your html/js page to "text/html;/json" and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.— Zerodium (@Zerodium) September 10, 2018

Больше деталей на английском тут
https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/

на русском тут
https://www.securitylab.ru/news/495545.php

Уязвимость исправлена в версии 5.1.8.7

‌Я писал о приложениях Trend Micro, собирающих историю браузеров у пользователей, установивших эти приложения из Mac App Store, источника, который (чисто теоретически) должен был бы предотвращать попадание туда таких приложений.

Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но "совсем чуть-чуть", и только один раз — мол, изучить, как там пользователь пересекался с adware.

Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой "feature", как сказала Trend Micro, не было):



Теперь компания заявила, что они:
- убрали эту функциональность
- удаляют всю собранную информацию
- и вообще обнаружили корень проблемы (общую для всех приложений библиотеку), и больше так не будут.

закреплю-ка я материал немножко сегодня

‌200 гигабайт данный на 440 миллионов записей, включая имена и адреса электронной почты — все это лежало в незащищенной базе данных MongoDB (конечно же) в открытом доступе. Компания Veeam, специализация которой — резервные копии и восстановление данных для облачных инфраструктур, оставила открытой базу своих клиентов. молодцы какие.



https://www.linkedin.com/pulse/veeam-inadvertently-exposed-marketing-info-hundreds-its-bob-diachenko/

Я давно говорил, что у канала — лучшие читатели. Один из них, например, прислал вот свой новый проект: сайт поиска по эксплойтам. Чистенько, аккуратненько, есть поиск по модулям metasploit. Если вдруг что, то может оказаться полезным
https://sploitus.com

‌Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.


(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)


Доступ к памяти может позволить злоумышленникам получить ключи шифрования диска, и таким образом подключить защищенный диск, даже если он зашифрован BitLocker или FileVault. Microsoft говорит, что компьютеры с PIN для загрузки защищены от этой атаки, а в случае с Маками можно установить пароль на firmware для дополнительного уровня защиты. Кроме того, новые Маки, у которых есть чип T2, обеспечивающий безопасную загрузку компьютера, тоже не подвержены этой уязвимости.

FYI TWIMC — In approximately 2017, the website for Russian speakers in America known as Russian America suffered a data breach. The incident exposed 183k unique records including names, email addresses, phone numbers and passwords stored in both plain text and as MD5 hashes.

Заявление Microsoft по поводу атаки на компьютеры через cold boot attack

Я вчера писал про обнаруженную в прошивках компьютеров уязвимость, которая позволяет получить доступ не только к содержимому памяти компьютера, но и к содержимому диска компьютера. F-Secure подвезли немножко больше деталей в виде рассказа на сайте, а также опубликовали в твиттере демонстрацию получения ключа от шифрования диска:

https://twitter.com/FSecure/status/1040149572230828032/video/1



Рекомендации со вчера не изменились: если беспокоитесь за свои данные, то а) ограничение физического доступа к компьютеру, плюс б) PIN в BitLocker на компьютере с Windows и пароль в Firmware на Маке.

Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.

Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:

The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.

For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.

Но есть и хорошие новости :) Chrome 70 теперь поддерживает аутентификацию на вебе с помощью Touch ID на Маке и сканера отпечатков пальцев на Android.

https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html

в качестве пятничного бонуса — еще длинная статья на NYT (автору явно платят за знаки) о популярных детских приложениях для iOS и Android, которые сливают информацию о пользователях, включая их местоположение, во всякие рекламные конторы (потенцильно нарушая законодательство о приватности информации о детях)

https://www.nytimes.com/interactive/2018/09/12/technology/kids-apps-data-privacy-google-twitter.html

Красивое видео https://twitter.com/kev_south/status/1040136770019643392

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений (https://support.apple.com/en-us/HT209106), касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек (https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea), валящих iPhone даже на iOS 12).


Кроме этого, Apple обновила документ (https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf - PDF), посвященный безопасности iOS. Изменения в этой версии включают в себя дополнения о чипе Secure Enclave, режимах DFU и recovery, функции Screen Time и подсказках Shortcuts. Подсказки, например, генерируются на устройстве с помощью машинных алгоритмов и никакая информация не передается для обработки в Apple, а дата между устройствами синхронизируется через iCloud в зашифрованном виде. Оттуда же интересно было узнать, что добавление "альтернативного вида" в Face ID увеличивает вероятность случайной разблокировки iPhone чужим лицом с 1 из 1 миллиона до 1 из 500 тыс попыток. В общем, полезный документ, если вам хотя бы немного интересно, как устроена безопасность в iOS.

Кроме того, в iOS 12 полно всяких полезных фич для улучшения безопасности:
- одноразовые пароли из SMS теперь видны в подсказках в клавиатуре, что существенно облегчает их ввод
- серьезные ограничения по рекламной слежке в Safari, включая блокировку кнопок шаринга в социальные сети
- Safari практически настаивает на использовании более сложных паролей
- зашифрованные видеочаты, включая групповые (когда они выйдут чуть позже в этом году)
- возможность расшарить информацию о местоположении со службами спасения (доступно в США)
- блокировка USB-аксессуаров при подключении
- проверка паролей на повторное использование во встроенном менеджере паролей в iOS 12
- поддержка автозаполнения паролей в сторонних менеджерах паролей

Так что если вы уже установили iOS 12, вот несколько опций, которые можно включить в настройках для того, чтобы воспользоваться возможностями, предлагаемыми операционной системой для вашей же информационной безопасности (я да:
1. Автоматические обновления
Настройки -> Основные —> Обновление ПО

2. USB-аксессуары
Настройки ->Face ID и код-пароль
(просто проверьте, что опция отключена)

3. Ну и раз уж мы заговорили о безопасности iPhone, самое время настроить:
а) более сложный пароль, чем просто 4 цифры
б) ту самую двухфакторную аутентификацию, предлагаемую Apple

С учетом всего вышесказанного, можно назвать iOS 12 самым безопасным релизом iOS ever, но ведь было бы странно, если бы это было не так?

ЗЫ WTF, при трансляции потерялись ссылки, пардоньте, исправил

Уязвимость под невинным названием "Peekaboo" (детская игра в прятки "ку-ку") касается программного обеспечения популярных камер наблюдения и позволяет не только просматривать изображение с них, но и модифицировать записи. Эксперты компании Tenable обнаружили уязвимость в ПО компании NUUO, которая производит камеры наблюдения, широко применяемые в банках, больницах, школах и многих других публичных местах. Используя переполнение буфера в стеке и таким образом раскрывая возможность удаленного исполнения кода, злоумышленники могут получить админский доступ к системе управления камерами (к тому же параметры доступа к камерам хранятся в открытом виде).

Пока что обновления для этой уязвимости нет, исследователи рекомендуют внимательней следить и ограничивать доступ к сети с устройствами.