Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.

Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:

The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.

For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.

Но есть и хорошие новости :) Chrome 70 теперь поддерживает аутентификацию на вебе с помощью Touch ID на Маке и сканера отпечатков пальцев на Android.

https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html

в качестве пятничного бонуса — еще длинная статья на NYT (автору явно платят за знаки) о популярных детских приложениях для iOS и Android, которые сливают информацию о пользователях, включая их местоположение, во всякие рекламные конторы (потенцильно нарушая законодательство о приватности информации о детях)

https://www.nytimes.com/interactive/2018/09/12/technology/kids-apps-data-privacy-google-twitter.html

Красивое видео https://twitter.com/kev_south/status/1040136770019643392

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений (https://support.apple.com/en-us/HT209106), касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек (https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea), валящих iPhone даже на iOS 12).


Кроме этого, Apple обновила документ (https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf - PDF), посвященный безопасности iOS. Изменения в этой версии включают в себя дополнения о чипе Secure Enclave, режимах DFU и recovery, функции Screen Time и подсказках Shortcuts. Подсказки, например, генерируются на устройстве с помощью машинных алгоритмов и никакая информация не передается для обработки в Apple, а дата между устройствами синхронизируется через iCloud в зашифрованном виде. Оттуда же интересно было узнать, что добавление "альтернативного вида" в Face ID увеличивает вероятность случайной разблокировки iPhone чужим лицом с 1 из 1 миллиона до 1 из 500 тыс попыток. В общем, полезный документ, если вам хотя бы немного интересно, как устроена безопасность в iOS.

Кроме того, в iOS 12 полно всяких полезных фич для улучшения безопасности:
- одноразовые пароли из SMS теперь видны в подсказках в клавиатуре, что существенно облегчает их ввод
- серьезные ограничения по рекламной слежке в Safari, включая блокировку кнопок шаринга в социальные сети
- Safari практически настаивает на использовании более сложных паролей
- зашифрованные видеочаты, включая групповые (когда они выйдут чуть позже в этом году)
- возможность расшарить информацию о местоположении со службами спасения (доступно в США)
- блокировка USB-аксессуаров при подключении
- проверка паролей на повторное использование во встроенном менеджере паролей в iOS 12
- поддержка автозаполнения паролей в сторонних менеджерах паролей

Так что если вы уже установили iOS 12, вот несколько опций, которые можно включить в настройках для того, чтобы воспользоваться возможностями, предлагаемыми операционной системой для вашей же информационной безопасности (я да:
1. Автоматические обновления
Настройки -> Основные —> Обновление ПО

2. USB-аксессуары
Настройки ->Face ID и код-пароль
(просто проверьте, что опция отключена)

3. Ну и раз уж мы заговорили о безопасности iPhone, самое время настроить:
а) более сложный пароль, чем просто 4 цифры
б) ту самую двухфакторную аутентификацию, предлагаемую Apple

С учетом всего вышесказанного, можно назвать iOS 12 самым безопасным релизом iOS ever, но ведь было бы странно, если бы это было не так?

ЗЫ WTF, при трансляции потерялись ссылки, пардоньте, исправил

Уязвимость под невинным названием "Peekaboo" (детская игра в прятки "ку-ку") касается программного обеспечения популярных камер наблюдения и позволяет не только просматривать изображение с них, но и модифицировать записи. Эксперты компании Tenable обнаружили уязвимость в ПО компании NUUO, которая производит камеры наблюдения, широко применяемые в банках, больницах, школах и многих других публичных местах. Используя переполнение буфера в стеке и таким образом раскрывая возможность удаленного исполнения кода, злоумышленники могут получить админский доступ к системе управления камерами (к тому же параметры доступа к камерам хранятся в открытом виде).

Пока что обновления для этой уязвимости нет, исследователи рекомендуют внимательней следить и ограничивать доступ к сети с устройствами.

Из свежих утечек: целый месяц на сайте Newegg.com (популярный онлайн-ритейлер) обнаружил, что целый месяц у них на сайте жило вредоносное ПО, воровавшее данные банковских карточек покупателей. 15 строк кода, данные сливались на сайт с похожим доменным именем, причем у фальшивого сервера был даже сертификат HTTPS. Использован был все тот же Magecart, который отметился на сайте British Airways — об этом инциденте можно почитать тут

https://twitter.com/Newegg/status/1042466284577779712

Детали взлома можно почитать тут
https://www.volexity.com/blog/2018/09/19/magecart-strikes-again-newegg/

Информации о количестве пострадавших пользователей нет, хотя учитывая масштабы ритейлера (около 3 млрд долл выручки в год), количество может измеряться в миллионах.

Вот тут еще очень интересный твит по этому поводу
https://twitter.com/Viss/status/1042453549806870528

Данные на 14 млн клиентов утекли с сайта GovPayNow.com, который отвечает за оплату различных сервисов в тысячах государственных организаций США (как локальных, так и федеральных). Сервисы включали в себя оплату различных штрафов и другие виды транзакций. Утекшие данные включают в себя 4 последние цифры номеров банковских карточек, имена, номера телефонов, адреса. Данные можно было получить, подменяя цифры в адресной строке онлайн-чека, который выдает сервис при оплате.

https://krebsonsecurity.com/2018/09/govpaynow-com-leaks-14m-records/ -

‌На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.

Есть версия, что эти данные были вынуты из iPhone с помощью "коробочки" для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.

Уязвимость в прошивке устройств Western Digital с поддержкой сервиса My Cloud, позволяющая нападающему обойти админские права и получить доступ к пользовательским данным на устройстве, подключенном к этому сервису. Ой. Причем WD за год так и не смогла уязвимость исправить, поэтому информацию о ней опубликовали, а она все еще есть. WD обещает теперь выпустить обновление в течение нескольких недель.

Детали уязвимости и демонстрация Proof of concept по ссылке
https://www.securify.nl/advisory/SFY20180102/authentication-bypass-vulnerability-in-western-digital-my-cloud-allows-escalation-to-admin-privileges.html

Причем другая команда в свое время эту проблему уже обнаружила, и даже опубликовала свой код для эксплойта.

‌Различные эксперты по безопасности сообщают о массовых взломах сайтов на WordPress, в рамках которых происходит инъекция вредоносного кода в файлы .php, .js и базу данных сайта. Проблема не в самом WordPress, а в уязвимостях устаревших плагинов и тем для сайтов. Затем сайты начинают показывать ужасные сообщения с требованиями срочно обратиться в техническую поддержку:



Детали про инъекции можно почитать тут
http://labs.sucuri.net/?note=2018-09-18

и тут
https://blog.malwarebytes.com/threat-analysis/2018/09/mass-wordpress-compromises-tech-support-scams/

Сервис блокировки рекламы в интернете AdGuard сообщает, что они зафиксировали попытки входа в систему методом подбора ранее утекших из разных источников комбинаций логинов и паролей, и, возможно, злоумышленники смогли получить доступ к некоторым учетным записям пользователей. Поэтому всем пользователям сбросили пароли в качестве превентивной меры.

https://adguard.com/en/blog/adguard-security-notice/

‌Совершенно инфернальная история про то, как чувак нашел на распродаже сервера и компьютеры крупного канадского ритейлера NCIX (специализировавшегося на продаже компьютеров и программного обеспечения). Компания обанкротилась в конце 2017 года, и теперь на аукционах всплыли сервера и компьютеры с миллионами незашифрованных данных о сотрудниках, покупателях и партнерах компании. Автор статьи вначале увидел объявление о двух серверах с базой данных, а затем оказалось, что к покупке доступна вся серверная ферма с восточного побережья.

Статья также изобилует деталями о том, что на часть этих данных уже нашлись покупатели, и вообще продавец предлагал скопировать терабайты данных за деньги. Так что к кому там на самом деле могли попасть данные — вообще неизвестно. Очень рекомендую всю статью к прочтению:

https://www.privacyfly.com/articles/ncix_breach/#three


PS вот так читаешь такие статьи и руки опускаются. Ты можешь сколько угодно пытаться ограничивать попадание своих данных в интернет, насколько ты это контролируешь, а потом кто-то скопом покупает данные о тебе от каких-то безруких идиотов, просто потому что они идиоты. Эх

Я достаточно много писал в канале про USB Accessories Mode в iOS, который снижает риски по копированию данных с iPhone с использованием устройств от компаний Cellebrite и Grayshift. Там, напомню, начиная с iOS 11.4, разъем Lightning блокируется на передачу данных через час после последней разблокировки смартфона, что предотвращает доступ к информации на телефоне для "коробочек" Cellebrite и GrayKey.

А вот ребята из Элкомсофт обнаружили еще одно улучшение алгоритма блокировки порта Lightning в финальной версии iOS 12:

“In addition, on iOS 12 if it’s been more than three days since a USB connection has been established, the device will disallow new USB connections immediately after it locks. This is to increase protection for users that don’t often make use of such connections. USB connections are also disabled whenever the device is in a state where it requires a passcode to re-enable biometric authentication.”

Если пользователь три дня не подключал телефон к USB (используя, например, беспроводную зарядку для аккумулятора), то подключение к USB-устройствам с передачей данных будет заблокировано сразу после того, как экран устройства будет заблокирован. Apple все окапывается по защите доступа к телефону. Интересно будет узнать, поменялось ли что-то в новых iPhone Xs и Xs Max в плане получения доступа к файловой системе, как делают это Cellebrite/Grayshift.

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила "залогинены" на "запоганены", и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б - в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/

все тлен
https://habr.com/post/423947/

Ну и какой релиз новой macOS без 0-day по обходу ограничений на доступ к пользовательским данным?

https://twitter.com/patrickwardle/status/1044221338120941568

На видео показано, как операционная система вначале отказывает в доступе к данным, но затем копирует полностью адресную книгу после запуска скрипта. Технических деталей уязвимости автор не раскрывает. Жалуется, что у Apple нет программы выплаты на обнаружение уязвимостей в macOS (для iOS такая программа есть).

‌В отсутствие свежих новостей (что по-своему - отличные новости) я добрался до просто хороших статей на тему инфосека, поэтому сегодня парочка ссылок на почитать:

1. Статья в Motherboard о компании NSO — известной израильской компании, разработчике шпионского ПО для мобильных устройств. Интересным в статье мне показался пример от анонимного источника, который побывал на продуктовой презентации компании. Там рассказывается, что присутствовавший на презентации дал представителям компании свой номер телефона, и положил телефон (iPhone, но неизвестно, какой модели и с какой версией iOS) на стол. Через 5-7 минут содержимое телефона было выведено на экран, включая сообщения и электронную почту. Какая-то fucking magic. В статье много рассказывается о самой компании - очень интересно, в общем.

https://motherboard.vice.com/en_us/article/qvakb3/inside-nso-group-spyware-demo


2. Совершенно чумовая статья о Китае и системе "Большого брата", которая должна войти в строй в 2020 году. Про Китай и так пишут, что цифровое наблюдение там построено на зависть многим другим странам, но тут просто какой-то совершенно другой уровень. Постоянное наблюдение за людьми будет привязано к некоему социальному баллу, и в зависимости от поведения эти баллы могут добавляться или отбираться. Например, покупка большого количества алкоголя снизит баллы, так как будет свидетельствовать о зависимости. Покупка детских подгузников будет говорить об ответственности, и добавлять баллы. Затем наличие определенного уровня будет позволять как получать бонусы (скидки на перелеты или более низкие ставки на кредит, например), так и попадать в черные списки, что усложнит поиск работы или передвижения по стране.

http://www.abc.net.au/news/2018-09-18/china-social-credit-a-model-citizen-in-a-digital-dictatorship/10200278

После небольшой паузы собралась небольшая коллекция интересных новостей, которые можно сообщить одной строкой (ну, почти).

1. Код сайта «Аэрофлота» и информация из служебных сервисов оказались в открытом доступе из-за ошибки авиакомпании. Сервер компании работает на программном обеспечении Docker и, оказалось, что к нему можно получить доступ без авторизации.

На английском: https://www.theregister.co.uk/2018/09/26/aeroflot_server_code_open/

Ещё пара ссылок от читателя
https://github.com/aeroflotsrc/webapp + открытый стейджинг http://afl-staging.test.aeroflot.ru/ru-ru/test0410_1

На русском: https://tjournal.ru/77247-aeroflot-po-oshibke-otkryl-dostup-k-kodu-svoih-servisov-i-sluzhebnoy-informacii

2. Сайт AnilibriaTV (специализируется на озвучке на русский язык аниме-сериалов) допустил утечку пользовательских данных, что привело к сбросу паролей всех пользователей. Из анонса не очень понятно, что произошло, но есть подозрение, что утекли адреса и пароли (причем непонятно, в каком именно виде были зашифрованы пароли). В общем, берегите там свои пароли!
https://www.anilibria.tv/novosti/vnimanie-utechka-dannykh/

3. На прошлой неделе я писал про Google, которая решила объединить логин в сервисы Google и в браузер Chrome. Похоже, шумиха Google пошла на пользу, потому что они вроде как решили отменить это изменение. Теперь в настройках Chrome будет опция по отключению синхронизации логина в сервисы и браузер (правда, она будет включена по умолчанию, так что придется еще найти и отключить её)

https://www.blog.google/products/chrome/product-updates-based-your-feedback/amp/