Что такое MITM attack:
https://twitter.com/ericlaw/status/1096796393111515139

Из категории "никогда такого не было, и вот опять!". WSJ сообщает о том, что Facebook получал массу персональной информации о пользователях, которую те вводили в сторонние приложения. Facebook в свою очередь тут же получал эти данные от приложений, чтобы улучшать таргетирование рекламой. В данном случае речь идет о приложениях для слежения за физической активностью и здоровьем, и информация могла включать весьма персональную информацию, например, о цикле овуляции пользователя (пользовательки?) и намерении забеременеть.

Интересно то, что для передачи данных в FB пользователю приложения даже не нужно было логиниться в аккаунт FB в приложении или даже обладать аккаунтом в социальной сети (shadow profiles, вот это все). Apple и Google не требуют от разработчиков приложений раскрывать, с кем разработчик делится информацией из приложения. В итоге, например, такие приложения как Instant Heart Rate: HR Monitor и Flo Period & Ovulation Tracker отправляли в Facebook, соответственно, данные о пульсе и данные о менструальном цикле. Приложение Realtor.com отправляло в Facebook данные о местоположении и цене объектов недвижимости, которые просматривал пользователь. Ни в одном из проверенных приложений журналисты WSJ не обнаружили возможности отказаться от передачи данных в Facebook.

Facebook, конечно же, утверждает, что это все против правил социальной сети, и компания уже прокоммуницировала разработчикам, что они немедленно должны прекратить отправлять конфиденциальные пользовательские данные. Хотя все, что они сделали — это встроили инструмент аналитики в приложения, который предлагает Facebook. А сколько еще таких приложений, о которых мы не знаем? Facebook хватало скандалов в прошлом году, и, подозреваю, в этом году мы еще начитаемся подобных открытий.

Статья на WSJ (paywall) https://www.wsj.com/articles/you-give-apps-sensitive-personal-information-then-they-tell-facebook-11550851636?mod=e2tw
Версия без paywall https://outline.com/ZUGZzz

NSA планирует в марте выложить в открытом исходном коде свой инструмент Hydra для reverse engineering, поэтому на страничке проекта периодически появляются обновления:
https://www.nsa.gov/resources/everyone/ghidra/

ICANN пишет о том, что на инфраструктуру DNS идет серьезная атака и призывает DNS сервисы переходить на использование DNSSEC как можно скорее:
https://www.icann.org/news/announcement-2019-02-22-en

В 4G и 5G обнаружены три новые уязвимости, которые могут позволить злоумышленникам перехватывать звонки и следить за местоположением пользователей. Это первые уязвимости, которые одновременно затрагивают стандарты 4G и 5G. Названия там у атак хорошие: Torpedo, Piercer и IMSI-Cracking. Исследователи утверждают, что в США все мобильные операторы уязвимы против Torpedo, которую можно провести с помощью оборудования стоимостью 200 долл. Информация об уязвимостях была передана в GSMA, но информации о том, когда они будут исправлены (и будут ли вообще), нет.
https://www.documentcloud.org/documents/5749002-4G-5G-paper-at-NDSS-2019.html

Забыл еще на прошлой неделе написать про обнаруженную уязвимость в WinRAR, которая позволяла злоумышленникам получить полный контроль над компьютером жертвы. Эксплуатация происходит путем распаковки архива, а сама уязвимость присутствовала в приложении WinRAR 19 лет.
https://research.checkpoint.com/extracting-code-execution-from-winrar/

Вчера в дайджесте я упоминал про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя, который разобрался чуть более детально в информации об уязвимости, и, мне кажется, это может быть интересно другим читателям ресурса.
-------

Если вам интересно: я тестировал эту уязвимость сразу, как только услышал о ней. Я внимательно прочитал оригинальную статью, и отделил зёрна от плевел:

1) Несмотря на то, что методом атаки на архиватор был fuzzing, в сущности уязвимость представляет из себя просто распаковку файла по абсолютному пути. Это не связано с memory-related багами архиватора (то есть это НЕ переполнение буфера памяти, НЕ исполнение произвольного кода в контекста процесса), которые обычно обнаруживаются фаззингом.
2) Для фактической эксплуатации уязвимости, нужно создать ACE архив стандартным способом, а потом просто бинарно изменить в нём прописанный путь к файлу. Чтобы после этого архив воспринимался как корректный, нужно пересчитать контрольную CRC сумму в заголовках. Автор статьи не показал прямой код пересчёта, но следуя комментариям в исходниках Python-библиотеки по ссылке – я разобрался и сам, подбором найдя подходящую инициализацию crc32, которая генерирует валидные хеши. В итоге, моя собственная программа для восстановления контрольной суммы оказалась весьма тривиальной.
3) Сущность атаки как раз в выборе пути к payload-файлу в архиве. На самом деле я бы с большой натяжкой стал называть эту уязвимость RCE (то есть «удалённое выполнение кода»), потому что всё что произойдёт при успешной атаке – WinRar распакует файл не в указанную папку, а по заранее заданному в архиве абсолютному пути. И _если_ этот файл попадёт в Автозагрузку или ещё куда-то, где сможет быть запущен системой – то тогда, и только тогда это приведёт к выполнению произвольного кода.
4) Автор статьи предлагает также способ с «относительным» путём, начинающимся от Рабочего стола или Домашней папки пользователя, чтобы было проще попасть в директорию локальной автозагрузки. Но это сработает, _только_ если архив будет распакован через контекстное меню, да и вообще – начальная «текущая директория» WinRar может отличаться на разных системах и версиях.
5) Чтобы гарантированно попасть в нужную папку, автор статьи предлагает поместить в архив сразу несколько файлов, целящихся на разные локации, чуть ли не до брутфорса. Но во-первых, совершенно «общий» payload в таком случае будет чрезмерно велик (например, Windows не всегда установлена на диск C:\; полный путь к автозагрузке для XP и для Win7 будет абсолютно разным; ещё можно пытаться угадать имя пользователя – «User/Administrator/Администратор/» и дополнительно бить по «All Users»), потому что по каждому пути придётся поместить новую копию вредоносного файла. А во-вторых, распаковка такого архива буквально заспамит систему (например, создаст вам кучу лишних папок наподобие «\Documents and Settings\» где попало), и с куда большей вероятностью подобная атака не останется незамеченной.
6) Да, в архив кроме вируса как такового, можно поместить и «нормальные» файлы для отвода глаз, которые распакуются куда ожидает жертва. Но если архив будет ОТКРЫТ, а не распакован – то WinRar счастливо покажет в списке файлов архива очень подозрительные вхождения наподобие «C:», «C:\», «Documents and Settings», «WINDOWS», «..\», и так далее. И жертва может сразу же заподозрить неладное. Причём при «открытии» архива без его полной распаковки – вредоносный файл так никуда и не вырвется.

7) Мои собственные эксперименты показали, что на разных версиях WinRar, ошибку обработки пути нужно обходить по-разному: в старых версиях достаточно просто прописать абсолютный путь («C:\Users\...»), а более новых версиях – как в инструкции статьи, «C:\C:\Users\...» (количество и расположение \ тоже может варьироваться). Поэтому, для общей атаки нужно предусмотреть и эти различия. Причём если WinRar получит неподходящий ему путь – информация об этом обязательно появится на экране («Диагностические сообщения»), где будет палиться ПОЛНЫЙ путь, по которому попыталась пройти атака. Тем не менее, распаковка не прерывается, и вирус всё ещё может попасть в цель (но однозначно вызовет подозрения).
8 ) Можно перезаписать любой файл, если попасть в путь к нему, например C:\WINDOWS\explorer.exe (плюс, его же копию в system32\dllcache). Но для системных файлов это сработает лишь когда у пользователя есть права на запись в системные папки (то есть, он под Администратором). Win>=7 скорее всего заблокирует доступ через UAC (если не сам WinRar почему-то запущен с повышенными привилегиями), а вот для XP успешность более вероятна (хотя те, кто ежедневно на XP с админ-правами – явно не «простые пользователи», и на распаковку подставного архива так просто не попадутся).
9) Попытка прямой записи в Автозагрузку или любую системную папку – может вызвать предупреждение антивируса или какой-либо другой программы, обеспечивающей безопасность системы (например, AnVir Task Manager). При этом главная фишка этого метода – скрытность – неизбежно нарушается. А тех, у кого нет подобных систем защиты – можно проще прошибить через «.rar.exe» а-ля троянский self-extracting и без всяких там RCE. Кстати, если мы распакуем чистейший вирус – то антивирус его поймает сразу же, как тот распакуется в целевую папку (а худшее, что может быть – перезапись пустышками каких-то важных программ или документов, но опять же – надо точно знать путь).
10) Адекватнее всего атака производится на «частную» систему, которая заранее изучена: известна точная версия WinRar в ней, точная Windows и её системная локаль (потому что успехов вам распаковывать в папку «\Startup\», если на самом деле она зовётся «\Автозагрузка\», и это не desktop.ini, а реальный путь). Известно, каким правами обладает учётная запись пользователя, какой установлен антивирус, и вообще у нас есть соображения, под что именно будем маскировать распакующийся троян. В противном случае даже частично слепая атака в лучшем для злоумышленника случае просто не приведёт к успеху, а в худшем – окажется немедленно раскрыта жертвой.

Мой вердикт: уязвимость не затронет «простых пользователей», под которых специально не затачивается конкретная атака. Напороться на удачно подошедший именно к вашей системе подменённый архив (и не заметить его) – куда менее вероятно, чем случайно подцепить вирус попроще (какой-нибудь там «.scr» с иконкой папки) по неосторожности.
Все новостные ленты раздувают это как «баг 19-летней давности, затрагивающий миллионы людей», но эффективно использовать его просто невозможно (например, в отличие от уязвимости в windows, которую использовал WannaCry; а она ведь была там тоже очень давно).

Более того, для защиты вам даже не обязательно обновлять WinRar: просто найдите и переименуйте все файлы «UNACEV2.DLL» на компьютере (эту библиотеку использует не только WinRar, но и, например, Total Commander), тогда никакие .ace архивы у вас не смогут распаковаться (тем более что этот формат, на мой взгляд, всё равно совершенно непопулярный в наши дни)

Устройства UFED компании Cellebrite, которая выпускает гаджеты для взлома iPhone и Android, которые та продает различным правоохранительным органам, оказались доступными на eBay. Полиция, распродавая невостребованные устройства (часто за 100 долларов), часто содержат в себе информацию об мобильных устройствах, исследуемых в рамках различных расследований. (Сейчас, правда, eBay вычистил устройства из продажи).
https://www.forbes.com/sites/thomasbrewster/2019/02/27/the-feds-favorite-iphone-hacking-tool-is-selling-on-ebay-for-100and-its-leaking-data/

Уязвимость в спецификации передачи данных по протоколу Thunderbolt, которую назвали Thunderclap. При наличии таких устройств, подключенных к компьютерам Win/Mac/Linux, информацию можно выгружать прямо из памяти компьютера. Проблема затрагивает ноутбуки и настольные компьютеры Apple, выпущенные после 2011 года (кроме 12-дюймовых MacBook), а также ноутбуки и настольные компьютеры ПК, выпущенных после 2016 года и работающих под управлением Windows и Linux (если там есть поддержка интерфейса Thunderbolt, разумеется). Уязвимы Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. По сути, речь идет о доступе на уровне ОС, который получают внешние устройства вроде сетевых карт или графических ускорителей.
Уязвимость была обнаружена еще в 2016 году, и с тех пор работали с производителями над фиксом. Apple выпустила апдейт для Маков в рамках 10.12.4 в том же году, а Windows 10, начиная с версии 1803, тоже защищает против уязвимости на уровне прошивки для новых устройств.
Не то, чтобы такая проблема грозит обычным пользователям, но в целом всегда нужно помнить, что не стоит втыкать в свой компьютер неизвестные устройства.

https://thunderclap.io/#faq
Пояснения исследователя https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/

Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

В интернете обнаружили базу на 364 млн частных сообщений пользователей китайских сетей WeChat и QQ, которая также содержала в себе ИНН граждан, фотографиии, адреса, информацию о геолокации, и информацию об использованных устройствах. Похоже, что эту информацию (включая приватные сообщения, которые вообще-то не должны быть доступны третьим сторонам), собирают правоохранительные органы на граждан страны.
https://twitter.com/0xDUDE/status/1101909112131080192

Ссылка от читателя о том, как мэрия Москвы следит за перемещениями горожан с помощью данных, которые мэрии продают мобильные операторы (молодцы какие). Там, конечно, обещают обезличенность данных, и все такое, но мы-то знаем, чего стоят и эти обещания, и обезличенность при больших объемах данных.
https://www.vedomosti.ru/technology/articles/2019/03/03/795527-moskvichi

Пару недель назад я писал про исследователя, обнаружившего уязвимость в Связке Ключей в macOS, но отказывавшегося делиться информацией с Apple, потому что у компании отсутствует программа вознаграждения за уязвимости в macOS? Он решил не ждать, пока компания найдет в себе силы такую программу запустить, и отправил информацию об уязвимости в Apple
https://twitter.com/LinusHenze/status/1101223563581943808