Security Week 42: зима на підході, вибухають свині, зашифрована половина інтернету

Як ви напевно вже зрозуміли, цей випуск щотижневого дайджесту новин у сфері інфобезпеки присвячений боротьбі з жовтими заголовками. Дослідник Джон Сойєр знайшов уразливість в ряді моделей смартфонів на базі Android, що випускаються компанією Foxconn (новость дослідження). Уразливість сталася через помилки виробника, який постачає для клієнтів також власну версію ОС: там був налагоджувальний модуль, що дозволяє без зусиль отримати привілеї рута і повний доступ до смартфону.

Незважаючи на те, що помилка виявилася досить серйозною, Сойєр у своєму дослідженні висловився проти використання вразливостей «для піару» — не в тому сенсі, що про них не варто повідомляти публіці, а в тому, що не треба роздувати небезпека виявляються дірок заради шерів і лайків. Звідси і назва уразливості, пародирующее інші спроби брендувати уразливості аж до створення логотипу, прапора і рінгтона: «Свинячий вибух».

Експлуатується простіше простого. Досить підключити телефон до комп'ютера, ввести пару команд через відладчик і готово. Втім, не зовсім так. Дослідник виявив, що через стандартну консоль adb ввести комнаду не вийде і трохи модифікував софт так, щоб відправляти на телефон необхідну послідовність символів. Результат: завантаження телефону в режимі налагодження, з повним доступом до системі. Це не дозволяє безпосередньо читати зашифровану інформацію, але надає масу можливостей для брутфорса або інших спеціалізованих заходів.


Постраждали в результаті декілька виробників другого ешелону, які закуповують готові пристрої, і не самі відомі на нашому ринку, наприклад InFocus і NextBit. Остання вже випустила оновлення прошивки, що закриває уразливість. Проблема, з високою ймовірністю, виникла із-за того, що з прошивки забули прибрати заводський режим відладки з правами рівня iddqd.

Більш 50% трафіку в мережі передається в зашифрованому вигляді
Новость. Трекер Mozilla Foundation.
Тему співвідношення зашифрованого трафіку і обсягу даних, що передаються відкритим текстом, я вперше підняв в одному з дайджестів за серпень. Тоді це була цифра від дослідників, яка порушила ноду Tor: вийшло, що в шифрованому вигляді через неї передається лише 25% трафіку. Але Tor — не зовсім правильний інструмент, і набагато точніше, по ідеї, повинна бути статистика від розробників браузерів. У Firefox для цих цілей є навіть трекер, що поставляє інформацію у режимі реального часу.


За даними Mozilla Foundation за рік частка шифрованого трафіку (вимірюється як відсоток сторінок, що завантажуються з HTTPS, якщо бути точним) зросла на 10% і впритул наблизилася до 50%. В моменті 50% були отримані вперше за всю історію вимірювань 13 жовтня. Наприклад, в серпні 2015 року частка HTTPS-сторінок становила лише 38%. Помітне зростання почався в першій половині цього року, і причиною швидше за все стала поява сервісів по видачі безкоштовних сертифікатів для власників веб-сайтів. Зокрема, проект let's Encrypt, запустившийся у квітні, вже до червня роздав 5 мільйонів сертифікатів. В цілому це дуже позитивна новина: передачу будь-яких даних відкритим текстом, тим більше передачу конфіденційної інформації, давно пора звести до мінімуму. Крім ініціатив з роздачі сертифікатів, в цьому напрямку рухається і Google, планирующая в наступному році позначати HTTP-сайти як небезпечні в браузері Chrome.

Уразливість в Exchange-клієнт для Android дозволяє красти паролі користувача
Новость. Пост в блозі Rapid7.
Дослідники компанії Rapid7 виявили серйозну уразливість в поштовому клієнті Nine для Android, який підтримує підключення до поштових серверів Microsoft Exchange і може використовуватися для мобільного доступу до робочої поштою. Як виявилося, поштовий клієнт ніяк не перевіряв валідність SSL/TLS сертифікатів.


Це дозволяє досить легко організувати проти клієнта атаку Man-In-The-Middle. Наприклад, можна змусити користувача підключитися до підготовленої WiFi-мережі, перехопити і розшифрувати трафік, таким чином отримавши пароль для доступу до пошти, що і показано на скріншоті вище. Виправлена уразливість в оновленні клієнта від 13 грудня, а тим, у кого залишився від цієї історії неприємний осад, пропонується відстежувати підключення даного клієнта в логах сервера, з характерною рядку ідентифікації. Прекрасний приклад історії, коли захист даних начебто є, але насправді її немає.

Що ще сталося
Витік вихідного коду Mirai — шкідливого ПО для атаки на IoT-пристрої, очікувано призвела до збільшення числа скомпрометованих девайсів. За оцінкою телеком-провайдера Level 3, кількість інфікованих пристроїв зросла з 200 тисяч до майже півмільйона.

Серйозні уразливості запатчены VeraCrypt, форке TrueCrypt.

21 вразливість закрита черговим апдейтом Google Chrome.

Давнину
«Typo-Boot»

Небезпечний вірус, методом «Brain» вражає Boot-сектора вінчестера і флоппі-дисків при читанні з них (int 13h, ah = 2). На диску розташовується стандартним способом. Працює тільки на комп'ютерах IBM PC/XT, так як містить команду MOV CS,AX (міжсегментний JMP), яка виконується тільки процесором 8086. Перехоплює int 13h, 17h. Підміняє знаки, які виводяться на принтер.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 103.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.