Security Week 49: Google фаззит опенсорс, Android-троян викрадає облікові записи Microsoft лагодить старий баг

1 грудня команда фахівців з безпеки Google анонсувала нову програму OSS-Fuzz в рамках якої планує виділити ресурси на безперервний фаззинг з відкритим вихідним кодом (новость посада в блозі Google Security). Фаззинг — це метод автоматизованого тестування програм, ідея якого була сформульована ще в кінці 80-х (PDF). З ростом продуктивності комп'ютерів досить прямолінійний процес згодовування софту довільних даних у пошуку вразливостей стає все актуальнішою. Та й взагалі, в світі де комп'ютерами все частіше керують інші комп'ютери, це годна тема, вже включена, наприклад, методику Secure Development Lifecycle у Microsoft.

Пояснюючи успішність підходу саме по відношенню до вільного, Google призводять приклад уразливості в бібліотеці Freetype, виявленої фаззером OSS-Fuzz. Freetype встановлена на мільярди пристроїв, і тому досліджувати такий софт важливо. Серйозні уразливості в опенсорсе начебто Heartbleed показали, що сама можливість незалежного аудиту не дорівнює підвищеної безпеки. У людей просто не вистачає рук проаналізувати все, тому на сцену виходять роботи. Дивно, що в Google нічого не розповідають про фаззинг Android, хоча дослідники з інших компаній таки цим занимаются.

Насправді головна користь проекту полягає в тому, що Google запрошує сторонніх дослідників і мейнтейнерів відкритого софта, по суті надаючи їм обчислювальні ресурси в рамках проекту. У своїх враження дослідник і розробник Алекс Гейнор пише, що менше ніж за день його тестовий код, доданий у OSS-Fuzz, обробив 17 трильйонів тестових кейсів, на що в домашніх умовах у нього пішов би місяць.


Наочна демонстрація технології фаззинга

Android-троян атакував більше мільйона користувачів, можливо зі зломом облікового запису Google
Новость. Исследование Check Point Software. Реакція Google.

Та сама новина, якої оцінки наслідків роботи шкідливої програми розрізняються у дослідника і вендора. Всі згодні з тим, що кампанія Gooligan існує вже кілька років, її сліди були знайдені ще в шкідливих атаках на Windows-системи. Поширення Android-трояна відбувається через неофіційні магазини додатків. В Check Point знайшли більше 80 додатків для смартфонів із вбудованим шкідливим кодом, з їх допомогою імовірно вдалося заразити більше мільйона пристроїв. Після активізації трояна з командного сервера завантажується додаткове ПО для отримання прав рута: схильні до підвищення привілеїв смартфони на базі Android 4 і 5. На цих версіях, до речі, все ще працюють майже три чверті активних пристроїв.



Всі рухи виробляються для «викрадення» облікового запису Google, а от далі свідчення починають розрізнятися. В Check Point стверджують, що крадіжка сертифіката авторизації дозволяє зловмисникам отримати доступ до всіх ресурсів користувача — поштою, диска і іншого. Головний Google з безпеки Android Адріан Людвіг каже, що за фактом особисті дані не крадуть. Профіт досягається креативним перехопленням доступу до офіційного магазину Google Play. Заражені телефони без попиту починають завантажувати додатки, що впливає на їх рейтинг. Судячи з усього, лавочка скоро буде прикрита. І не тому, що Google переконає всіх не ставити більше додатка з неперевірених джерел. А тому, що баніт додатки, які активно користуються шкідливої кампанією для розкрутки, в офіційному Google Play.

Microsoft без фанфар закрив дворічної давності баг в ядрі Windows
Новость. Опис уразливості в багтрекері Google Project Zero.

А це новина про уразливості третього ешелону, які не несуть безпосередньої загрози, або експлуатуються при рідкісному поєднанні обставин. Втім, тут теж все залежить від оцінки залучених сторін. Два роки тому експерт проекту Google Project Zero зарепортил в Microsoft деталі уразливості ядра Windows, пов'язані з роботою методу SeFastTraverseCheck, відповідального за перевірку наявності у об'єкта дозволу до особливого типу доступу до файлів або директорій. У деяких випадках вразливість дозволяла отримувати (досить обмежений) доступ до залозу, причому в ситуаціях, коли цього взагалі не повинно відбуватися, наприклад, при виконанні коду в «пісочниці» браузера Google Chrome.

Got to love silent fixes (https://t.co/A1dzgYzuwQ). This corrects a long standing issue for chrome для s sandbox. Any comment @msftsecresponse?  James Forshaw (@tiraniddo) November 30, 2016


Загалом, ситуація приблизно як в анекдоті: «Лікарю, коли я натискаю ось так ось сюди, у мене тут болить. — А ви не натискайте». Дослідник чесно повідомив, що дану особливість можна вважати не батогом, а фичей, і просто враховувати при розробці. Microsoft два роки тому досить швидко відповіла, що не вважає це досить серйозною проблемою для кваліфікації як уразливості. На той момент проблема була підтверджена дослідником для Windows 7 і 8. І ось наприкінці листопада той же дослідник виявив, що проблему вирішили, правда вже в Windows 10.

Так і живемо.

Давнину
«Ufa-1201»

Нерезидентный дуже небезпечний вірус. Присланий з Уфи. Стандартно вражає .COM-файли, які виявить при проході дерева каталогів. В початок файлу записує команди NOP; CALL Vir_Loc. В залежності від системного часу стирає FAT поточного диска.

Цитата по книзі «Комп'ютерні віруси в MS-DOS» Євгена Касперського. 1992 рік. Сторінка 86.

Disclaimer: Ця колонка відображає лише приватна думка її автора. Воно може збігатися з позицією компанії «Лабораторія Касперського», а може і не збігатися. Тут уже як пощастить.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.