Доступ к удаленным фото на iOS

Forbes пишет о том, что два исследователя обнаружили уязвимость в iPhone, позволяющую получить доступ к уже удаленным фотографиям на устройстве (и заработали на этом 50 тыс долл).

Они продемонстрировали эту уязвимость на конкурсе Mobile Pwn2Own, и информацию об уязвимости передали в Apple. В статье на Forbes фигурирует информация, что уязвимость была продемонстрирована на iOS 12.1, которая является на данный момент последней публично выпущенной версией iOS. Уязвимость в just-in-time (JIT) компиляторе позволяет получить доступ к тем фотографиям, которые пользователь удалил из фотобиблиотеки, но они до 40 дней лежат в типа “чистилище”, и эксплуатируемая уязвимость позволила им получить доступ (причем через роутер Wifi, то есть сценарий, как они его называют, “в кофейне”). К сожалению, технических деталей нет (видимо, они появятся, когда выйдет апдейт, исправляющий эту проблему), но из статьи на Forbes можно сделать вывод, что доступ можно получить и к другим файлам, а удаленное фото было использовано как пример, первым попавшийся под руку.

Инфосек 85 уровня (на самом деле нет)

Сегодня уже несколько читателей прислали мне ссылку на статью про японского министра кибербезопасности Yoshitaka Sakurada, который признался, что никогда не пользовался компьютером:

https://www.theguardian.com/world/2018/nov/15/japan-cyber-security-ministernever-used-computer-yoshitaka-sakurada

Моя первая реакция была “о, вот это он защитился”, а также я сразу вспомнил анекдот про лучшую защиту от СПИДа — “никакого секса”. Но заголовок статьи — это лишь часть истории. Там сразу фигирует момент, в котором у этого министра спрашивают, пользуются ли USB-флешками на атомных станциях, и он просто не понимает, о чем идет речь.

Аргумент Sakurada заключается в том, что у него всегда есть помощники, которым он выдает инструкции. Но как человек, который не в курсе базовых понятий, может оценить, какую именно инструкцию выдать — это вне моего понимания. Реально странная история.

Впрочем, в огромном количестве стран чиновники, которые не используют компьютеры или не знакомы с основными концепциями информационных технологий — это не новость. Проблемы начинаются, когда эти чиновники и депутаты пытаются придумывать законодательство о информационной безопасности и криптографии, не понимая, о чем это вообще.

PS зато украсть цифровые данные у Yoshitaka Sakurada будет реально непростой задачей!

IoT и Cellebrite

Продолжая тему сбора информации с IoT устройств, нельзя не отметить также и старания компании Cellebrite. Компания известна тем, что предоставляет правоохранительным органам услуги по взлому смартфонов и получению информации с них. Наиболее известный кейс с участием этой компании — это, вероятней всего, их помощь во взломе iPhone террориста Саида Фарука, который расстрелял людей в Сан Бернардино, штат Калифорния.

Так вот, Cellebrite, видя, как развиваются различные устройства для дома, считает, что из них можно получить массу полезной информации при расследовании преступлений. Так выглядит, по их мнению, набор источников информации из гипотетического сценария с убийством, когда в квартире обнаружены, кроме тела жертвы, Amazon Echo, роутер Google OnHub, хаб Samsung Smart THings, датчики движения, сенсоры на дверях, и свич IPTime.

Собрав данные с этих устройств, можно, по мнению Cellebrite, получить достаточно много информации, которая способна помочь в расследовании убийства. Короче, преступникам скоро придется быть еще и хакерами, чтобы хорошенько замести следы.

https://www.cyberscoop.com/cellebrite-iot-data/

Домашние наблюдатели

Умные домашние колонки — они не только полезны, но и … (я хотел, было, написать, что “вредны”, но в этом случае все не так однозначно). Особенно если дело касается преступления, его расследования и предоставления доказательств. В 2017 году в штате Нью-Гемпшир произошло убийство, в котором погибли две женщины. Обвиняемый свою вину отрицает. В доме была обнаружена умная колонка Amazon Echo, и теперь суд принял решение, по которому Amazon обязаны предоставить не только записи, сделанные колонкой в районе произошедших событий, но и различные метаданные, включая и то, какие телефоны были “спарены” с колонкой.

https://arstechnica.com/tech-policy/2018/11/amazon-must-give-up-echo-recordings-in-double-murder-case-judge-rules/

Карточный фрод

У меня накопилось сразу несколько ссылок на похожу тему, и я решил их собрать сразу в одном месте. Я уже несколько раз писал о закладках в платежных системах некоторых популярных сайтов — например, про Newegg, а вот про British Airways, и вкусные детали об этом), которые приводят к утечке данных платежных карт покупателей. Каждый раз обстоятельства указывают на то, что к взлому причастна группа Magecart, о которой до последнего времени было мало что известно. Но пару дней назад был опубликован отчет, который проливает свет на эту группу хакеров, и как именно она работает и какие векторы атак использует. Скачав отчет (бесплатно, но с регистрацией), вы узнаете не только о самой группе, но и том, как можно обезопасить сайты от подобных взломов.

Отчет https://www.riskiq.com/research/inside-magecart/

И пока я писал эту заметку, увидел в новостях, что Magecart побывала на известном крайне правом сайте, толкающем всякие странные теории заговоров, Infowars, и данные карточек около 1,5 тыс пользователей оказались скомпрометированы.

Вот еще большой и интересный материал о безопасности (или скорее — опасносте) банковских карт в США, где за последние 12 месяцев украдено данных 60 млн банковских карт. Основная проблема в том, что, несмотря на (наконец-то!) распространенность карт с чипами, многие ритейлеры продолжают прокатывать карты магнитной лентой. Почему? потому что в плане всего, что касается платежей картами, США — какая-то страна третьего мира, невероятно консервативная и медленно двигающаяся. Европа в плане тех же чипов и бесконтактных платежей настолько впереди США, что это уже какая-то параллельная вселенная. Извините, наболело.
https://threatpost.com/u-s-chip-cards-are-being-compromised-in-the-millions/139028/

Cybersecus дайджест

Привет,

Сегодня нет времени объяснять, поэтому коллекция ссылок (зато большая) по теме:

1. Ошибка в Facebook, позволявшая сайтам видеть лайки пользователей и их друзей
https://techcrunch.com/2018/11/13/facebook-bug-website-leak-likes-interests-profile/

2. Женщина, арестованная за участие в перестрелке, удаленно очистила iPhone X, который у нее изъяла полиция
https://dailygazette.com/article/2018/11/08/police-woman-remotely-wipes-phone-in-evidence-after-shooting

3. Исследователь обнаружил уязвимость в Steam, позволявшую ему получать лицензии на любые игры, и награда нашла героя!
https://www.theregister.co.uk/2018/11/09/valve_steam_key_vulnerability/

4. Уязвимость в VirtualBox, дающая выход из виртуальной машины (много интересных деталей)
https://www.voidsecurity.in/2018/11/virtualbox-vmsvga-vm-escape.html

5. странная история с тем, что некоторые владельцы учетных записей Apple ID обнаружили их заблокированными “по соображениям безопасности” (возможно, какой-то массовый брут-форс)
https://9to5mac.com/2018/11/13/some-iphone-users-finding-their-apple-id-accounts-have-been-inexplicably-locked-requiring-password-resets/

6. проект по разработке безопасных аппаратных хранилищ
https://keystone-enclave.org

7. Раздел на GitHub касательно уязвимости в Safari/macOS 10.13.3 c Pwn2Own2018, приводящей к удаленному исполнению кода
https://github.com/saelo/pwn2own2018

И Фреймворк с ней для metasploit
https://github.com/rapid7/metasploit-framework/pull/10944

CloudFlare 1.1.1.1 для iOS и Android

Быстрый и безопасный DNS 1.1.1.1 теперь доступен на мобильных платформах в виде удобного и простого приложения:

Для Android
https://play.google.com/store/apps/details?id=com.cloudflare.onedotonedotonedotone

Для iOS
https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8

Больше здесь:
https://blog.cloudflare.com/1-thing-you-can-do-to-make-your-internet-safer-and-faster/

Cybersecus дайджест

Сегодня опять коллекция, и к тому же очень интересных.

1. Помните, несколько дней назад я писал про целый набор всяких лаж разной степени лажовости в аппаратном шифровании данных внешних дисков? Там еще возникала дополнительная коллизия в случае с программным шифрованием с помощью BitLocker, где BitLocker, обнаружив аппаратное шифрование на диске, говорил “ну, мне тут делать больше нечего”.

Так вот, Microsoft выпустила рекомендации по поводу того, как правильно сконфигурировать BitLocker, чтобы шифрование BitLocker применялось даже в случае обнаружения аппаратного шифрования на дисках:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180028

2. Полиция расшифровала 258 тысяч сообщений после взлома шифрования приложения IronChat, которое продвигало себя как приложение для безопасного чата. Интересная статья о том, почему это шифрование вообще могли взломать (потому что самопальное шифрование – это очень сильный риск, кгхм… Телеграм… кгхм…)
https://arstechnica.com/information-technology/2018/11/police-decrypt-258000-messages-after-breaking-pricey-ironchat-crypto-app/
Continue reading

Впечатления от iPhone XS Max

Вот уже почти две недели, как я переехал с iPhone X на iPhone XS Max, и у меня накопилось некоторое количество впечатлений, которыми я хочу поделиться с читателями блога. Честно говоря, мне кажется, что год назад, после выхода iPhone X, я не получал столько просьб рассказать о впечатлениях от устройства, как сейчас, когда Apple выпустила этот “максимальный” размер смартфона. Для меня этот переход оказался тоже весьма необычным, потому что я всегда весьма скептично относился к гигантским размерам устройств такого класса. Я остановил свой выбор на Max версии как раз с целью “выйти из зоны комфорта” и посмотреть, как оно там, в мире гигантов.

Немного бэкграунда для понимания моих впечатлений: на iPhone XS Max я перешел с iPhone X, которым пользовался около года. Каждый раз, когда я думаю об XS Max в категории “гигантский”, я вспоминаю слова Стива Джобса, представлявшего самый первый iPhone в 2007 году со словами “гигантский экран с диагональю в 3,5 дюйма”. Я специально пробежался по своим обзорам различных моделей iPhone в этом блоге, вспоминая, что я говорил раньше о размерах устройств. Когда-то я искренне считал, что 4 дюйма — это идеальный для меня размер экрана, но, впрочем, я до сих пор считаю, что для использования комфортно одной рукой экран должен быть диагональю в 4-5 дюймов. Но рынок посчитал по-другому, и постепенно устройства с диагональю в 5,5-5,8 дюймов стали практически нормой. Так я уговорил себя перейти на iPhone X с iPhone 7 год назад.
Continue reading

Cybersecus дайджест

Еще несколько интересных ссылок на тему инфобезопасности:

1. Кстати, о Facebook. На прошлой неделе встретил информацию о том, что в интернете появились на продажу 81 тысяча учетных записей пользователей социальной сети.
https://www.digitalshadows.com/blog-and-research/81000-hacked-facebook-accounts-for-sale-5-things-to-know/
Тут есть дополнительная информация от компании, которая помогала BBC с оригинальной статьей:
– 81 тысяча аккаунтов — это только те, для которых в архиве есть личная переписка (и другие данные). Данные профиля включают в себя имена, адреса. контактную информацию, список друзей и переписку. Фотографий в профилях нет. Общее количество профилей в архиве — 257 256. Большинство этих аккаунтов (30%) — пользователи ФБ из Украины, еще 9% – пользователи из России. Продавец также утверждает, что у него есть 120 млн аккаунтов. Метод, которым получены эти данные, неизвестен, хотя есть подозрение на какое-то расширение в браузере.

2. Обнаружена еще одна side-channel уязвимость в процессорах Intel, позволяющая злоумышленникам получить доступ к криптографическим ключам и другой конфиденциальной информации. Встречайте PortSmash!
Дополнительная информация тут: https://seclists.org/oss-sec/2018/q4/123. Во всем виноват Hyper-Threading, когда, грубо говоря, одно приложение из своего треда на процессоре может, по сути, заглянуть в другой тред — изучив доступ к кэшам и тайминг выполнения операций. Выход один — отключать HT, хотя Intel считает, что проблемы нет, и нужно просто писать такой код, который будет устойчив к атакам подобного рода. Эта история не имеет отношения к Spectre и проч. уязвимостям спекулятивного исполнения.
Continue reading