Улучшения USB accessories mode в iOS 12

Я достаточно много писал в канале про USB Accessories Mode в iOS, который снижает риски по копированию данных с iPhone с использованием устройств от компаний Cellebrite и Grayshift. Там, напомню, начиная с iOS 11.4, разъем Lightning блокируется на передачу данных через час после последней разблокировки смартфона, что предотвращает доступ к информации на телефоне для “коробочек” Cellebrite и GrayKey.

А вот ребята из Элкомсофт обнаружили еще одно улучшение алгоритма блокировки порта Lightning в финальной версии iOS 12:

“In addition, on iOS 12 if it’s been more than three days since a USB connection has been established, the device will disallow new USB connections immediately after it locks. This is to increase protection for users that don’t often make use of such connections. USB connections are also disabled whenever the device is in a state where it requires a passcode to re-enable biometric authentication.”

Если пользователь три дня не подключал телефон к USB (используя, например, беспроводную зарядку для аккумулятора), то подключение к USB-устройствам с передачей данных будет заблокировано сразу после того, как экран устройства будет заблокирован. Apple все окапывается по защите доступа к телефону. Интересно будет узнать, поменялось ли что-то в новых iPhone Xs и Xs Max в плане получения доступа к файловой системе, как делают это Cellebrite/Grayshift.

“Удаленные” с iPhone данные

На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.

Есть версия, что эти данные были вынуты из iPhone с помощью “коробочки” для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.

Безопасность iOS 12

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений, касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек, валящих iPhone даже на iOS 12).
Continue reading

Уязвимость в Webroot для Мак

Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.

Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:

The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.

For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.

Уязвимость прошивки современных компьютеров

Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.


(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)
Continue reading

Скальпель Apple

Пока все обсуждают, что нового показала Apple вчера на мероприятии, я хочу собрать список того, что Apple не то что «не показала», а даже практически «убила».

iPhone X – вместо того, чтобы сделать прошлогодний флагман более дешевым вариантом, Apple просто убрала эту модель. То есть в каком-то роде те аналитики, которые прогнозировали, что «Эпол убьёт айфон Х», оказались правы: его действительно не стало, хотя XS – это все равно практически он, но с улучшениями.
Continue reading

TrendMicro и Mac App Store

Я писал о приложениях Trend Micro, собирающих историю браузеров у пользователей, установивших эти приложения из Mac App Store, источника, который (чисто теоретически) должен был бы предотвращать попадание туда таких приложений.

Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но “совсем чуть-чуть”, и только один раз — мол, изучить, как там пользователь пересекался с adware.

Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой “feature”, как сказала Trend Micro, не было):

Continue reading

О предстоящем мероприятии 12 сентября

Завтрашнее мероприятие ждут многие. Кто – чтобы узнать, что производители смартфонов на Android будут копировать весь следующий год. Кто – чтобы нагенерить ссылок, по которым благодарные читатели будут еще очень долго кликать в поисках полезного контента. Кто – чтобы рассказать, как Apple в очередной раз пролюбила все полимеры и обречена на вечное забвение. В общем, все как обычно, и ничего не меняется.

Я, конечно, тоже жду. Не так, как предположил один мой хороший знакомый, спросив “у тебя завтра праздник?” 🙂 За столько лет презентаций я давно отвык от этих мероприятий как чего-то увеселительного, да и вообще, как оказалось, в жизни есть гораздо более важные вещи, чем гаджеты. Они, как показывает опыт, должны быть вторичными по отношению к главным приоритетам в жизни, и скорее помогать нам в наших целях, чем составлять центр нашей вселенной. (я в выходные катался на велосипеде по дорожке вдоль океана, и мне постоянно приходилось увиливать от людей, уткнувшихся в телефоны, и вообще не смотрящих на дорогу впереди себя).
Continue reading

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах
Continue reading

Еще про приложения в Mac App Store

На прошлой неделе я писал про популярное приложение в Mac App Store, которое, как оказалось, отправляло пользовательские данные на сервер в Китае. Оказалось, что такое приложение не единственное, и есть еще несколько приложений в MAS, которые занимаются подобной активностью (не всегда это Китай, но тем не менее, утечка пользовательских данных имеет место быть). И, разумеется, пользователи ни сном, ни духом не в курсе происходящего.

Adware Doctor отправляет
– Историю браузеров
– Список запущенных процессов
– Список установленных приложений (и откуда они были установлены)

Open Any Files: RAR Support отправляет
– Историю браузеров
– Историю просмотра приложений в App Store

Dr. Antivirus отправляет
– Историю браузеров
– Историю просмотра приложений в App Store

Dr. Cleaner отправляет
– Историю браузеров
– Историю просмотра приложений в App Store

Из этого всего можно сделать вывод, что нельзя быть уверенным на 100% в надежности ПО, которое проходит проверку Apple и размещается в Mac App Store. Так что даже устанавливая приложения из этого источника, обращайте внимание на права, которые приложения запрашивают.