Facebook и номер телефона

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.
Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Cybersecus дайджест #60

В интернете обнаружили базу на 364 млн частных сообщений пользователей китайских сетей WeChat и QQ, которая также содержала в себе ИНН граждан, фотографиии, адреса, информацию о геолокации, и информацию об использованных устройствах. Похоже, что эту информацию (включая приватные сообщения, которые вообще-то не должны быть доступны третьим сторонам), собирают правоохранительные органы на граждан страны.
https://twitter.com/0xDUDE/status/1101909112131080192

Ссылка от читателя о том, как мэрия Москвы следит за перемещениями горожан с помощью данных, которые мэрии продают мобильные операторы (молодцы какие). Там, конечно, обещают обезличенность данных, и все такое, но мы-то знаем, чего стоят и эти обещания, и обезличенность при больших объемах данных.
https://www.vedomosti.ru/technology/articles/2019/03/03/795527-moskvichi

Пару недель назад я писал про исследователя, обнаружившего уязвимость в Связке Ключей в macOS, но отказывавшегося делиться информацией с Apple, потому что у компании отсутствует программа вознаграждения за уязвимости в macOS? Он решил не ждать, пока компания найдет в себе силы такую программу запустить, и отправил информацию об уязвимости в Apple
https://twitter.com/LinusHenze/status/1101223563581943808

Говоря об уязвимостях в macOS. Google Project Zero обнаружил критическую ошибку в программном обеспечении ядра macOS, позволяющую получить доступ к компьютеру пользователя без его ведома. Ошибка была обнаружена еще в ноябре прошлого года, но тогда Apple не отреагировала. По прошествии 90 дней GPZ раскрыли информацию об уязвимости, и в Купертино наконец-то зашевелились. Обещают в будущем апдейте ошибку исправить.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q=

Cybersecus дайджест #59

Начинаем весну ударно, большой коллекцией ссылок (потому что за два дня накопилось).

1. Устройства UFED компании Cellebrite, которая выпускает гаджеты для взлома iPhone и Android, которые та продает различным правоохранительным органам, оказались доступными на eBay. Полиция, распродавая невостребованные устройства (часто за 100 долларов), часто содержат в себе информацию об мобильных устройствах, исследуемых в рамках различных расследований. (Сейчас, правда, eBay вычистил устройства из продажи).
https://www.forbes.com/sites/thomasbrewster/2019/02/27/the-feds-favorite-iphone-hacking-tool-is-selling-on-ebay-for-100and-its-leaking-data/

2. Уязвимость в спецификации передачи данных по протоколу Thunderbolt, которую назвали Thunderclap. При наличии таких устройств, подключенных к компьютерам Win/Mac/Linux, информацию можно выгружать прямо из памяти компьютера. Проблема затрагивает ноутбуки и настольные компьютеры Apple, выпущенные после 2011 года (кроме 12-дюймовых MacBook), а также ноутбуки и настольные компьютеры ПК, выпущенных после 2016 года и работающих под управлением Windows и Linux (если там есть поддержка интерфейса Thunderbolt, разумеется). Уязвимы Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. По сути, речь идет о доступе на уровне ОС, который получают внешние устройства вроде сетевых карт или графических ускорителей.
Уязвимость была обнаружена еще в 2016 году, и с тех пор работали с производителями над фиксом. Apple выпустила апдейт для Маков в рамках 10.12.4 в том же году, а Windows 10, начиная с версии 1803, тоже защищает против уязвимости на уровне прошивки для новых устройств.
Не то, чтобы такая проблема грозит обычным пользователям, но в целом всегда нужно помнить, что не стоит втыкать в свой компьютер неизвестные устройства.

https://thunderclap.io/#faq
Пояснения исследователя https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/

3. Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

4. У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

5. Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

6. О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

7. Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

8. Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

Про уязвимость в WinRAR

Вчера в дайджесте я упоминал про обнаруженную 19-летнюю уязвимость в WinRAR. Сегодня пришло письмо от читателя (пожелавшего остаться анонимным), который разобрался чуть более детально в информации об уязвимости, и, мне кажется, это может быть интересно другим читателям ресурса.
——-

Если вам интересно: я тестировал эту уязвимость сразу, как только услышал о ней. Я внимательно прочитал оригинальную статью, и отделил зёрна от плевел:

1) Несмотря на то, что методом атаки на архиватор был fuzzing, в сущности уязвимость представляет из себя просто распаковку файла по абсолютному пути. Это не связано с memory-related багами архиватора (то есть это НЕ переполнение буфера памяти, НЕ исполнение произвольного кода в контекста процесса), которые обычно обнаруживаются фаззингом.
2) Для фактической эксплуатации уязвимости, нужно создать ACE архив стандартным способом, а потом просто бинарно изменить в нём прописанный путь к файлу. Чтобы после этого архив воспринимался как корректный, нужно пересчитать контрольную CRC сумму в заголовках. Автор статьи не показал прямой код пересчёта, но следуя комментариям в исходниках Python-библиотеки по ссылке – я разобрался и сам, подбором найдя подходящую инициализацию crc32, которая генерирует валидные хеши. В итоге, моя собственная программа для восстановления контрольной суммы оказалась весьма тривиальной.
Continue reading

Cybersecus дайджест #58

1. NSA планирует в марте выложить в открытом исходном коде свой инструмент Hydra для reverse engineering, поэтому на страничке проекта периодически появляются обновления:
https://www.nsa.gov/resources/everyone/ghidra/

2. ICANN пишет о том, что на инфраструктуру DNS идет серьезная атака и призывает DNS сервисы переходить на использование DNSSEC как можно скорее:
https://www.icann.org/news/announcement-2019-02-22-en

3. В 4G и 5G обнаружены три новые уязвимости, которые могут позволить злоумышленникам перехватывать звонки и следить за местоположением пользователей. Это первые уязвимости, которые одновременно затрагивают стандарты 4G и 5G. Названия там у атак хорошие: Torpedo, Piercer и IMSI-Cracking. Исследователи утверждают, что в США все мобильные операторы уязвимы против Torpedo, которую можно провести с помощью оборудования стоимостью 200 долл. Информация об уязвимостях была передана в GSMA, но информации о том, когда они будут исправлены (и будут ли вообще), нет.
https://www.documentcloud.org/documents/5749002-4G-5G-paper-at-NDSS-2019.html
Continue reading

Facebook и данные о менструациях

Из категории “никогда такого не было, и вот опять!”. WSJ сообщает о том, что Facebook получал массу персональной информации о пользователях, которую те вводили в сторонние приложения. Facebook в свою очередь тут же получал эти данные от приложений, чтобы улучшать таргетирование рекламой. В данном случае речь идет о приложениях для слежения за физической активностью и здоровьем, и информация могла включать весьма персональную информацию, например, о цикле овуляции пользователя (пользовательки?) и намерении забеременеть.

Интересно то, что для передачи данных в FB пользователю приложения даже не нужно было логиниться в аккаунт FB в приложении или даже обладать аккаунтом в социальной сети (shadow profiles, вот это все). Apple и Google не требуют от разработчиков приложений раскрывать, с кем разработчик делится информацией из приложения. В итоге, например, такие приложения как Instant Heart Rate: HR Monitor и Flo Period & Ovulation Tracker отправляли в Facebook, соответственно, данные о пульсе и данные о менструальном цикле. Приложение Realtor.com отправляло в Facebook данные о местоположении и цене объектов недвижимости, которые просматривал пользователь. Ни в одном из проверенных приложений журналисты WSJ не обнаружили возможности отказаться от передачи данных в Facebook.
Continue reading

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Cybersecus дайджест #56

С нумерацией выпусков оно как-то даже веселее! И новостей сразу больше стало.

1. У Google есть такой продукт — Nest Secure, система сигнализации для дома (база плюс набор датчиков). В феврале Google анонсировала, что Nest Secure сможет стать самостоятельным устройством для Google Assistant — интеллектуального помощника, с которым можно взаимодействовать с помощью голосовых команд. Так-так, прекрасно. Ой, погодите, что? У устройства есть микрофон? Только вот юзерам, которые уже второй год покупали Nest Secure, о том, что в их устройство встроен микрофон, никто не сказал. Этого также не было в документации по продукту. Google утверждает, что это ошибка (видимо, микрофон сам случайно упал в устройство при сборке, и так десятки тысяч раз), и вообще до этого апдейта микрофон был неактивен. Надо ли удивляться тому, что потом пользователи не доверяют компаниям, подозревая их в незаконной прослушке и подглядыванию за пользователями? А сколько таких устройств со скрытыми микрофонами могут насобирать компании под всемирно известным брендом Noname, и ничего не подозревающие пользователи купят их себе домой?
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html

2. У WordPress 5.0.0 обнаружилась уязвимость, позволяющая получить контроль над сайтом. Кто не проапдейтился на 5.0.3, сам виноват!
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

3. Статья у MIT о том, как пошла целая череда взломов блокчейнов, которые типа должны были быть невзламываемыми. Хмммм….
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/

4. Ну и мое любимое — IoT, который работает, но не так, как хотелось бы пользователям. История про то, как новая модель кроссовок Nike, которая умеет “затягивать шнурки” по команде с телефона. ТОлько вот выпущенный апдейт для приложения под Android зафейлил процесс апдейта прошивки кроссовок и для многих пользователей кроссовки внезапно перестали работать. Надо больше “умных” устройств и еще больше прошивок!
https://play.google.com/store/apps/details?id=com.nike.adapt&showAllReviews=true

5. Большой отчет правительства Великобритании о Facebook и его практиках по слежке за пользователями и конкурентами (в том числе с использованием многократно упоминавшейся тут программы Onavo). Зажимание Vine, белые списки для разных приложений по доступу к пользовательским данным, вот это все. Но все, что мы слышим от Facebook — “мы не продаем данные пользователей рекламодателям”. Конечно, не продают, они её сдают в аренду.
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/

Cybersecus дайджест #55

На 55 пятом выпуске коллекции мне пришла в голову мысль, что неплохо бы ввести для выпусков нумерацию, с чем я себя и поздравляю!

1. Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.

Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/

2. Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/

3. Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663

4. Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health

Cybersecus дайджест

1. Сначала была коллекция на 620 млн пользовательских записей… Потом появились еще 127 млн записей. Теперь появились еще 91 млн записей, что в сумме дает нам… (считает, загибая пальцы) почти 840 млн пользовательских записей, которые включают в себя логины и хешированные пароли.

В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.

https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/

2. Большая утечка данных в Швеции — записи звонков 2,7млн шведов на линию медицинской поддержки оказались доступными в интернете без какой-либо защиты и шифрования. 170 тысяч часов записей с весьма конфиденциальными данными, включая информацию для многих файлов о номере телефона, с которого осуществлялся звонок
https://computersweden.idg.se/2.2683/1.714790/117

3. Twitter сохранял переписку пользователей не только в том случае, если пользователи удаляли эту переписку, но и даже для тех пользователей, учетные записи которых были удалены.
https://techcrunch.com/2019/02/15/twitter-direct-messages/