Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Вышла iOS 12.1.4 с исправлением баги в FaceTime

Apple выпустила апдейт для iOS 12 (iOS 12.1.4), который исправляет ошибку в работе групповых звонков FaceTime, позволявшую “подслушивать” микрофон абонента на второй стороне звонка, до того, как абонент ответил на звонок. О самой ошибке было достаточно материалов в канале (раз, два, три), а вот теперь, после небольшой задержки вышло и исправление. Подозреваю, что и функциональность групповых звонков на серверах тоже скоро включат за хорошее поведение.

Мобильная аналитическая слежка

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!
Continue reading

Cybersecus дайджест

1. Огромный материал от Motherboard об отрасли “разблокировки” ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из “Связки Ключей” в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.
Continue reading

Karma is a bitch

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.
Continue reading

Квартальные результаты Apple, Q1 2019

Вчера Apple официально подвела итоги первого финансового квартала 2019 года (того самого, об изменении прогнозов которого предупреждал всех Тим Кук почти месяц назад). Главный показатель квартала — выручка компании за квартал составила 84,3 млрд долларов США, что на 5% меньше по сравнению с годом ранее, а чистая прибыль на акцию за квартал составила 4,18 доллара. Прогноз Apple по продажам на следующий квартал — выручка 55-59 млрд долл (для сравнения, год назад выручка в этом же квартале составила 61,1 млрд долл).

Поскольку продажи в штуках Apple перестала сообщать, приходится довольствоваться данными о выручке по категориям продуктов:
– iPhone: $51,98 млрд (снижение на 15%)
– iPad: $6,73 млрд (рост 17%)
– Mac: $7,416 млрд (рост 9%)
– Сервисы: $10,9 млрд (рост 19%)
– Носимая и домашняя электроника, аксессуары: $7,31 млрд (рост 33%)
Continue reading