Дыра в FaceTime

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление “будет выпущено на этой неделе”.

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать “Выключить FaceTime”:

На iPhone или iPad, нужно зайти в приложение “Настройки”, найти там FaceTime, и отключить верхнюю галку:

Берегите свою информацию!

Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.

Источник:
https://www.idownloadblog.com/2019/01/28/apple-disables-group-facetime-after-critical-privacy-bug-surfaces/

Cybersecus дайджест

Хорошая неделя была: хорошо, что заканчивается!

1. Поэтому начнем с хороших новостей. Ну как… Относительно. NYT пишет (paywall), что Цукерберг распорядился интегрировать WhatsApp, Instagram и Facebook Messenger. Диванные эксперты говорят, что это на случай, если вдруг американские конгрессмены решат раздеребанить ФБ на части. Но хорошая часть заключается в том, что Цукерберг также сказал, что все мессенджеры должны поддержать оконечное (e2e) шифрование переписки. Пока что это умеет только WhatsApp, и у Messenger есть Secret Conversations, но об этой функциональности мало кто знает.
Не paywall https://outline.com/9v69jV

2. Интересный отчет про стеганографию (вшивание информации) в изображения и использование JavaScript для доставки вредоносного ПО на Маки через рекламу в браузерах
https://blog.confiant.com/confiant-malwarebytes-uncover-steganography-based-ad-payload-that-drops-shlayer-trojan-on-mac-cd31e885c202

3. В США из компании Ascension утекли данные десятков тысяч пользователей, бравших ипотеку в американских банках. База данных Elasticsearch с данными за десятки лет, содержит в себе массу финансовой информации на ничего не подозревающих пользователей. Пффф, тоже мне новость, скажут регулярные читатели канала, “каждый день что-то утекает”. На самом деле интересно то, что данные утекли из подрядчика компании, который занимался сканированием и распознаванием данных. Поэтому потом обнаружился еще второй сервер, на котором лежали просканированные оригиналы документов. Это я к тому, что мало защищать себя, прочность системы определяется тем, насколько слабо самое слабое звено цепочки.
Обнаружил эту базу исследователь Mayhem Day One, а подробные отчеты были опубликованы на techCrunch:
https://techcrunch.com/2019/01/23/financial-files/
https://techcrunch.com/2019/01/24/mortgage-loan-leak-gets-worse/

Cybersecus дайджест

По-прежнему не набирается основательного материала для отдельной заметки (что, учитывая направленность канала, хорошо), поэтому коллекция интересных ссылок на тему. Часть ссылок прислана читателями, за что им спасибо.

1. Помните “ОГРОМНЫЙ СЛИВ НА 773 МИЛЛИОНА АККАУНТОВ”, о котором трубили многие СМИ? Я о нем тоже писал на прошлой неделе. Я там, в частности, упомянул, что это не является чем-то необычным:

В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

Но читателям канала будет интересно также ознакомиться с материалом у Брайана Кребса, который разыскал автора этой коллекции. Тот рассказал, что именно “Коллекции 1” примерно 2-3 года, и собрана она была из всяких разных утечек, размещаемых русскими хакерами на всяких форумах дарквеба. ууууу, страшно, опять эти вездесущие русские хакеры. Но вывод из этого один: повторное использование пароля — зло, и самое главное — это защитить хотя бы один, самый главный аккаунт — почту, к которой привязаны многие другие аккаунты.
https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old/

2. Мама залогинилась удаленно, посмотреть в видеоняню, и обнаружила в кадре чужую спальню. Еще одна причина избегать установки дома лишних камер. КЛИКАЙ, ЧТОБЫ УВИДЕТЬ, ЧТО ПРИВЕЛО ЕЁ В ВОСТОРГ!
https://www.news.com.au/lifestyle/parenting/babies/terrified-mum-sees-strangers-bedroom-after-logging-into-remote-video-baby-monitor/news-story/683a9d4bc2650340d327c48ef4a6f3d9

3. Только вчера я писал о том, что хакеры подключались к камере Nest и озвучивали предупреждение о ракетной атаке. Теперь хулиганы делают то же самое, но призывают подписываться все на того же ютюбера Pewdiepie. Ранее призывы к подписке рассылали на чужие принтеры и даже на телевизоры
https://motherboard.vice.com/en_us/article/xwb8j7/watch-a-hacker-access-nest-cameras-and-demand-people-subscribe-to-pewdiepie

4. Abusing Exchange: One API call away from Domain Admin
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Cybersecus дайджест

Привет! После неожиданного затишья — снова большая коллекция интересных ссылок на тему того, как практически вся информация находится опасносте! В ней каждый найдет для себя что-то интересное.

1. Хакеры взламывают и управляют промышленными кранами
https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/

2. Новый отчет о состоянии кибербезопасности в министерстве обороны США . Незакрытые серверные боксы, передача незашифрованных данных через USB-флешки, отсутствие двухфакторной аутентификации, пароли по умолчанию во многих системах — это только некоторые из сотен проблем, обнаруженных комиссией по исследованию проблемы.
https://media.defense.gov/2019/Jan/11/2002078551/-1/-1/1/DODIG-2019-044.PDF

2а. Кстати, а вот еще интересный PDF — “Национальная стратегия разведки США” на 2019 год.
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf

3. Полиция в США часто применяет камеры для распознавания номеров автомобилей. Журналист TechCrunch обнаружил более 150 устройств для распознавания автомобильных номеров, которые подключены к интернету, и данные на которых доступны к просмотру. Как правило, речь идет о паролях по умолчанию, которые описаны в документации, и которые никто не меняет.
https://techcrunch.com/2019/01/22/police-alpr-license-plate-readers-accessible-internet/

4. Все, как я люблю — хакеры подключились к камере Nest и напугали владельцев камеры объявлением, что на США летят ракеты Северной Кореи. А все потому, что повторное использование паролей — зло!
https://www.mercurynews.com/2019/01/21/it-was-five-minutes-of-sheer-terror-hackers-infiltrate-east-bay-familys-nest-surveillance-camera-send-warning-of-incoming-north-korea-missile-attack/

5. Apple выпустила вчера апдейты для своих операционных систем, и там всегда интересно читать содержимое исправлений безопасности
iOS 12.1.3
macOS Mojave 10.14.3
tvOS 12.1.2
watchOS 5.1.3

(10 исправлений уязвимостей, обнаруженных разработчиками Google, в iOS 12.1.3)

6. Эксперт и архитектор по безопасности, работавший в Apple, перешел в правозащитную организацию ACLU и рассказывает в интервью о наблюдении, опасности бэкдоров и других интересных вещах
https://motherboard.vice.com/en_us/article/wjmqgw/apples-security-expert-joined-the-aclu-to-tackle-authoritarian-fever

7. Забавный хэштег в Твиттере — shodansafari, где выкладывают всякие интересности в широко известном в узких кругах поисковике Shodan. Этот поисковик используется для обнаружения незащищенных и открытых устройств и баз данных. Камеры, роутеры, устройства для обнаружения взрывчатки и много всего другого… Иногда интересно, иногда вызывает депрессию.
https://twitter.com/hashtag/shodansafari?src=hash&ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1062457924679811073&ref_url=https%3A%2F%2Ftechcrunch.com%2F2019%2F01%2F21%2Fshodan-safari%2F

8. Апдейт от Google про 2018 год в G Suite. Из которого, в частности, мне было интересно узнать, что каждую минуту система обрабатывает почти 10 млн спам и фишинговых писем.
https://cloud.google.com/blog/products/g-suite/2018-in-g-suite-a-year-in-review

9. Уязвимость в WiFi прошивке затрагивает ноутбуки, смартфоны, роутеры. Уязвимость в прошивке чипсета Marvell Avastar 88W8897, используемого в Sony PlayStation 4, Xbox One, ноутбуках Microsoft Surface и Samsung Chromebooks, в смартфонах Samsung Galaxy J1 и тд.
https://www.zdnet.com/article/wifi-firmware-bug-affects-laptops-smartphones-routers-gaming-devices/

Cybersecus дайджест

Оставлю вас на выходные с большой коллекцией ссылок на почитать.

1. Федеральный судья в США постановил, что полиция не может принудить человека разблокировать iPhone c помощью Face ID или Touch ID, таким образом приравняв биометрическую безопасность устройств к паролям. Я как-то писал об этой коллизии между биометрией и паролями “в голове”, так что официальное решение суда по этому поводу вносит какую-то ясность в этот вопрос.

https://www.documentcloud.org/documents/5684083-Judge-Says-Facial-Recognition-Unlocks-Not.html

2. У The Verge вышло интервью с техническим директором компании Vizio, крупного производителя телевизоров в США. В свое время компания оказалась участником скандала, в рамках которого обнаружилось, что компания скрытно собирала информацию о том, что пользователи смотрят на экране телевизоров. Эта история опять всплыла, когда на CES Apple анонсировала, что в телевизорах Vizio (а также Samsung, LG, Sony) появится поддержка AirPlay и HomeKit. Тут же последовали вопросы, как Apple, которая борется за конфиденциальность данных своих пользователей, будет мириться с такими практиками в современном телемире. (ответ на этот вопрос был такой, что у Apple условие с телепроизводителями, что данные, идущие по AirPlay/HomeKit, собираться и обрабатываться не могут). Но речь немного не об этом. Так вот, в интервью он признал, что сбор данных, по сути, частично отбивает стоимость телевизоров, иначе телевизоры (без smart-функциональности) были бы просто дороже. (Прекрасно, прекрасно!). Так что за дешевые телевизоры пользователи просто платят своими данными, и очевидно, что дальше будет хуже.

https://www.theverge.com/2019/1/7/18172397/airplay-2-homekit-vizio-tv-bill-baxter-interview-vergecast-ces-2019

3. Тим Кук, генеральный директор Apple, опубликовал заметку в журнале Time, в которой призвал к принятию в США закона о конфиденциальности пользовательских данных. Все, как он неоднократно говорил: 1. минимизация сбора данных, 2. право на знание о том, что за данные собираются и зачем, 3. Право на доступ пользователей к своей информации, включая изменение и удаление, и 4. право на безопасность данных. Не то, чтобы европейский GDPR внезапно сделал нам всем хорошо и безопасно, но лучше, конечно, чтобы и на этой стороне водоема под названием Атлантический океан что-то такое было.

http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/

4. Твиттер рассказал о баге, который привел к тому, что часть твитов у защищенных аккаунтов на смартфонах с Android оказывалась публично доступной. На протяжении нескольких лет.
https://help.twitter.com/en/protected-tweets-android

5. Популярный плагин для WordPress — Social Network Tabs, используемый для подключения аккаунтов социальных сетей к сайту, оставлял токены прямо в исходном коде сайтов на WordPress.
https://twitter.com/fs0c131y/status/1085828186708066304

Cybersecus дайджест

Еще несколько интересных и актуальных ссылок на тему канала:

1. Заметка о модной штуке в ФБ и других соцмедиа — постах с фотографиями за 10 лет. Автор рассуждает на тему того, что такие посты хорошо помогают тренировать алгоритмы об изменениях человека с возрастом, что дает социальным сетям дополнительную информацию о нас. Что само по себе как бы не плохо, просто факт.
https://www.wired.com/story/facebook-10-year-meme-challenge/

2. Исследование о том, что пользователи очень плохо представляют себе масштабы сбора информации Фейсбук о них. Я с этим сталкиваюсь каждый раз, когда натыкаюсь на очередное обсуждение слухов о том, что “фейсбук нас слушает через микрофон смартфона”.
http://www.pewinternet.org/2019/01/16/facebook-algorithms-and-personal-data/

3. Интересный feature request к Google для того, чтобы внедрить специальный PIN на телефоне, который бы приводил к удалению данных на устройстве. Конечно, риски случайно удалить данные есть, но для некоторых ситуаций это может оказаться полезным
https://issuetracker.google.com/issues/121372590

4. Илон Маск выставил Tesla в соревновании по взлому Pwn2Own
https://www.theverge.com/2019/1/14/18182539/teslas-model-3-pwn2own-cansec-west-bug-bounty-hacked

5. Уязвимость в Fortnite позволяла злоумышленникам перехватывать учетные записи пользователей.
https://research.checkpoint.com/hacking-fortnite/

6. Большой материал о Magecart, группировке, которая взламывает сайты и подключает свое вредоносное ПО для кражи данных о банковских картах
https://www.riskiq.com/blog/labs/magecart-adverline/

7. Как Твиттер раскрывал информацию о местоположении пользователей
https://arxiv.org/pdf/1901.00897.pdf

Insecurity cameras

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: “there is no such thing as an IoT security camera”.
https://twitter.com/ErrataRob/status/1084567735990919168

Cybersecus дайджест утечек

Привет! После небольшого, но приятного перерыва, редакция с новыми силами врывается в мир новостей информационных опасностей. Поскольку за время отсутствия редакции появилось много интересного материала, то начнем с коллекции ссылок про различные утечки.

1. Исследователь обнаружил некорректно настроенный сервер Jira, принадлежащий NASA, на котором любой желающий мог узнать имена и электронные адреса сотрудников NASA, а также проекты, над которыми они работали.

https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

2. Незащищенный сервер с миллионами записей о звонках и текстовых сообщениях на протяжении длительного времени был доступен в интернете с открытым доступом. Если вам кажется, что вы испытываете чувство дежавю, то вам не кажется. В ноябре похожая история была с компанией Vovox (https://t.me/alexmakus/2513), на серверах которой хранились миллионы текстовых сообщений, включая коды сбросов паролей и двухфакторной аутентификации. Теперь отличилась компания Voipo с десятками гигабайт пользовательской информации.
https://rainbowtabl.es/2019/01/15/voipo-data-leak/

3. Система бронировки авиабилетов Amadeus, которую используюсь многие крупные авиакомпании мира, позволяла изменить чужое резервирование, зная только номер бронировки человека — путем подстановки кода бронировки в веб-адрес израильской авиакомпании El Al.

https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/

4. Очередной незащищенный инстанс MongoDB на 854ГБ данных содержал более 200 млн резюме, включая различную персональную информацию, такую как номера телефонов, рост-вес, и тд. Судя по скриншотам, речь идет о китайских пользователях, информация о которых собиралась с различных сайтов на протяжении многих лет.
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

5. Исследователь по безопасности обнаружил ряд уязвимостей в программном обеспечении популярных хостинговых сайтов (Bluehost, DreamHost, Hostgator, OVH, iPage), которые позволяли захват пользовательских учетных записей.
https://www.websiteplanet.com/blog/report-popular-hosting-hacked

6. На Филиппинах субподрядчик по выдаче гражданских паспортов после разрыва контракта “ушел” со всеми данными, и теперь тем гражданам страны, которым нужно обновить паспорт, часто приходится приносить свидетельства о рождении. Какой-то WTF! (тоже своего рода утечка)
https://www.philstar.com/headlines/2019/01/12/1884444/dfa-passport-maker-runs-all-data

Cybersecus дайджест

Привет! Сегодня отличные ссылки!

1. У Лаборатории Касперского в прошлом году были определенные трудности в США: обыски ФБР у сотрудников американского офиса, запрет на покупку лицензий в госорганах, отказ основного розничного партнера от продажи продуктов компании, и тд. Это связано с различными обвинениями в сторону компании, и в том числе и о причастности компании к утечке материалов NSA (что потом было опровергнуто). На Politico вышла вчера статья о том, как та же ЛК сдала NSA их подрядчика, который “вынес” с работы 50ТБ (терабайт) данных, и почему-то пытался связаться с Евгением Касперском. Поскольку сотрудникам ЛК этот Мартин показался связанным с Shadow Brokers, они сообщили о нем в NSA.

2. Google решила ограничить для многих приложений доступ к SMS и истории звонков, если это не является основной или необходимой функциональностью приложения.
https://support.google.com/googleplay/android-developer/answer/9047303?hl=ru

3. Хотите заработать 2млн долларов? Все, что вам нужно — это обнаружить уязвимость нулевого дня, обеспечивающую удаленный джейлбрейк iOS. Там есть и выплаты за другие операционные системы, но больше всего денег дают все-таки на обнаруженные уязвимости в iOS.
https://zerodium.com/program.html

4. Невероятной интересности тред в Твиттере про поимку El Chapo. Там все, что автор писал в последние несколько дней, выглядит как сериал Narcos в текстовом режиме, но этот тред особенно интересен. Мне особенно понравилось, что El Chapo попросил своего IT-шника установить на телефон жены программное обеспечение для слежения за ней (Flexi-Spy). Затем этот IT-шник начал сотрудничать с ФБР, рассказал им об этом факте, ФБР пришла с ордером к разработчику этого ПО, и получила доступ к переписке El Chapo с женой. (та же история с двумя его любовницами). Неожиданный вектор атаки.
https://twitter.com/alanfeuer/status/1083033189956964353

5. Бага в выдаче результатов поиска Google, позволяющая с помощью пары символов в адресной строке выдавать какие угодно результаты в knowledge graph
https://wietzebeukema.nl/blog/spoofing-google-search-results

PS редакция на несколько дней уйдет в себяоффлайн, поэтому обновления канала возобновлятся на где-то на следующей неделе. Не сломайте тут интернет, пока меня не будет.