Cybersecus дайджест #59

Начинаем весну ударно, большой коллекцией ссылок (потому что за два дня накопилось).

1. Устройства UFED компании Cellebrite, которая выпускает гаджеты для взлома iPhone и Android, которые та продает различным правоохранительным органам, оказались доступными на eBay. Полиция, распродавая невостребованные устройства (часто за 100 долларов), часто содержат в себе информацию об мобильных устройствах, исследуемых в рамках различных расследований. (Сейчас, правда, eBay вычистил устройства из продажи).
https://www.forbes.com/sites/thomasbrewster/2019/02/27/the-feds-favorite-iphone-hacking-tool-is-selling-on-ebay-for-100and-its-leaking-data/

2. Уязвимость в спецификации передачи данных по протоколу Thunderbolt, которую назвали Thunderclap. При наличии таких устройств, подключенных к компьютерам Win/Mac/Linux, информацию можно выгружать прямо из памяти компьютера. Проблема затрагивает ноутбуки и настольные компьютеры Apple, выпущенные после 2011 года (кроме 12-дюймовых MacBook), а также ноутбуки и настольные компьютеры ПК, выпущенных после 2016 года и работающих под управлением Windows и Linux (если там есть поддержка интерфейса Thunderbolt, разумеется). Уязвимы Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. По сути, речь идет о доступе на уровне ОС, который получают внешние устройства вроде сетевых карт или графических ускорителей.
Уязвимость была обнаружена еще в 2016 году, и с тех пор работали с производителями над фиксом. Apple выпустила апдейт для Маков в рамках 10.12.4 в том же году, а Windows 10, начиная с версии 1803, тоже защищает против уязвимости на уровне прошивки для новых устройств.
Не то, чтобы такая проблема грозит обычным пользователям, но в целом всегда нужно помнить, что не стоит втыкать в свой компьютер неизвестные устройства.

https://thunderclap.io/#faq
Пояснения исследователя https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/

3. Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

4. У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

5. Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

6. О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

7. Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

8. Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

Улучшения USB accessories mode в iOS 12

Я достаточно много писал в канале про USB Accessories Mode в iOS, который снижает риски по копированию данных с iPhone с использованием устройств от компаний Cellebrite и Grayshift. Там, напомню, начиная с iOS 11.4, разъем Lightning блокируется на передачу данных через час после последней разблокировки смартфона, что предотвращает доступ к информации на телефоне для “коробочек” Cellebrite и GrayKey.

А вот ребята из Элкомсофт обнаружили еще одно улучшение алгоритма блокировки порта Lightning в финальной версии iOS 12:

“In addition, on iOS 12 if it’s been more than three days since a USB connection has been established, the device will disallow new USB connections immediately after it locks. This is to increase protection for users that don’t often make use of such connections. USB connections are also disabled whenever the device is in a state where it requires a passcode to re-enable biometric authentication.”

Если пользователь три дня не подключал телефон к USB (используя, например, беспроводную зарядку для аккумулятора), то подключение к USB-устройствам с передачей данных будет заблокировано сразу после того, как экран устройства будет заблокирован. Apple все окапывается по защите доступа к телефону. Интересно будет узнать, поменялось ли что-то в новых iPhone Xs и Xs Max в плане получения доступа к файловой системе, как делают это Cellebrite/Grayshift.