Cybersecus дайджест #72

Очень ироничная новость про компанию Xiaomi. У той на телефоне предустановлено неудаляемое приложение Guard Provider, которое должно обнаруживать вредоносное ПО. Вместо этого приложение ходило на свой сервер по незащищенному подключению, что, как известно, может окончиться не очень хорошо. Например, это могло позволить злоумышленникам, находясь в той же сети WiFi, создать атаку MITM (Man-in-the-middle), отключить защиту и делать дальше что угодно с телефоном: устанавливать вредоносное ПО, инструменты слежки и тд. Компания Check Point, обнаружившая эту уязвимость, сообщила о ней в Xiaomi, и компания выпустила обновление, исправляющее эту проблему.
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/

Говоря об исправленных уязвимостях. Тут вот Huawei тоже выкатил апдейт для своих ноутбуков MateBook, где исправлен драйвер, позволяющий создавать бесправным пользователям создавать процессы с правами суперпользователей.
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/

Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/

А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/

И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.

Cybersecus дайджест #68

Много новостей одной строкой (вот что бывает, когда пропускаешь день апдейтов, а опасносте не ждут).

Исследователи обнаружили уязвимость в драйвере Huawei для компьютеров Windows, дающую возможность злоумышленникам получить полный контроль над компьютером (исправлена в январе)
https://www.zdnet.com/article/microsoft-windows-10-devices-open-to-full-compromise-from-huawei-pc-driver/

Кстати, о Huawei. Большой отчет британского государственного агентства по кибербезопасности, исследовавшей риски в случае применения оборудования Huawei в критических компонентах национальной инфраструктуры. Прямых доказательств шпионажа в пользу другого государства в результате исследований обнаружено не было, но были обнаружены другие серьезные уязвимости, которые могут дать возможность злоумышленникам получить доступ к пользовательским данным или изменить конфигурацию сетевых компонентов.
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf
Тут статья с разбором одной такой уязвимости:
https://www.theregister.co.uk/2019/03/28/huawei_mirai_router_vulnerability/

В Израиле, кажется, взялись за технологические компании, занимающиеся ПО для различных видов “цифровой разведки”. В частности, одна из компаний, у которой отозвали лицензию на экспорт ПО, Ability, известна тем, что продает решения для эксплуатации уязвимостей в системе SS7, позволяющей перехватывать телефоны в мобильных сетях, не взламывая их.
https://www.timesofisrael.com/defense-ministry-rebukes-israeli-spy-tech-company-for-unlawful-exports/
В то же время другая израильская компания, NSO, продававшая свое вредоносное ПО различным диктаторским режимам, активно занялась отмыванием своего имиджа
https://motherboard.vice.com/en_us/article/qvy97x/israeli-nso-group-marketing-pr-push

Китайская сеть Rela — популярное приложение для знакомств лесбиянок — раскрыло данные на 5 миллионов пользователей, потому что у сервера не было защиты паролем.
https://techcrunch.com/2019/03/27/rela-data-exposed/

В какой-то мере новость на близкую тему. Популярная сеть для знакомств геев Grindr в свое время была продана китайским владельцам (компании Beijing Kunlun Tech Co Ltd). Теперь Комитет по зарубежным инвестициям в США (CFIUS) требует от китайских владельцев продать приложение, потому что “китайское владение этим сервисом представляет собой риск для национальной безопасности”. ШТОВООБЩЕ? (к сожалению, каким именно образом это риск для национальной безопасности, в статье не раскрывается).
https://www.reuters.com/article/us-grindr-m-a-exclusive/exclusive-us-pushes-chinese-owner-of-grindr-to-divest-the-dating-app-sources-idUSKCN1R809L

Apple недавно выпустила обновления для своих операционных систем, и, как обычно, опубликовала информацию о содержимом исправлений безопасности в этих обновлениях. В iOS 12.2 более 50 различных фиксов!
iOS 12.2 https://support.apple.com/en-us/HT209599
tvOS 12.2 https://support.apple.com/kb/HT209601
macOS 10.14.4 (и апдейты для High Sierra и Sierra) https://support.apple.com/kb/HT209600
watchOS 5.2 https://support.apple.com/en-us/HT209602

Cybersecus дайджест

И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны “предоставить все возможности и помощь учреждениям”. За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе “Hemisphere”, в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью “Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook”.
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:

But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.

https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/

Немножко про Nexus 6P

Я тут обзавелся Nexus 6P — в основном потому, что мне нужно смотреть кое-какие программы, ну и раз там Android, то хочется получать обновления сразу, а не как с другими производителями, когда апдейты приходят сначала в лучшем случае через полгода, а потом никогда. Для разнообразия я решил взять устройство, которым можно что-нибудь компенсировать при необходимости, а если что — то и грядку вскопать.
Если вы вдруг рассчитывали, что тут я буду рвать на части Android, то я буду вынужден вас расстроить. Во-первых, здесь я хочу просто отметить несколько вещей именно про устройство и его аппаратную часть, а во-вторых, как это ни прискорбно будет слышать фанатам Apple/iPhone, Android в чистом виде нынче весьма неплох. Есть какие-то моменты, где все-таки видно, что эту систему делали гики для гиков, есть моменты, где неудобно или недодумано, но это есть и в iOS. Так что для большинства пользователей Android сегодня — это то, что определяется выражением “good enough” — достаточно хорош для того, чтобы большинство людей могли этим вполне комфортно пользоваться. Теперь можете поплакать над своим айфоном.
Continue reading