Cybersecus дайджест #73

1. Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474

2. Я уже как-то писал про шпионское ПО Exodus, которое обнаружили в приложениях, находящихся в Google. Интересно, что эксперты обнаружили подобное приложение и для iOS — приложение прикидывалось приложением для поддержки мобильных операторов Италии и Туркменистана, и распространялось с корпоративным сертификатом разработчика для iOS (ранее было много новостей о том, как Google, Facebook и другие разработчики тоже распространяли в обход App Store приложения, подписанные корпоративным сертификатом). С точки зрения функциональности приложение могло украсть данные адресной книги пользователя, видео, фотографии, а также сгрузить информацию о местоположении пользователей. Apple уже отозвала сертификат разработчика, так что приложение невозможно больше установить. Есть подозрение, что разработчиком приложения является компания Connexxa, которая разрабатывает приложения для госорганов Италии с целью слежки.
https://blog.lookout.com/esurv-research

3. Очередная прекрасная история про AirBnB и то, как туристы из Новой Зеландии обнаружили в в доме скрытую камеру, которая транслировала картинку из гостиной. Камеру обнаружил один из гостей, просканировав сеть и обнаружив трансляцию. Камера была спрятана во что-то, замаскированное под датчик дыма. Там еще длинная история о том, как хозяин отмазывался, да и AirBnB не то, чтобы демонстрировало чудеса поддержки гостям. Так что если вы вдруг останавливаетесь в чьем-то AirBnB, первое, что нужно там сделать — это найти роутер от интернета и отключить его нафиг.
https://www.facebook.com/photo.php?fbid=10156325018207239&set=a.440220892238&type=3&theater

4. А помните историю с китайской шпионкой, пойманной на курорте, принадлежащем президенту Дональду Трампу? У истории есть и продолжение о расследовании, и, в частности, рассказ о том, как анализировали её флешку:

Secret Service agent Samuel Ivanovich, who interviewed Zhang on the day of her arrest, testified at the hearing. He stated that when another agent put Zhang’s thumb drive into his computer, it immediately began to install files, a “very out-of-the-ordinary” event that he had never seen happen before during this kind of analysis. The agent had to immediately stop the analysis to halt any further corruption of his computer, Ivanovich testified. The analysis is ongoing but still inconclusive, he said.

Вот так вставил флешку, и понеслась! Забавно про срочную остановку с выключением компьютера, хотя, как потом пояснили, речь шла о том, что а) это был специальный компьютер для подобных исследований, а выключение было произведено с целью фиксации действий вредоносного ПО на компьютере. Такие дела.

https://www.miamiherald.com/news/politics-government/article228963409.html

Про содержимое апдейта iOS 12.1.4

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

Так что обновление iOS до последней версии лучше не затягивать.

Karma is a bitch

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.
Continue reading

Проверка имейла на утечки через Shortcuts

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

“Удаленные” с iPhone данные

На глаза попался очень интересный твит со списком информации, добытой с iPhone 6S.

Есть версия, что эти данные были вынуты из iPhone с помощью “коробочки” для получения данных Grayshift (от чего защищалась Apple в iOS 11.4/12). Но суть тут в том, что часть данных отмечены как удаленные, но тем не менее Grayshift позволяет получить эти данные, так что возникают вопросы к тому, почему iOS не удаляет сразу и бесповоротно данные, которые пользователи считают удаленными на устройстве? Они, видимо, предполагаются к перезаписыванию в какой-то момент, но если это не произошло, то данные попадают в руки исследователей из, например, правоохранительных органов.

Безопасность iOS 12

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений, касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек, валящих iPhone даже на iOS 12).
Continue reading

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple — iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям. Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:
Данные Bluetooth LE Beacon
Координаты GPS
Информация о названиях сетей Wi-Fi) и сетевой MAC-адрес
Данные с акселерометра по трем осям
Рекламный идентификатор
Статус заряда аккумулятора
Информация о сотовой связи
Данные о высоте над уровнем моря и скорости
Информация о прибытии-отбытии в определенных местах
Continue reading

Грядет очередной pribochique™?

Да, я практически слоупок — ведь Bloomberg написала о возможном переходе Apple с Intel-процессоров на процессоры ARM почти две недели назад, а я только созрел добрался написать об этом (на самом деле, во-первых, я думал, во-вторых, я был занят, настолько, что руки не дошли написать о майлстоуне “полгода” жизни с новой почкой, а в-третьих, я могу очень долго придумывать себе оправдания).

Если вы уже успели забыть, о чем там писали Bloomberg, я вкратце напомню:
– ожидается, что начиная с 2020 года (который только кажется очень далеко, но на самом деле не очень), Apple начнет использовать в своих компьютерах вместо процессоров Intel процессоры на базе архитектуры ARM
– Apple также якобы собирается объединить приложения в iOS на iPad и в macOS в каком-то виде, чтобы обеспечить возможность работы приложений одновременно и на планшетах, и на Маках.
Статья содержит интересные детали, такие, как например, кодовое название для проекта перехода на новые процессоры — Kalamata (город в Греции), и кодовое название для проекта объединения приложений — Marzipan.
Continue reading

Кошки, горы и всякое разное

Вчера устанавливал очередную бету для разработчиков macOS 10.13 High Sierra и думал о кодовых именах версий операционных систем. Многие Мак-пользователи знают, что большие релизы macOS получают некое кодовое название, которое, к тому же, становится еще и маркетинговым названием продукта.

Кстати, так было не всегда. Мне кажется, началось все с 10.1 Puma, потому что все были настолько захвачены обсуждением того, что, возможно, кодовым именем предыдущей версии — 10.0 — была кошка Cheetah (Гепард), так что Apple решила воспользоваться этим “хайпом” и стала продвигать кошачьи имена как часть брендинга. С Cheetah, конечно, был по-своему обман: самая быстрая кошка досталась самой медленной версии Mac OS X. Это был самый первый релиз, с кучей проблем, слабооптимизированный, без кучи функций, которые до этого были в Mac OS 9, но зато “гепард”.
Continue reading

WWDC 2017

Когда на прошлой неделе Apple начала публиковать явно новости для разработчиков, не дожидаясь открытия WWDC, я сразу заподозрил, что предполагается весьма насыщенная презентация, и поэтому Apple заранее публиковала то, что было не сильно важным для слайдов для разработчиков (туда попала даже информация о том, сколько денег Apple уже выплатила разработчикам за мобильные приложения — 70 млрд долл, что для разработчиков вообще является одним из самых важных пунктов).
Но когда Тим Кук на презентации пропустил ранее обязательную часть про успехи Apple, просто сказав “у нас все зашибись”, а последующие выступающие за ним начали тараторить со второй космической скоростью, стало понятно, что интересного контента в презентации будет действительно очень много. Падавшие в почту параллельно презентации пресс-релизы от PR-офиса Apple только подтверждали, что новостей в этот раз как-то непривычно много:

Continue reading