Лаборатория Касперского, расследование ФАС, Apple и персональная информация

Вчера в новостях прошла информация о том, что Федеральная Антимонопольная Служба (ФАС) России возбудила дело в отношении Apple Inc. “в связи с действиями корпорации на рынке распространения приложений для iOS”. Дело возбуждено по заявлению Лаборатории Касперского (ЛК), и речь идет о том, что Apple отклоняла версии приложения ЛК для родительского контроля при просмотре в App Store, чем нанесла глубокую душевную травму компании. О подаче этой жалобы я писал еще в марте этого года, и вот наконец-то жернова госоргана провернулись. Честно говоря, я думал, что в рамках июньских изменений, которые внедрила Apple, ЛК могла уже и удовлетвориться, но, похоже, ЛК этого не достаточно.

Немного предистории. У ЛК и ряда других компаний есть приложения для родительского контроля, которые позволяют контролировать местоположение детей, запуск и время работы приложений, а также просмотр сайтов в браузере и активность в социальных сетях. На iOS подобные приложения требуют установки профиля по технологии Mobile Device Management, что до июня этого года означало нарушение условий соглашения разработчика для платформы Apple, а также правил для приложений, подаваемых в App Store. В конце прошлого и начале этого года Apple стала планомерно выпиливать подобные приложения с профилями MDM из App Store, так как само наличие профиля MDM означало контроль владельца этого профиля над устройством, на котором оно установлено. Пострадавшие возмутились (кто-то жаловался в прессу, кто-то, как ЛК, жаловался в госорганы), и в итоге Apple в июне внесла изменения в правила для приложений в App Store, разъяснив ситуацию:

Guideline 5.5. (New) Because MDM provides access to sensitive data, MDM apps must request the mobile device management capability, and may only be offered by commercial enterprises, such as business organizations, educational institutions, or government agencies, and, in limited cases, companies utilizing MDM for parental controls. MDM apps may not sell, use, or disclose to third parties any data for any purpose, and must commit to this in their privacy policy.

Continue reading

WWDC 2019 — безопасность и конфиденциальность

Для меня показателем того, насколько интересной была в этом году конференция WWDC, является тот факт, что я до сих пор продолжаю публиковать свои заметки о том, что на ней показали. (да, уже прошел целый месяц после WWDC, просто я медленно пишу). К счастью, это последний материал, который я хотел написать по следам конференции.

Кроме всех новинок операционных систем, Mac Pro с новым монитором, и проч., я бы хотел отдельно выделить улучшения в продуктах, которые касаются безопасности и конфиденциальности пользовательской информации. О некоторых, как, например, Sign In with Apple или Find My я уже писал, а до остального руки дошли только сейчас. Хотя там тоже хватает интересного.


Список security-изменений в новых версиях iOS/macOS
Continue reading

“Для чего нужен новый iPod?”

Вчера одно издание обратилось ко мне за комментарием с вопросом, вынесенным в заголовок, и я решил, что можно его опубликовать и в блоге, тем более, что этот вопрос достаточно популярен и встречается часто. Моя первая реакция в Твиттере после вчерашнего анонса была такая:

Хорошие новости:
– там теперь процессор от iPhone 7
– есть 256ГБ
– дешево
– миниджек!

Плохие новости:
– ни FaceID, ни TouchID
– 4” экран, который придется поддерживать в приложениях
– гигантские рамки

Но возвращаясь к вопросу. У меня сформулировался на него следующий ответ:

iPod Touch, на первый взгляд, может показаться странным продуктом, который мало кому нужен. Действительно, зачем нужен, по сути, смартфон, но без возможности подключения к сотовой сети? Есть же iPhone, он решает все вопросы, которые может решить iPod Touch. Однако, iPod touch обладает гораздо большей популярностью, чем может показаться со стороны. Это недорогое устройство на базе iOS, что обеспечивает возможность использования экосистемы приложений и получения всех преимуществ iOS в виде безопасности, фокуса Apple на конфиденциальности данных, своевременных обновлений и возможностей по управлению корпоративными системами. Благодаря этим факторам, iPod Touch активно приобретают и используют в бизнес-среде, в качестве устройств для приема заказов и оплаты, устройств для сканирования товаров на полках магазинов и складов, и тд. Небольшая стоимость устройства, по сравнению с даже самым дешевым iPhone, добавляет привлекательности iPod Touch.
Continue reading

Cybersecus дайджест #67

Апдейт про ASUS
Еще 9 месяцев назад кто-то озадачился странным апдейтом с сервера компании, но тогда этому не придали особого значения.
ASUS подтвердили историю в пресс-релизе, сказав, что целями атаки было небольшое количество определенных пользователей.

Кстати, интересный твит про таргетинг этой атаки:

Также ASUS выпустила инструмент для проверки (хотя с ними теперь никогда не знаешь, а вдруг это опять враги?)

Проверка от ЛК на предмет того, был ли ваш MAC-адрес целью этой атаки (скорей всего, нет, но можно и провериться).

И еще немного разнообразия:
– Уволенный сотрудник компании, недовольный увольнением (после 4 недель работы в компании), снес 23 сервера компании на AWS. Теперь посидит, подумает.
https://nakedsecurity.sophos.com/2019/03/22/sacked-it-guy-annihilates-23-of-his-ex-employers-aws-servers/

– Тут оказалось, что вживленные дефибрилляторы компании Medtronic подвержены хакерской атаке, в результате которой злоумышленник может получить полный контроль над устройством (ой). Никакого шифрования, никакой аутентификации, и другие неприятные мелочи. Но риски жизни без устройства еще выше, поэтому госорганы рекомендуют продолжать использовать их, и ждать исправления.
https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01

– Обнаружилась очередная компания с программным продуктом для слежки мониторинга детей и супругов, которая умудрилась тысячи изображений и записей аудио выложить на доступный всем сервер в интернете. Компания Mobiispy.com так и не ответила на письма экспертов, обнаруживших проблему, поэтому все закончилось тем, что хостинговая компания, на сервере которой хранились эти данные, была вынуждена погасить сервер, чтобы убрать данные из доступности. Помните о том, что за последние пару лет огромное количество этих “мониторинговых” сервисов продемонстрировали полное наплевательство по отношению к пользовательским данным, когда решите чем-то таким воспользоваться
https://motherboard.vice.com/en_us/article/j573k3/spyware-data-leak-pictures-audio-recordings
https://motherboard.vice.com/en_us/article/7xnybe/hosting-provider-takes-down-spyware-mobiispy

– Помните хакера с почти миллиардом свежих записей с логинами и паролями? В очередном (четвертом) раунде раздачи данных он предложил еще 26 миллионов пользовательских записей, куда вошли уже менее известные сервисы, такие как GameSalad, Estante Virtual, Coubic, LifeBear, Bukalapak, YouthManual (часть из Бразилии, часть из Индонезии).
https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

Karma is a bitch

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.
Continue reading

Убийца — аптекарь!

Отдельным бонусом история про чувака, который в Великобритании убил свою жену, для того, чтобы воссоединиться со своим бойфрендом в Австралии. И завести детей с помощью замороженных эмбрионов (а также собрать выплату в 2 млн фунтов по страховке жизни жены) . При этом он инсценировал ограбление, чтобы отвести от себя подозрение.

“ЧТО ЭТО ЗА ХРЕНЬ И ЗАЧЕМ ЭТО ЗДЕСЬ?”, спросите вы? Дело в том, что полиция смогла подтвердить обвинение в убийстве, получив данные об активности (в частности, шагов) с телефона подозреваемого и телефона его жены. В статье говорится, что на телефоне подозреваемого сразу через минуту после смерти жены было зафиксировано большое количество шагов, включая бег по лестнице вверх и вниз, когда он метался по дому, инсценируя ограбление. В то же время телефон жены оставался без движения, а потом записал 14 шагов, когда подозреваемый взял телефон с трупа жены, и вынес его на улицу рядом с домом, чтобы это выглядело, как будто телефон выпал у грабителя, покинувшего дом.

С одной стороны, технологии, конечно, это хорошо, когда помогают в таких случаях. А с другой — слежка, никакой конфиденциальности, вот это все. Черт его знает, как с этим мириться. 

DriveSavers и iPhone

Вчера в новостях мелькнула интересная новость от компании DriveSavers, что теперь у компании есть возможность добывать данные со смартфонов, даже если они защищены паролем (пресс-релиз). Причем эта услуга будет доступна и обычным потребителям, тем, кто, например, забыл пароль от устройства, заблокировал устройство слишком большим количеством попыток ввода неправильного пароля, или для ситуаций, когда нужно добыть данные с телефона умершего родственника.

По словам компании, они используют фирменную технологию, позволяющую получать доступ к данным на заблокированных устройствах. Ранее это было доступно для правоохранительных органов, использующих устройства компаний Cellebrite и Grayshift, а теперь это должно стать доступным и индивидуальным пользователям. Напомню, что с Grayshift история давняя и последний раунд после выхода iOS 12 вроде как остался за Apple. В случае с DriveSavers пользователи, обращающиеся за этой услугой, должны будут предоставить доказательства того, что телефон принадлежит им, а стоить услуга будет около 3900 долларов.

У MacRumors также есть комментарий от DriveSavers, в котором они подтвеждают, что они могут разблокировать iPhone и вернуть его разблокированным владельцу. Пока что эксперты, к которым я обратился, к этой новости относятся с недоверием и просят пруфы, но если то, что обещают DriveSavers, правда, то это может оказаться очень плохими новостями для Apple. Если DriveSavers обнаружили уязвимость в Secure Enclave (процессор, который обеспечивает безопасную загрузку и идентификацию пользователей в iOS-устройствах и некоторых Маках), то это может серьезно сказаться на репутации компании.

Апдейты по безопасности Apple

За последние пару дней накопилось сразу несколько интересных заметок про всякие вещи, связанные с информационной безопасностью и Apple одновременно, поэтому я собрал их все в одном посте.

Вчера Apple наконец-то выложила обновленные статьи о различных улучшениях безопасности (читай — исправленных уязвимостях) в последних версиях операционных систем. Ссылки на содержимое апдейтов в каждой операционной системе, а также в других продуктах компании, можно найти тут:
https://support.apple.com/en-us/HT201222. Я думаю, что тут достаточно упомянуть, что термин “arbitrary code” встречается в статье о содержимом апдейтов macOS 10.14 Mojave двадцать один раз.

Там же и такая прекрасная уязвимость под номером CVE-2018-4407 в обработке получения ICMP пакетов, позволяющая “завалить” работающие в той же сети Мак с High Sierra и ios-устройства с iOS 11, как продемонстрировано на этом видео в твите:


Continue reading

Про процессор T2

Apple вчера опубликовала интересный документ про процессор T2, который в современных Маках обеспечивает довольно много функциональности:
– безопасную загрузку компьютера
– работу файловой системы APFS
– работу Touch ID на Маке

Весь PDF (15 страниц) сам по себе представляет интересный и познавательный материал, рекомендую почитать. Иногда пишут, что Apple сознательно блокирует ремонт компьютеров “на стороне”, потому что хочет сама ремонтировать компьютеры и брать за это много денег. Не без этого, конечно, но вообще надо понимать, что компьютеры – это очень хороший и мощный вектор атаки на пользователя, и проверять целостность этого вектора это хорошая практика. Именно это и делает процессор T2 при загрузке компьютера, а сторонний ремонт и замена каких-то комплектующих может нарушать этот процесс.
Continue reading