Научные исследования в сфере безопасности довольно регулярно посвящены угрозам совершенно теоретического плана. В публикации попадают потенциальные уязвимости, которые никто прямо сейчас эксплуатировать не будет. Задача таких работ — усилить безопасность в перспективе. Если когда-то в будущем будут созданы благоприятные условия для реальной атаки, производители устройств и разработчики софта уже успеют подготовиться. Интересным подвидом таких исследовательских проектов является извлечение полезных данных из таких мест, откуда, казалось бы, ничего вразумительного получить невозможно. Например, можно попытаться извлечь звук из мелких дрожаний видеокартинки (если из видео кто-то вырезал нормальную звуковую дорожку). Подслушку можно организовать через встроенный в смартфон акселерометр. Анализ звука нажатий клавиш позволяет реконструировать то, что набирают на клавиатуре.



Каждая из этих «возможностей» на самом деле серьезно ограничена различными оговорками и допущениями: например, подслушивать через акселерометр можно только на нереально высокой громкости. В начале января в журнале Science была опубликована научная работа, посвященная извлечению изображений из датчика освещенности. Такой датчик установлен во все смартфоны и планшеты, а также в большинство ноутбуков, многие мониторы и телевизоры. Можно описать этот датчик как своего рода однопиксельную цифровую камеру. Как выяснилось, даже из таких невнятных данных после обработки с использованием систем машинного обучения можно вытащить изображение. Пример — на скриншоте из исследования выше. Это не кадры из фильма ужасов, а снимки руки пользователя, например вводящего пин-код на экранной цифровой клавиатуре. Даже по сравнению с другими подобными исследованиями, эта работа удивляет нереалистичностью предложенного метода атаки. Что, впрочем, никак не умаляет достижений авторов исследования, которые даже в таких сложных условиях смогли хоть как-то извлечь осмысленные данные из шума.

На прошлой неделе исследователь Марк Ньюлин в подробностях рассказал об уязвимостях в стеке Bluetooth, которые затрагивают в той или иной степени практически все ПК, смартфоны и другие мобильные устройства. Его статья и выступление на конференции ShmooCon дополняют опубликованное еще в декабре краткое сообщение о найденных проблемах. Основная уязвимость (получившая идентификатор CVE-2023-45866) связана с тем, что большинство реализаций протокола Bluetooth поддерживают установление связи с клавиатурой (или Bluetooth-устройством, которое притворяется клавиатурой) без аутентификации. В результате на уязвимых устройствах (с некоторыми оговорками, о которых позже) потенциальный злоумышленник может добавить собственную клавиатуру и отправлять произвольные нажатия клавиш.



Ньюлин — автор более раннего исследования про небезопасность беспроводной периферии. В 2016 году он обнаружил разнообразные проблемы в устройствах, которые общаются с компьютером через собственный USB-приемник, обычно работающий на частоте 2,4 гигагерца. По результатам той работы автор предположил, что использование Bluetooth-клавиатур является более безопасным методом. В прошлом году он решил проверить это допущение на практике и нашел не менее серьезные проблемы. В большинстве случаев они, к счастью, решаются доставкой обновления для операционной системы. Но есть как минимум два исключения. Это старые, не получающие обновления устройства на базе Android 10-й и более ранних версий. И Bluetooth-клавиатуры Apple Magic Keyboard, в которых Марк нашел уникальную проблему.

В конце прошлого года исследователи «Лаборатории Касперского» опубликовали новую статью, в которой разбирают детали атаки «Триангуляция» (см. также новость на Хабре и видео с конференции 37c3). Про эту атаку мы писали в прошлом году дважды. В июне был опубликован общий отчет, из которого впервые стало известно об атаке на устройства Apple, принадлежащие сотрудникам «Лаборатории Касперского». В этом отчете рассказывалось о методе обнаружения идентификаторов компрометации в бэкапах iPhone. В октябре исследователи рассказали, как удалось достать вредоносный код, который использовался на всех этапах атаки, вплоть до изначального вредоносного сообщения. Из самой свежей публикации можно узнать о результатах анализа вредоносного кода.


Атака «Триангуляция» начиналась с отправки на телефон вредоносного сообщения через сервис iMessage. Сообщение содержало вложенный файл в формате PDF. Как теперь известно, в этом файле был спрятан эксплойт, который задействовал уязвимость в обработчике шрифтов TrueType в iOS. Крайне интересно, что уязвимость была найдена в недокументированной инструкции Adjust: информации о ней практически нет, лишь в древних версиях Windows есть ссылка на эту инструкцию с указанием, что она применяется только в компьютерах Apple. Ошибка в коде (который патчем от Apple был просто удален и, скорее всего, не менялся с 90-х годов прошлого века) приводила к выполнению произвольного кода. Важно, что владельцу телефона даже не надо было каким-то образом взаимодействовать с присылаемым сообщением или аттачем.

На прошлой неделе был опубликован отчет о свежем банковском троянце для Android, на примере которого можно оценить некоторые приемы по получению полного удаленного контроля над мобильным устройством. Троянская программа Chameleon отслеживается с начала этого года, а в публикации компании ThreatFabric речь идет о недавно обновленном варианте. Это вредоносное ПО распространяется под видом легитимных программ, в тексте речь идет о браузере Google Chrome. Функциональность исходного ПО сохраняется, а вредоносный довесок в итоге нацелен на кражу средств из популярных банковских приложений и криптокошельков. Авторы отчета отмечают распространение Chameleon в Польше, Австралии, Италии и Великобритании.


Вредоносные программы для Android уже давно используют так называемые «Специальные возможности» или Accessibility — набор фич, изначально созданный для пользователей с ограниченными возможностями. Эта функциональность обеспечивает, в том числе, полный контроль над смартфоном за счет эмуляции нажатий на экран и жестов. Из-за потенциальной опасности и регулярного абьюза этих функций, начиная с Android 13 введено ограничение доступа к «Специальным возможностям», получившее название Restricted Settings. Для приложений, установленных вручную из APK (а это как раз наш случай), просто так включить «Специальные возможности» нельзя. Свежая функциональность Chameleon направлена на обход этого ограничения.

На прошлой неделе исследователь Дилан Эйри из команды Truffle Security обнародовал детали уязвимости в протоколе OAuth компании Google. Ошибка в логике системы авторизации угрожает прежде всего компаниям, которые используют для совместной работы инфраструктуру Google Workspace. Дилан описывает теоретическую ситуацию, в которой сотрудник такой организации создает «фантомную» учетную запись в Google, которую затем использует для доступа по протоколу OAuth к другим внутренним сервисам. Так как учетка не была создана администратором корпоративного домена, то и удалена она быть не может. А значит — есть возможность сохранения доступа к приватной информации даже после увольнения сотрудника и деактивации его основной учетной записи.


Разбирать эту атаку проще, разбив ее на этапы. Прежде всего Дилан Эйри зафиксировал тот факт, что создать учетную запись в экосистеме Google можно с любым адресом электронной почты, в любом домене. На такую почту придет письмо с просьбой подтвердить создание аккаунта. Если у вас есть доступ к этому письму, вы получите новую учетку Google. Одновременно вы получаете возможность регистрироваться и авторизоваться на любых других сервисах по протоколу OAuth, выбирая опцию Sign-in with Google. Далее идет самый важный элемент теоретической атаки: учетку Google можно создать на адрес вида login+(какая-то последовательность символов)domain.com. Письма, отправленные на такой адрес-псевдоним, будут приходить на основную почту login@domain.com. Если вы имеете доступ к этому почтовому ящику, вы без труда сможете подтвердить создание новой учетной записи Google.

В мире очень немного дизайн-команд, которые занимаются разработкой дизайна операционных систем (Apple, Google, Huawei, Microsoft и т. д.). И это дает таким командам уникальную возможность создавать дизайн-решения, которые могут стать трендсеттерами на рынке.

При этом у всех таких героев есть свои артефакты: планирование, бэклог, роадмап, технические ограничения, дедлайны, лимит ресурсов, рутинные задачи. И когда, с одной стороны, поджимают сроки очередного релиза, а с другой, есть естественный лимит емкости разработки, то дизайнеру бывает непросто сфокусироваться и придумать ТУ САМУЮ идею.



В «Лаборатории Касперского» дизайн-мышление встроено на уровне ДНК компании, оно полноценно используется для решения различных рабочих задач. А началось это с того, что мы, Никита Черемисинов (nikitadizer), руководитель группы дизайна в команде KasperskyOS, и Федор Раклов (Raklov), старший UX-исследователь, и вся наша остальная команда попробовали нестандартно подойти к решению креативных задач и провели сессию по генерации идей Playing the Future. В этой статье раскроем закулисье этого ивента — как мы его готовили, какой был процесс и какой получили профит.

Об этой работе компании Binarly мы уже упоминали на прошлой неделе: исследователи нашли нетривиальный и довольно опасный способ атаки на ПК путем подмены логотипа, сохраняемого в UEFI — прошивке, ответственной за первоначальную загрузку компьютера. Ранее была известна только общая идея атаки, а на прошлой неделе было опубликовано полноценное исследование (исходник, а также краткое описание в издании ArsTechnica).


Если выражаться привычными в данной ситуации определениями, специалисты компании Binarly «обнаружили двадцать четыре уязвимости в парсерах изображений, использованных всеми тремя ключевыми поставщиками прошивок UEFI». В наиболее печальном сценарии можно использовать стандартные инструменты, предоставляемые сборщикам ПК и ноутбуков компаниями Phoenix, AMI и Insyde для загрузки в прошивку UEFI вредоносного изображения. Демонстрация этого подменного логотипа при следующем включении ПК приведет к выполнению произвольного кода, причем отследить такой «буткит» на уровне операционной системы будет максимально проблематично.

На прошлой неделе специалисты команды Secureworks поделились свежими приемами онлайн-мошенничества, связанного с турпоездками. Это и раньше была благодатная тема для разного рода кибератак, но речь шла скорее о прямых атаках на пользователей. Новая схема более сложная, она начинается со взлома учетной записи владельцев отелей на сервисе Booking.com.



Исследователи обнаружили вредоносное ПО, которое направлено именно на поиск бизнес-учеток на Booking.com. Заражаются компьютеры гостиницы просто: на адрес отеля приходит письмо якобы от бывшего постояльца с просьбой поискать в номере забытый паспорт. К письму приложена ссылка на фотографию паспорта — по клику на ссылку и загружается вредоносная программа. Через некоторое время после того, как злоумышленник получает доступ к учетке на сервисе бронирования, всем, кто имеет бронь в отеле рассылаются сообщения с просьбой оплатить проживание заранее. Важным моментом является то, что общение с жертвами происходит через сервис Booking.com и выглядит максимально правдоподобно.

На прошлой неделе исследователи из команды Blackwing Intelligence опубликовали подробный отчет о безопасности системы Windows Hello при авторизации на популярных ноутбуках c помощью отпечатка пальцев. Безопасность логина с использованием биометрии была исследована на трех устройствах: ноутбуках ThinkPad T14, Dell Inspiron 15 и клавиатуре Microsoft Surface Pro Type Cover для ноутбука Surface Pro X.


Во всех трех случаях авторизацию по отпечатку удалось обойти. Цель пентестеров была достигнута с использованием реверс-инжиниринга, анализа протоколов шифрования с последующим обнаружением уязвимостей, воспроизведения коммуникаций с использованием проприетарных протоколов. Все это происходило в режиме «черного ящика», с практически нулевыми знаниями о работе биометрических систем на старте. Каждое из устройств потребовало собственного подхода, и в итоге ноутбук Dell оказался наиболее защищенным.

На прошлой неделе компания Intel выпустила бюллетень, посвященный уязвимости в процессорах, начиная с поколения Ice Lake 2019 года (десятое поколение Intel Core). Как следует из описания, «определенная последовательность инструкций может приводить к нестандартному поведению». Довольно часто эти сухие слова — все, что мы узнаем о какой-либо проблеме, но в данном случае у нас есть подробное описание уязвимости от команды исследователей Google во главе с Тависом Орманди (краткий пересказ исследования также есть в этой новости на Хабре).



Суть уязвимости в самой сжатой форме приведена на скриншоте выше: примерно такой кусок кода может вызывать сбои в работе процессоров Intel вплоть до полного отказа в обслуживании. Чтобы разобраться в причинах такого поведения, требуется небольшой экскурс в особенности низкоуровневого программирования. Впрочем, самый важный нюанс таков: префикс rex.rxb не имеет смысла в комбинации с инструкцией movsb для перемещения данных в памяти и по всем правилам должен отбрасываться при выполнении программы. Но по факту процессор как-то его интерпретирует, причем с весьма непредсказуемыми результатами.

На прошлой неделе специалисты «Лаборатории Касперского» разбирали свежую атаку под кодовым названием Ducktail. За этой киберкриминальной кампанией предположительно стоит группировка из Вьетнама. Характерной чертой Ducktail в ее последней версии является специализация на маркетологах. Почтовые «приманки» сделаны так, чтобы привлечь именно таких специалистов, а результатом заражения компьютера становится кража бизнес-аккаунтов в социальной сети.


Самая свежая кибератака такого типа происходила с марта по начало октября 2023 года. Ее особенностью являлось использование вредоносных приложений, написанных на Delphi, хотя в предыдущих атаках использовался код на .NET. Несмотря на то что инструменты кибератаки использованы базовые, данный метод не лишен эффективности.

В четверг, 16 ноября, в 16 часов (МСК) мы проведем онлайн-воркшоп Kaspersky Tech под названием «Kaspresso: учимся писать автотесты и прокачиваем резюме». Его проведет один из разработчиков популярного (1,7 тысяч звезд на Github) open source фреймворка для автотестов Kaspresso – Андрей Сумин.



Во время эфира Андрей в формате live-coding научит использовать фреймворк для автотестов на Android, расскажет про его особенности и ответит на все интересующие вопросы. Кстати, на эфир можно прийти даже если вы только учитесь на тестировщика: мы покажем все с нуля, а вы сможете пополнить свое резюме еще одним скилом.

Эксперты «Лаборатории Касперского» в свежем отчете поделились статистикой по киберугрозам для любителей компьютерных игр. Именно в этой индустрии особенно распространено разного рода мошенничество. Ситуация осложняется и тем, что во многих играх трудно отличить полезные моды от вредоносных программ, — и то и другое распространяется на странного вида форумах со ссылками на публичные файловые хостинги.



Впрочем, далеко не всегда сетевое мошенничество приводит к установке вредоносных программ. В исследовании приведены многочисленные примеры фишинговых веб-сайтов, целью которых является кража игровых учеток с последующим хищением либо игровой валюты, либо ценных игровых предметов. Также анализ вредоносных атак дает наглядную статистику, за любителями каких игр киберпреступники охотятся больше всего. В тройке лидеров — Minecraft (с огромным отрывом), Roblox и CS:GO.

На прошлой неделе в Таиланде прошла конференция Security Analyst Summit, организованная «Лабораторией Касперского». Одной из главных тем конференции стало исследование атаки, которая получила название «Операция Триангуляция». О ней стало известно в июне, когда эксперты «Лаборатории Касперского» сообщили об обнаружении сложной атаки на мобильные устройства Apple, принадлежащие сотрудникам компании.



В дополнение к презентации были также опубликованы два отчета: первый о —деталях расследования, второй — о работе двух вредоносных модулей. Подробно описанные этапы исследования вредоносной атаки, удачные и неудачные, представляют особый интерес.

На прошлой неделе стало известно о новом серьезном инциденте в компании Okta, которая предоставляет организациям ряд сервисов для аутентификации пользователей. Учетные записи Okta используют для внутренних сервисов множество компаний; подробности об инциденте сообщили две из них: Cloudflare и BeyondTrust. Официальное заявление самой пострадавшей компании достаточно лаконично, хотя в нем и указаны индикаторы компрометации.



Примечательно, что это не первый инцидент в Okta за этот год. В марте выяснилось, что инфраструктура компании была скомпрометирована группировкой LAPSU$. В обоих случаях злоумышленники смогли проникнуть во внутренний сервис технической поддержки Okta, хотя дальнейшие методы атаки на клиентов различались. И в том, и в другом случае компрометация внутренней инфраструктуры была обнаружена далеко не сразу.

В четверг, 26 октября, в 17:00 состоится онлайн-митап, посвященный JS-разработке: «Гетерогенность, или Деплой JavaScript туда и обратно».

На ивенте расскажем, как мы в «Лаборатории Касперского» развернули несколько веб-приложений в совершенно разных средах на единой кодовой базе, разберем построение В2В единой консоли — комплексного, сложного приложения; единую модель деплоймента для cloud-native-разработки и on-premise; а также разработку в распределенных командах (фича-тимы).

На прошлой неделе компания Google сообщила о том, что теперь для входа в сервисы компании опцией по умолчанию будут парольные ключи. Такие ключи (passkey) — это шаг в сторону полного отказа от паролей в сервисах компании. Данная фича была внедрена весной этого года, а теперь при каждом входе в сервис пользователи будут получать предложение создать ключи и использовать новую систему как основную.



Стандарт авторизации с помощью ключей был разработан альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.

Нейроград — первый виртуальный мегаполис, в который вот-вот прибудут пользователи. Но есть проблема — кто-то испортил внешний облик города.

Целевая атака? Козни тайного врага? Выясните, кто стоит за этим! А заодно — устраните все баги, обращая внимание на любые странные и необычные явления во внешнем облике города.

Можно ли использовать смартфон для подслушивания чужих переговоров? Ответ вроде бы очевиден: включай диктофон, подкрадывайся к объекту подслушивания и записывай. Исследователи из двух американских университетов попробовали решить эту задачу максимально сложным образом, не используя встроенный микрофон, а синтезируя звук из микровибраций в видеозаписи. Подробный отчет об атаке Side Eye был недавно опубликован. Авторы работы открыли новую атаку по стороннему каналу, которая впечатляет одновременно своей красотой и полной бесполезностью.



Сторонним каналом в данном случае служит система оптической стабилизации камер, применяемая в большинстве современных смартфонов. Ее схематическое изображение вы видите выше. Такая система предполагает, что светочувствительная матрица и/или линзы в объективе выполнены на подвижной платформе и могут компенсировать дрожание камеры. Как выяснилось, она вполне может фиксировать вибрации от близлежащего источника звука и сохранять в видеоданных. Если у вас есть видео без звука, оказывается, вы можете восстановить диалог находящихся возле камеры людей. Но возможно это с большим количеством допущений, оговорок и текста мелким шрифтом.

На прошлой неделе журналисты издания 404 Media написали про адаптер для подключения смартфона Apple к внешнему монитору или телевизору с крайне сомнительным поведением с точки зрения приватности пользователя. Выскажемся конкретнее: такие устройства вообще не должны существовать, но этот переходник — далеко не единственный пример техники, которая в принципе не заботится о защите личных данных пользователя.



По внешнему виду и дизайну упаковки китайский адаптер максимально копирует официальный (и традиционно дорогой) переходник «Lightning to HDMI» компании Apple. Но если последний действительно является «безмозглым» переходником, то безымянное устройство вызывает массу подозрений уже при первом подключении к iPhone. Потому как смартфон попросит вас «разрешить подключение к компьютеру». И после этого все становится только хуже.