На прошлой неделе компания iVerify обнародовала (оригинальное исследование, пост на Хабре) информацию об уязвимом приложении, которое устанавливалось на большинство смартфонов Google Pixel с сентября 2017 года. Приложение, известное как Showcase.apk, изначально было разработано по заказу сотового оператора Verizon и использовалось им для перевода телефона в специальный деморежим. Широкие привилегии приложения, невозможность удалить его стандартными методами теоретически позволяют перехватить контроль над устройством.
Главная претензия iVerify к приложению Showcase — небезопасный метод загрузки обновлений со стороннего сервера. При первом запуске программа обращается к серверу по незащищенному протоколу HTTP и скачивает обновления. Система верификации скачанного присутствует, но по факту не работает. Теоретически можно представить сценарий атаки типа man-in-the-middle, при котором Showcase.apk перенаправляется на сервер злоумышленника, скачивает оттуда вредоносное обновление и выполняет этот код с максимальными привилегиями.
На практике, впрочем, приложение сначала нужно как-то активировать — по умолчанию оно выключено. Это главный недостаток предлагаемой iVerify схемы атаки: они просто предположили, что потенциальный злоумышленник активирует уязвимый апп, ненадолго получив доступ к реальному устройству. В таком случае необязательно использовать столь сложную схему атаки, есть масса других способов похитить данные или запустить вредоносную программу. Исследователи лишь предполагают, что могут существовать также способы удаленной активации приложения.
Таким образом, вряд ли стоит ожидать эксплуатации данной конкретной уязвимости. Главная проблема скорее заключается в том, что Google включает в устройства Pixel сторонний код, который толком не проверен на безопасность и имеет широкие привилегии при запуске. При этом он распространяется по требованию оператора, но установлен не только на те устройства, которые этому оператору передаются. По данным издания Wired, приложение уже довольно давно не используется компанией Verizon. В новейших смартфонах Google Pixel 9 его нет, а для всех остальных в ближайшее время будет выпущено обновление, которое полностью удалит Showcase.apk.
Что еще произошло
13 августа Microsoft выпустила очередной набор обновлений, закрывающий в том числе девять критических и шесть активно эксплуатируемых уязвимостей. Наиболее важный патч закрывает уязвимость CVE-2024-38063 (новость на Хабре) в реализации протокола IPv6. Хотя эта проблема пока не эксплуатируется, у нее близкий к максимальному рейтинг опасности. Отправка подготовленного пакета данных на уязвимую систему может привести к выполнению произвольного кода. Патчи выпущены для всех современных версий Windows, начиная c Windows Server 2008.
В тот же день большой набор патчей для своих продуктов выпустила компания Adobe. Всего закрыты 72 уязвимости, включая ошибки, приводящие к выполнению произвольного кода в Adobe Photoshop и InDesign.
Исследователи «Лаборатории Касперского» опубликовали отчет об эволюции сложных таргетированных атак за второй квартал 2024 года.
Google планирует скрывать пароли и номера кредитных карт в браузере Chrome для Android, если производится видеозапись содержимого экрана или если пользователь открывает доступ к содержимому телефона третьей стороне.
Из свежего исследования ученых из двух американских университетов вы можете узнать два полезных факта. Во-первых, профессиональные велосипедисты используют беспроводную систему переключения передач, команды передаются по радиоканалу. Во-вторых, естественно, можно эту систему взломать и на расстоянии до 10 метров принудительно переключать велосипеды на менее оптимальную передачу или вовсе инициировать блокировку механизма переключения. В переключателях системы SHIMANO Di2 эта потенциальная проблема исправлена путем обновления прошивки.
Исследователь из компании Quarkslab обнаружил бэкдор в смарт-картах MIFARE Classic, точнее, в их подвиде FM11RF08S, выпускаемом китайской компанией. Бэкдор позволяет скопировать пользовательские ключи, если ненадолго получить доступ к карте. Аналогичный бэкдор был также найден в более старой вариации карт типа FM11RF08.
Главная претензия iVerify к приложению Showcase — небезопасный метод загрузки обновлений со стороннего сервера. При первом запуске программа обращается к серверу по незащищенному протоколу HTTP и скачивает обновления. Система верификации скачанного присутствует, но по факту не работает. Теоретически можно представить сценарий атаки типа man-in-the-middle, при котором Showcase.apk перенаправляется на сервер злоумышленника, скачивает оттуда вредоносное обновление и выполняет этот код с максимальными привилегиями.
На практике, впрочем, приложение сначала нужно как-то активировать — по умолчанию оно выключено. Это главный недостаток предлагаемой iVerify схемы атаки: они просто предположили, что потенциальный злоумышленник активирует уязвимый апп, ненадолго получив доступ к реальному устройству. В таком случае необязательно использовать столь сложную схему атаки, есть масса других способов похитить данные или запустить вредоносную программу. Исследователи лишь предполагают, что могут существовать также способы удаленной активации приложения.
Таким образом, вряд ли стоит ожидать эксплуатации данной конкретной уязвимости. Главная проблема скорее заключается в том, что Google включает в устройства Pixel сторонний код, который толком не проверен на безопасность и имеет широкие привилегии при запуске. При этом он распространяется по требованию оператора, но установлен не только на те устройства, которые этому оператору передаются. По данным издания Wired, приложение уже довольно давно не используется компанией Verizon. В новейших смартфонах Google Pixel 9 его нет, а для всех остальных в ближайшее время будет выпущено обновление, которое полностью удалит Showcase.apk.
Что еще произошло
13 августа Microsoft выпустила очередной набор обновлений, закрывающий в том числе девять критических и шесть активно эксплуатируемых уязвимостей. Наиболее важный патч закрывает уязвимость CVE-2024-38063 (новость на Хабре) в реализации протокола IPv6. Хотя эта проблема пока не эксплуатируется, у нее близкий к максимальному рейтинг опасности. Отправка подготовленного пакета данных на уязвимую систему может привести к выполнению произвольного кода. Патчи выпущены для всех современных версий Windows, начиная c Windows Server 2008.
В тот же день большой набор патчей для своих продуктов выпустила компания Adobe. Всего закрыты 72 уязвимости, включая ошибки, приводящие к выполнению произвольного кода в Adobe Photoshop и InDesign.
Исследователи «Лаборатории Касперского» опубликовали отчет об эволюции сложных таргетированных атак за второй квартал 2024 года.
Google планирует скрывать пароли и номера кредитных карт в браузере Chrome для Android, если производится видеозапись содержимого экрана или если пользователь открывает доступ к содержимому телефона третьей стороне.
Из свежего исследования ученых из двух американских университетов вы можете узнать два полезных факта. Во-первых, профессиональные велосипедисты используют беспроводную систему переключения передач, команды передаются по радиоканалу. Во-вторых, естественно, можно эту систему взломать и на расстоянии до 10 метров принудительно переключать велосипеды на менее оптимальную передачу или вовсе инициировать блокировку механизма переключения. В переключателях системы SHIMANO Di2 эта потенциальная проблема исправлена путем обновления прошивки.
Исследователь из компании Quarkslab обнаружил бэкдор в смарт-картах MIFARE Classic, точнее, в их подвиде FM11RF08S, выпускаемом китайской компанией. Бэкдор позволяет скопировать пользовательские ключи, если ненадолго получить доступ к карте. Аналогичный бэкдор был также найден в более старой вариации карт типа FM11RF08.