Security Week 11: 38 зараженных смартфонов, ФБР плачет от шифрования, Google снова подлатал Chrome

    Подцепить что-нибудь вредоносное на более-менее современной версии Android не так уж и просто. В большинстве случаев атака проводится с применением социальной инженерии, да такой лютой, что жертва сама разрешает в настройках системы установку приложений из левых источников, сама скачивает и сама же устанавливает троянца на свой смартфон. И нам вроде бы уже не страшно, потому что это не про нас. Но нашлись ребята с выдумкой и по нашу душу, которые начали продавать аппараты со встроенным зловредом, причем через солидные магазины.

    Строго говоря, тема не очень новая – предустановленное вредоносное ПО не раз находили в прошивках китаефонов, писали и о преступных группах, занимавшихся скупкой, заражением и продажей б/у телефонов (и последующей стрижкой потерпевших, естественно). Но в этот раз проблема помасштабнее: исследователи обнаружили 38 популярных моделей смартфонов, зараженных еще до поступления в магазин. Причем взяли их не на базаре, как можно было подумать, а в «большой телекоммуникационной компании» и «транснациональной технологической компании».

    Среди указанных моделей есть всякие – и бюджетные, и флагманские, включая Google Nexus 5 и 5X, Samsung Galaxy S7, а также популярные в народе Xiaomi и Lenovo. Исследователи обнаружили в них несколько разных вредоносных штаммов: одни крадут данные пользователя, другие показывают рекламу из разных подозрительных баннерных сетей. А в одном телефоне потенциального хозяина поджидал вымогатель-шифровальщик Slocker.

    Что интересно, на шести смартфонах троянец прятался в прошивке, и не мог быть удален простой очисткой флеш-памяти, в остальных случаях зловред поставили как стороннее приложение на официальную прошивку. Кто виноват – пока неясно. Специалисты только ищут точку входа в цепочку поставщиков. Однако разнообразие моделей и вредоносных штаммов уже говорит о неслабом размахе операции. Или о нескольких параллельных кампаниях, что ничуть не лучше.

    ФБР жалуется на сильную криптографию
    После разоблачений Сноудена жить стало страшно, но весело. Народу рассказали о «Призме», бэкдорах, закладках и имплантах, благодаря которым компетентные органы знают о нас примерно все, и начали учить основам информационной безопасности. На прекрасно увлажненной людскими страхами почве как грибы после дождя проросли защищенные мессенджеры с поддержкой сквозного шифрования. Но все равно в глубине души никто не верил, что от государственного надзора можно так просто защититься.

    И тут вдруг выясняется, что некоторые из доступных средств обеспечения конфиденциальности данных таки неплохо работают. Директор ФБР Джеймс Коми зажигательно выступил на Бостонской конференции по кибербезопасности, призвав сообщество к взрослой дискуссии о сильном шифровании, которое встало поперек горла его конторе.

    Взрослая дискуссия со стороны Коми выглядела как поток жалоб и аргументов вида «мы не можем расследовать преступления без доступа к вашим данным» и «одними метаданными педофила в тюрьму не упрячешь». И, в силу того, что на разработку хакерских инструментов Бюро денег не дают, господин директор хочет, чтобы ИБ-сообщество не старалось так сильно, и агенты могли хоть немножечко попастись в пользовательских данных.

    Проблема действительно серьезная: если верить Коми, с октября по декабрь 2016 года ФБР покопалось в 2800 мобильных устройствах, и не смогло взломать 1200 из них. А вдруг там детское порно и чертежи «грязной бомбы»? Современные криптографические технологии одинаково надежно защищают данные как добропорядочного пользователя, так закоренелого преступника – так что и постановление суда ничем не поможет – у сервис-провайдера просто нет ключей шифрования.

    Конечно, само по себе сильное шифрование появилось довольно давно, загвоздка в том, что теперь это очень модная тема, спасибо Сноудену. Из-за него даже самые ярые неолуддиты зауважали информационную безопасность и общаются через Signal, Telegram и подобные приложения. Однако исследователи-безопасники все эти аргументы слышали уже не раз и в массе своей понимают, что слабое шифрование дает преступникам не меньше, а гораздо больше возможностей, чем правоохранителям – пока хорошие ребята привлекут к ответственности одного злодея, плохие обработают сотню ни в чем не повинных пользователей.

    В Chrome 57 закрыты опасные уязвимости
    На горящий огонь, текущую воду и закрытие уязвимостей в Chrome можно смотреть бесконечно. Казалось бы, код давно вылизан до блеска, но — нет, хорошо мотивированные наградой от Google исследователи каждый месяц приносят ворох новых дыр. В этот раз их 36, причем девять могут позволить злоумышленнику захватить управление системой. Вот, например, несколько:

    – Нарушение целостности памяти (memory corruption) в движке JavaScript V8;
    – Использование данных после освобождения памяти (use after free) в графическом API ANGLE;
    – Запись вне границ буфера (out-of-bounds write) в PDFium;
    – Переполнение целочисленной переменной (integer overflow) в libxslt.

    Это обошлось папаше Брину в лишних 38 тысяч долларов, что для компании копейки, а для исследователей неплохой приработок. Мораль истории в том, что поддержание безопасности – непрерывный процесс, и пренебрегать им значит накапливать в своем продукте уязвимости и подвергать опасности пользователей.

    Древности


    «Estonia-1716»

    Резидентный очень опасный вирус. Поражает запускаемые .COM- и EXE-файлы кроме COMMAND.COM, к COM-файлам дописывает 4 проверочных байта. Явный плагиат с вирусов «Yankee». По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст «Independent Estonia presents», затем играет «Собачий вальс» и перезагружает компьютер. Трассирует int 21h.

    Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 67.

    Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
    «Лаборатория Касперского»
    379,00
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 41

      0
      начали продавать аппараты со встроенным зловредом

      Меня давно мучает вопрос: а почему все пишут «зловред»? Разве бывают «добровред» и «злопольза»?
      • НЛО прилетело и опубликовало эту надпись здесь
          0
          Не знал, спасибо что просветили. Хотя все равно как то корежит от этого слова, типа «маслянистый жЫр» или даже «сферический шар» :-)
            0
            Ну это как посмотреть. Если предположить, что слово происходит от, например, сокращения фразы «злонамернное вредительство», то вполне не корежит. Синонимы — умышленное вредительство.
              0
              (Извиняюсь за лингвистический офф-топ, который образовался из за шутливого первого комментария)
              происходит от, например, сокращения фразы «злонамернное вредительство»
              Опять же, вредительство не может быть с добрыми намерениями :-). Или просто намеренное (умышленное), или нечаянное (неумышленное).
                +3
                Ненамеренное вредительство: повреждение кабеля по незнанию.
                Намеренное вредительство: повреждение кабеля для сдачи его на цветмет.
                Злонамеренное вредительство: повреждение кабеля с целью диверсии. Здесь вред — это цель действия, а не побочный эффект.
              0

              Зловредный = Зело вредный = Очень вредный

            0
            Потому что нельзя написать «начали продавать аппараты со встроенным вирусом», потому что это не вирус. Однако, это вредоносное или зловредное программное обеспечение.
              0
              Разве бывают «добровред» и «злопольза»?

              Да, в начале 2000х был вирус, который в конце месяца открывал рандомный порносайт. Ничем не вредил.
              0
              Из-за него даже самые ярые неолуддиты зауважали информационную безопасность и общаются через Signal, Telegram и подобные приложения.

              Телеграм хранит всю переписку пользователя на своих серверах, если мне не изменяет память. Еще помнится мне тут был смачный раздув ( https://habrahabr.ru/post/312722/ ), в котором чувак выкопал фичу телеграма по которой любой малолетний мудак или великовозрастный пубертат (типа Вольнова, который Никита Кувиков) может узнать ваш номер, а потом наяривать вам посреди ночи. Одно дело когда вы анонимус с авито, до которого особо дела никому нет. Совсем другое, если вы какой-нибудь условный Медведев, зарегались значит вы такие в телеграмчике, а потом вам товарищ Кувиков будет наяривать в три часа ночи с предложением купить кроссовки, футболку и корм для уточки.
              Павлуша кричит надрывая горлышко: "КО! КО КО! Наш телеграм самый безопасный телеграм из всех телеграмов! КО! КО КО! "
              Какого хрена ты вводишь привязку к номерам телефонов да еще и раздаешь их любым проходимцам по первому требованию? Ну, если ты за безопасность?
              Знаете, я вам так скажу. Думаю эта вся телега с созданием телеграма и увольнением Павлуши из вконтача проект ФСБ, для сбора переписки теперь уже в мировом масштабе. Т.к. вконтач в мировом масштабе увы не взлетел.

                0

                Вас голоса не беспокоят?

                  +1
                  Иногда они выдают ценнуюинформацию. Единственная проблем — определить, когда именно.
                  0

                  СВР тогда уж.
                  Telegram это конкурент WhatsApp и Viber, в которых идентификация по номеру телефона.

                  +2

                  Ахаха, ну да, сильное сквозное шифрование.
                  Вот только через уязвимости ПО, установленного на компьютере, думаю, относительно легко можно вытащить данные в обход защищенного канала (например, в статье упомянута гора дыр в Chrome). Но хомячки будут продолжать верить в свободный интернет и в то, что они защищены, конечно же. А спецслужбы картинно заламывать руки, умоляя шифрование запретить, ну да.

                    0
                    Все верно, но вы забыли об одном: обычные хомячки никому не сдались, а те, за кем охотится ФБР не вчера родились…
                      0

                      Нет, именно что хомячки и сдались. Дата саенс, машин лернинг, все дела. На самом деле если не все, то большинство людей примерно одинаковые.
                      Плюс к этому, ведь опасность может исходить не только от спецслужб (которым действительно, полагаю, нет дела до каждого в отдельности), но и от всеразличных кибергопников, которым вполне можете быть интересны лично вы (или к которым могут обратиться люди, которым вы интересны).

                      0

                      Ха-ха. После Сноудэна уже никто в свободный интернет не верит. А верить в то, что ты "защищен" можно. Для этого нужно всего лишь надежные методы шифрования, а не Telegram и пр. мессенеджеры.

                        0

                        Так была еще история с HeartBleed.
                        Но вообще-то хомячки во что угодно будут верить, если им это подать через мемчики и смехуечки.

                      0
                      исследователи каждый месяц приносят ворох новых дыр. В этот раз их 36

                      Это обошлось папаше Брину в лишних 38 тысяч долларов, что для компании копейки, а для исследователей неплохой приработок

                      Мне кажется, 1000 баксов в развитых странах- не сильно много.
                        0

                        Цру бы за каждый столько отвалило. Лажает гугол.

                          0

                          Вы уверены, что если им не выделяют деньги на разработку, то выделяют на покупку разработок? =)

                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Главное для бесконечности процесса, чтобы новые дыры создавались
                          • НЛО прилетело и опубликовало эту надпись здесь
                          0

                          Уже не 38, а 36, и Nexus среди них больше нет — см. примечание в конце оригинальной статьи.

                            0
                            > Проблема действительно серьезная: если верить Коми, с октября по декабрь 2016 года ФБР покопалось в 2800 мобильных устройствах, и не смогло взломать 1200 из них.

                            Да кто ему верить будет. Так он и признается, сколько на самом деле пытался взломать смартфонов, и насколько успешно работает его служба.
                              –1

                              … господин директор хочет, чтобы ИБ-сообщество не старалось так сильно, и агенты могли...


                              Тогда уже "гражданин директор" или "гражданин начальник". По контексту подходит лучше

                                0

                                и никого не заинтересовап список телефонов? половина — гнусмасы.

                                  0

                                  Android — это же Linux, там вирусов нет и быть не может, ага…
                                  Все руки не доходят сменить свой прыщефон (тоже гнус) на айфон.


                                  Реквестирую секьюрити-новостей про айфоны.

                                    0

                                    линуксовое ядро — линукслвым ядром, а джааа приложения другое.
                                    ну и там мудрености с памятью, штоп защитить работающие процессы.
                                    да на афонях те же приемы эксплойтов поди.
                                    а если иметь доступ к фтп, с котор прошивки берут, так… )

                                      0

                                      Смотрите-ка, пригорело у линуксоида :)


                                      Да у меня самого с ваших StageFright'ов и HeartBleed'ов горит, и сердце кровью обливается :D
                                      Кстати, приложения там ни при чем, дело в C/C++-коде.


                                      Да меня приемы-то не интересуют, они везде одинаковые, меня интересуют конкретные дыры такого же масштаба.

                                        0

                                        ну так никто и не утверждает, что это дыры в андроид, и ьем более линукс (такшта с чего гореть то?)
                                        и модели там со стоком от ics

                                          0

                                          Конечно, это дыры в Андроид.
                                          Ведь эти библиотеки в него входят.
                                          И Андроид-устройства были подвержены уязвимостям.


                                          А уж часть чего компоненты, которые всему виной — это дело десятое, главное, что они часть прошивки девайса и создают проблемы.

                                            0

                                            еще раз:
                                            перечислены гнусмасы со стоковыми андоедами от ics до nougat.
                                            4 от 7 как небо и земля.
                                            для придания типа объективности разбавлены др брендами, опять таки произвольной выборки.
                                            заявлено, что типа малварь (хз какая) якобы предустановлена. кем и когда зашита в тело? молчок.
                                            это наброс.
                                            уязвимости понятно были есть, но ни о них речь.

                                      0

                                      а вообще больше похоже на наброс

                                      0
                                      Судя по скорости клепания новых моделей Samsung, половина всех моделей телефонов действительно являются гнусмасами.
                                        0

                                        нк… я бы свой негнусмас на sgs7 обменял бы.

                                          0
                                          А я своему SGS2 батарею с корпусом новые заказал, буду и дальше с ним ходить, пока плата не помрёт. А то сейчас или лопаты, или тормоза, или китай галимый, а к своему устройству я уже привык и настроил каждую мелочь под себя. Ну, почти каждую.
                                            0

                                            ну за китай это вы зря.
                                            у мну) номтом он же дуджи т6 я доволен как слон) вот что производитель подосрал — скомпилял 32ядро на 64 х камень и не дал исходников. а я тела делаю, м за год поменял уже штук 10, не считая тех, что пользовал 2-3 дня

                                              0
                                              вот что производитель подосрал

                                              И так всегда.
                                                0

                                                ну, всегда ге всегда, но походу есть какие то мотивы, явно не тождественные самсунгу.
                                                походу штоп не срамиться.

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое