Security Week 48: гигантская утечка данных и уязвимость в Whatsapp

    22 ноября эксперты компании DataViper Винни Тройя и Боб Дьяченко сообщили об обнаружении крупной (мягко говоря) базы данных, содержащей персональные данные о более чем миллиарде человек (новость, оригинальный отчет). Сервер Elasticsearch был доступен без авторизации, всего там хранилось более 4 терабайт данных. Судя по отметкам в записях, источником информации стали две компании, профессионально занимающиеся сбором и аккумуляцией персональных данных. Наиболее крупная база предположительно была собрана компанией People Data Labs: на открытом сервере содержалось 3 миллиарда ее записей (с повторами), включая более 650 миллионов адресов электронной почты.



    Но почтой дело не ограничивается. Исследователи сравнили данные из базы People Data Labs с информацией на незащищенном сервере, поискав там записи о себе. Получили почти полное совпадение: данные соцсетей, известные почтовые адреса, номера телефонов (включая номер, который нигде не использовался, и о его принадлежности конкретному человеку могло быть известно только оператору связи). А также адрес проживания с точностью до города и координат. Кому принадлежал открытый сервер — непонятно, он хостился на облачной платформе Google, которая информацию о клиентах не раскрывает. Не исключено, что владелец сервера вообще является каким-то третьим лицом, которое законно или не очень получило доступ к информации.

    Понятно, что агрегаторы персональных данных в такой утечке не заинтересованы — они зарабатывают на продаже информации. Случайная утечка на стороне такой компании также маловероятна, так как на одном сервере хранились базы компаний-конкурентов. Конечно, это не базы паролей (которые утекали миллионами записей в прошлом), прямой ущерб они не наносят. Но могут облегчить труд киберпреступников, занимающихся социальной инженерией. Надо не забывать, что большая часть этой информации передается нами добровольно — в профилях LinkedIn, записях в Facebook и так далее. Где-то на почти каждого активного пользователя сети хранится очень подробное личное дело, постоянно пополняемое новыми данными. Утечка позволяет оценить масштаб: только две частные компании, скорее всего, не связанные с государством, агрегирующие информацию из открытых источников, владеют данными на примерно 15% населения Земли.


    Компания Facebook сообщила о закрытии серьезной уязвимости в мессенджере Whatsapp (новость, официальный бюллетень). При обработке метаданных видеофайла в формате MP4 можно вызвать переполнение буфера, что приводит к падению приложения или выполнению произвольного кода. Задействовать уязвимость просто: достаточно знать номер жертвы и отправить ей подготовленный видеофайл. Если в приложении включена автоматическая загрузка контента, никаких дополнительных действий от пользователя не потребуется (вывод: лучше автоматическую загрузку отключить).

    Уязвимость похожа на другую проблему в Whatsapp, обнаруженную и закрытую в мае этого года. В том случае переполнение буфера вызывалось в модуле для VOIP-связи, и эксплуатация была проще — даже отправлять ничего не надо, достаточно инициировать «неправильный» звонок. Последствия от майской уязвимости были серьезнее, она достоверно использовалась в реальных атаках и распространялась компаниями, продающими эксплойты спецслужбам. И майскую уязвимость, и свежую прокомментировал создатель конкурирующего мессенджера Telegram Павел Дуров. Его аргумент, если коротко: в Telegram таких масштабных уязвимостей не было, а в Whatsapp есть, поэтому он небезопасен. Дурова можно понять, но не факт, что стоит делать далекоидущие выводы о безопасности кода по закрываемым уязвимостям. Можно делать выводы по реальным атакам, но и тут многое зависит от базы популярности софта или сервиса.

    Что еще произошло


    Эксперты «Лаборатории Касперского» делятся прогнозами по развитию сложных кибератак на 2020 год. Все чаще крупные кибероперации проводятся под «ложным флагом»: в код и серверную часть добавляются «улики», приводящие к неверной атрибуции кампании. Атаки с помощью троянов-вымогателей становятся целевыми, а объем «ковровых бомбардировок» падает. Определяют жертв, точно способных заплатить, и целенаправленно атакуют именно их. Прогнозируется рост атак с помощью IoT-устройств — как посредством взлома установленных девайсов, так и путем внедрения троянских IoT-коней в сеть жертвы.

    Google поднимает сумму вознаграждения за обнаружение уязвимостей в чипе безопасности Titan M до полутора миллионов долларов. Titan M используется в новейших смартфонах серии Pixel (начиная с Pixel 3) и обеспечивает безопасный доступ к наиболее ценным данным, например при совершении платежей. Максимальная выплата предусмотрена за нахождение уязвимости, позволяющей обойти системы безопасности удаленно.


    На видео выше — любопытный пример эскалации привилегий через недоработку в механизме User Account Control. Скачиваем подписанный Microsoft бинарник, пытаемся запустить с правами администратора, получаем окно ввода пароля, кликаем на ссылку в свойствах сертификата, открываем браузер с системными привилегиями. Уязвимость в Windows 7, 8 и 10 закрыта 12 ноября.

    В компании Check Point посмотрели на уязвимости в распространенном открытом ПО, которое встраивается в популярные Android-приложения. Нашли непропатченные библиотеки в составе аппов Facebook, WeChat и AliExpress. В Facebook прокомментировали, что наличие уязвимости в коде еще не гарантирует ее эксплуатации: проблемный код может просто не задействоваться.

    Сайт криптовалюты Monero был взломан и 18 ноября полдня раздавал модифицированные дистрибутивы с функцией кражи денег из кошельков пользователей.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 9

      +2

      Почему плеер мп4 не находится в отдельной песочнице? Все эти форматы аудио, видео и прочего это большой зоопарк уязвимостей.

        0
        Каждое приложение на Андроид уже находится в своей песочнице. Ещё и по частям приложения дробить?
        Лучше бы подумали бы над тем, как переписать обработчик и плеер mp3/4 на нормальном языке, который не будет бояться переполнения буфера или use after free, например Rust.
          0

          А в чем проблема дробить по частям? Вы представляете сколько разных кодеков разной свежести и сколько это работы все переписывать? А так компонент image/video view какой то который будет запускать песочницу и забирать оттуда картинку. Это уже же далеко не первая уязвимость, такого рода.


          Да и сможет ли раст код быть такой же эффективный, мне всегда интересовало насколько хорошо можно выкидывать проверку на индексы из кода сложнее чем for x in vec. Это как раз актуально для всяких парсеров, которые подвержены атакам через некорректный ввод.


          К том же ватсапп и так иммеет доступ в андроиде почти ко всему: камера, микрофон, связь, файлы.

            0
            А в чем проблема дробить по частям?
            Ну если это так легко, то ждём ваших пуллреквестов в Андроид :)
            Да и сможет ли раст код быть такой же эффективный, мне всегда интересовало насколько хорошо можно выкидывать проверку на индексы из кода сложнее чем for x in vec. Это как раз актуально для всяких парсеров, которые подвержены атакам через некорректный ввод.
            Да, у него эффективность на уровне C/C++, иногда даже превосходит.
            К том же ватсапп и так иммеет доступ в андроиде почти ко всему: камера, микрофон, связь, файлы.
            Вот-вот, легче просто его не устанавливать.
              0
              Ну если это так легко, то ждём ваших пуллреквестов в Андроид :)

              Непременно сделаю сразу после того как вы перепишите все проекты на раст :)


              Вот-вот, легче просто его не устанавливать.

              А что предлагаете взамен — смс-ки? Так там секьюрности еще меньше чем в мессенджерах. Просто есть подозрения что эта мп4 либа еще где то задействована была или это разработка фейсбук?

                0
                А что предлагаете взамен — смс-ки?
                Пока что Телеграм, но надо бы найти/написать какой-нибудь федеративный мессенджер.
                  +1

                  Точно, как я не догадался по аватарке :-)
                  Но чем оно лучше в данном контексте?

                    0
                    До сих пор не замечена в сборе и продаже данных пользователей. Уже лучше.
                      +1

                      Но в контексте уязвимостей это не спасает.


                      Кстати всегда было интересно за счет чего они живут? Прошлые накопления Дурова?

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое