22 ноября эксперты компании DataViper Винни Тройя и Боб Дьяченко сообщили об обнаружении крупной (мягко говоря) базы данных, содержащей персональные данные о более чем миллиарде человек (новость, оригинальный отчет). Сервер Elasticsearch был доступен без авторизации, всего там хранилось более 4 терабайт данных. Судя по отметкам в записях, источником информации стали две компании, профессионально занимающиеся сбором и аккумуляцией персональных данных. Наиболее крупная база предположительно была собрана компанией People Data Labs: на открытом сервере содержалось 3 миллиарда ее записей (с повторами), включая более 650 миллионов адресов электронной почты.



Но почтой дело не ограничивается. Исследователи сравнили данные из базы People Data Labs с информацией на незащищенном сервере, поискав там записи о себе. Получили почти полное совпадение: данные соцсетей, известные почтовые адреса, номера телефонов (включая номер, который нигде не использовался, и о его принадлежности конкретному человеку могло быть известно только оператору связи). А также адрес проживания с точностью до города и координат. Кому принадлежал открытый сервер — непонятно, он хостился на облачной платформе Google, которая информацию о клиентах не раскрывает. Не исключено, что владелец сервера вообще является каким-то третьим лицом, которое законно или не очень получило доступ к информации.

В прошлом году у нас уже был дайджест про нетривиальные атаки. Тогда речь шла про DoS-атаку на ПК через акустическое воздействие на жесткий диск и кражу пользовательских данных через хак со стилями CSS. А на прошлой неделе как раз было опубликовано два исследования про уязвимости в тех местах, где их никто особо и не ждет. Правда, в этот раз новости более рутинные: в винчестер жужжать больше пока никто не пробовал. Но тем не менее.

Начнем с относительно простой уязвимости в операционной системе Mac OS X, которую обнаружил (новость, исследование) Боб Гендлер (Bob Gendler). Изучая методы работы голосового помощника Siri на традиционных ПК Apple, Боб обнаружил в системных файлах базу данных с собственными почтовыми сообщениями.


Отдельная база в файле snippets.db используется процессом com.apple.suggestd. Он отвечает за то, чтобы в результатах при локальном поиске (традиционном или «Siri, покажи сообщения от начальства») появлялись не только файлы и программы, но и подходящие по смыслу почтовые сообщения. По сути там дублируется часть почтовой базы из программы Apple Mail. И это вполне нормально, за исключением единственного момента: Боб шифрует переписку, а в snippets.db эти же сообщения хранятся открытым текстом.

Про взлом умных колонок на расстоянии с использованием лазера на прошлой неделе написали почти все СМИ (новость, сайт проекта, научное исследование, пост на Хабре). Тема и правда привлекательная: такой хак в стиле фильмов про Джеймса Бонда. Исследователи из университетов США и Японии показали, как можно передавать голосовые команды на умную колонку на расстоянии до 110 метров (можно и больше, но это не проверялось) направленным лучом лазера. В исследовании проверялись умные колонки Google Home и Amazon Echo, но «уязвимости» на самом деле подвержены любые устройства, способные распознавать голосовые команды и оснащенные высокочувствительными MEMS-микрофонами.


Это все, конечно, очень здорово, но не надо забывать про один важный момент: никто на практике не будет светить лазером в микрофон. Равно как никто не будет считывать изображение с экрана монитора, анализируя излучение его блока питания. Исследование еще раз показало, что у голосовых помощников есть фундаментальная уязвимость по части авторизации владельца, а также что атаку можно проводить на приличном расстоянии. Чем дальше, тем больше мы будем зависеть от точности распознавания окружающего мира компьютерами. Человеческой речью эта проблема не ограничивается, а для безопасности куда большую роль играет способность машины точно идентифицировать знак ограничения скорости или разметку на асфальте.

Компания Google выпустила апдейт браузера Chrome 31 октября, в котором были закрыты две серьезные уязвимости. Одна из них (CVE-2019-13720) использовалась в реальных атаках и была обнаружена (новость, исследование) специалистами «Лаборатории Касперского». Уязвимость (CVE-2019-13720) типа use-after-free позволяет выполнять произвольный код на системах с 64-разрядной Windows и браузером Chrome версий 76 и 77.


Проблема была обнаружена с помощью системы Automatic Exploit Prevention, входящей в состав защитных решений «Лаборатории Касперского» и направленной на выявление ранее неизвестных атак. Вредоносный код Javascript, запускающий атаку, был внедрен на новостной веб-сайт на корейском языке. Исследователи назвали эту кампанию Operation WizardOpium, и пока нет признаков, позволяющих объединить эту вредоносную активность с другими киберкриминальными операциями. В коде эксплойта содержатся намеки на более широкомасштабную операцию, которая использует другие уязвимости в распространенном ПО.

На прошлой неделе широко обсуждался взлом VPN-провайдера NordVPN, а также пары других подобных сервисов (в частности, упоминался TorGuard). Источником информации стал Твиттер, сообщения оттуда затем были подхвачены СМИ (Techcrunch, Хабр). NordVPN и TorGuard по следам этих статей опубликовали опровержения: в обоих случаях имела место утечка приватного ключа (в одном случае — в 2018 году, в другом ключ был украден еще в 2017-м). Что это был за ключ и какие последствия такая утечка имеет (или имела в прошлом) для пользователей — тут мнения разошлись. Факты, обнародованные NordVPN, говорят о том, что скомпрометирован был единственный из сотен серверов компании, и утечка ключа не подвергала риску даже тех клиентов, которые подключались через взломанный сервер к сети.

Ситуация осложняется, скажем так, довольно агрессивным маркетингом VPN-сервисов с акцентом на безопасность пользовательских данных. Поэтому и для VPN-провайдеров подобные новости крайне чувствительны, и в соцсетях они обсуждаются с излишним градусом драмы. В отдельном сообщении NordVPN о мерах по улучшению защищенности сервиса сделан правильный вывод: стопроцентного иммунитета от взлома не бывает. Это относится как к самим провайдерам VPN, так и к пользователям. И дело тут не в том, какой именно вариант VPN используется: коммерческий, бесплатный или свой собственный сервер с преферансом и поэтессами.

«Лаборатория Касперского» выпустила новое исследование атак на IoT-устройства, в котором достаточно подробно описаны как методы сбора информации о подобных атаках, так и результаты. Статистика собирается с так называемых «ханипотов — устройств, которые с разной степенью достоверности изображают для атакующих настоящий роутер, IP-камеру или что-то еще. Основные цифры исследования приведены в этой новости: в среднем на каждый ханипот производилось 20 тысяч атак каждые 15 минут. Всего за первую половину 2019 года было зафиксировано 105 миллионов атак только по протоколу Telnet, но исходила вредоносная активность всего с 276 тысяч IP-адресов.



Чаще всего атаки инициировались с хостов, расположенных в Китае, Бразилии, а также в Египте и России. Количество уникальных IP-адресов по сравнению с прошлым годом снизилось, при этом интенсивность атак выросла: некоторые зараженные устройства настраиваются так, что постоянно отправляют запросы, пытаясь расширить сеть зомби-IoT. Под атаками в исследовании понимаются как сложные попытки взлома с применением эксплойтов, так и примитивный перебор паролей.

Уязвимости в ПО низкого уровня, которое запускается до загрузки операционной системы, бывают не только в «айфонах». На прошлой неделе были закрыты уязвимости в прошивках двух популярных устройств — в игровой и медиаприставке Nvidia Shield TV и в компьютерах семейства Intel NUC. Две уязвимости в Intel NUC (рейтинг CVSS 7.5, подробнее на сайте вендора) обеспечивают повышение привилегий. Обе проблемы — локальные, то есть для их эксплуатации требуется физический доступ к устройству (и права пользователя в системе). Они затрагивают компьютеры Intel восьмого поколения.


В Nvidia Shield две проблемы были обнаружены в загрузчике (бюллетень производителя). В одном случае возможна эксплуатация с выполнением произвольного кода. Вторая уязвимость позволяет подменить загрузочный образ, получив таким образом полный контроль над устройством. Обе уязвимости закрыты в прошивке для Shield версии 8.0.1.

На прошлой неделе получила развитие история про атаки на уязвимый софт в SIM-картах. Обнаруженная ранее активно эксплуатируемая атака SimJacker оказалась не единственной. Исследователи из компании Ginno Security сообщили о похожей проблеме в компоненте Wireless Internet Browser (новость, пост в блоге компании). Хотя уязвимость в WIB сложнее в эксплуатации, чем проблема в S@T Browser, метод похож: присылаем подготовленную SMS, которая без ведома владельца позволяет совершить звонок, отправить сообщение или получить IMEI телефона.

Первый репорт об уязвимости в S@T Browser вообще выглядел довольно странно: о проблеме сообщает единственная компания, потенциальный ущерб оценить сложно, а оценка количества подверженных устройств выглядит преувеличенной: сотни миллионов. Поэтому в исследовании Ginno Security важна даже не сама уязвимость, а подтверждение актуальности проблемы из второго источника. Впрочем, еще один эксперт по безопасности мобильной связи, Карстен Нол, считает, что атаки такого плана слишком сложны для массовой эксплуатации: проще клонировать SIM-карту методами социальной инженерии или воспользоваться уязвимостями протокола SS7, по которому взаимодействуют между собой операторы.

В зависимости от ваших предпочтений к этой новости можно подобрать один из двух заголовков. Либо «серьезная уязвимость обнаружена в мобильных устройствах Apple вплоть до iPhone X», либо «наконец-то придумали новый способ для джейлбрейка iДевайсов (но это не точно)». Насчет джейлбрейка пока и правда не ясно (хотя с большой вероятностью новые способы взлома айфонов появятся), а вот уязвимость, похоже, реальна. Хакер, известный как axi0mX, выложил в свободный доступ эксплойт для бага в BootRom ряда мобильных устройств Apple. Деталей об уязвимости пока немного, известно только, что эксплуатируется некое race condition. Но самое важное, что уязвимость впервые за долгое время найдена в коде, который используется для первоначальной загрузки устройства и хранится в ПЗУ, то есть к ней еще и нельзя выпустить патч.

Эксплойт, названный checkm8 (читается как checkmate, «шах и мат»), сам по себе ни на что не способен: он лишь позволяет выполнить произвольный код в процессе загрузки телефона. Что этот код будет делать дальше — большой вопрос, так как BootRom хоть и важный, но не единственный механизм защиты мобильных устройств Apple. Точно известно, что напрямую получить доступ к личным данным пользователя не получится — систему Secure Enclave эксплойт не обходит. В общем, это плохая новость, хорошая новость, плохая новость. Плохая новость: баг есть там, где его нельзя починить. Хорошая новость: данные пользователей, скорее всего, в безопасности. Плохая новость: комбинация этой уязвимости с другими теоретически может дать большие возможности как мирным исследователям безопасности iOS, так и злоумышленникам.

На прошлой неделе специалист по безопасности Авинаш Джайн обнаружил (новость, оригинальный блогпост) в общем доступе сотни пользовательских календарей в сервисе Google Calendar. Такие календари индексируются поисковыми сервисами, и в самом Гугле доступны по простому запросу типа inurl:https://calendar.google.com/calendar?cid=.

Информация о встречах, конференц-звонках и важных переговорах оказалась публичной из-за элементарной ошибки пользователей в настройках календаря: вместо того чтобы делиться данными с конкретными пользователями, они делали календарь доступным для всех. В Google прокомментировали историю, заявив, что они не при чем, а действия пользователей — добровольные. Однако через неделю большинство результатов из поиска все же исчезли.

Далеко не первый раз при обсуждении подобных проблем происходят попытки найти крайнего: то ли разработчики интерфейса вводят пользователей в заблуждение, то ли сами пользователи не ведают, что творят. А дело вовсе не в том, кто виноват, а в том, что даже простые ошибки при защите данных нужно исправлять. Хотя они и не так интересны, как сложносочиненные уязвимости. За прошедшую неделю накопилось сразу несколько примеров элементарных просчетов: в менеджере паролей LastPass, в локскрине iPhone (опять!), а также в магазине расширений Google Chrome, допускающем появление вредоносных блокировщиков рекламы.

Когда мы говорим об уязвимостях в мобильных устройствах, речь идет обычно о проблемах в Android или iOS. Но не стоит забывать о радиомодуле и SIM-карте, которые являются по сути отдельными вычислительными устройствами со своим софтом и большими привилегиями. Последние пять лет широко обсуждаются уязвимости в протоколе SS7, используемом для взаимодействия между операторами связи и построенном на принципе доверия участников друг к другу. Уязвимости в SS7 позволяют, например, отслеживать местоположение абонента или перехватывать SMS с одноразовыми кодами авторизации.

Но SS7 требует специализированного оборудования или компрометации оператора связи. Специалисты компании AdaptiveMobile Security обнаружили (новость, подробное описание) активную атаку на мобильные телефоны и IoT-устройства, для которой требуется только GSM-модем. Атака эксплуатирует уязвимость в SIM Toolkit — наборе расширений функциональности обычной SIM-карты. С помощью одного из компонентов SIM Toolkit, известной как S@T Browser, можно получать координаты абонента и IMEI устройства, зная только его телефонный номер.

Уязвимости в iOS мы обсудили на прошлой неделе, пришла очередь уязвимостей в Android. Четвертого сентября информацию о проблеме в Android опубликовали исследователи из Zero Day Initiative (новость, бюллетень), причем на момент публикации она так и не была закрыта. В выпущенном днем ранее наборе патчей для Android исправлены две критические ошибки в Media Framework, а вот эта проблема в драйвере Video4Linux 2 по-прежнему актуальна.

Поэтому и деталей раскрыто немного. В ZDI оценивают уязвимость в 7,8 баллов по методике CVSS. Суть проблемы заключается в отсутствии проверки драйвером существования объекта перед тем, как проводить операции над ним. Баг для эксплуатации требует локального доступа к системе. Иными словами, приложение с вредоносным кодом и низкими привилегиями может получить полный доступ к смартфону, но это приложение нужно еще как-то установить.

Сообщение об уязвимости представители Google пока не прокомментировали. По данным ZDI, разработчик Android получил информацию о проблеме еще в марте этого года, в июне сообщил, что ведется работа над патчем, но на последующие запросы о дате выпуска заплатки не отвечал. Оценка вендора все же важна: так, компания Apple на прошлой неделе отреагировала на исследование Google об уязвимостях в iOS заявлением, в котором подтвердила существование вредоносной кампании, но опровергла утверждения о длительности атаки. По версии Apple, кампания длилась два месяца, а не два года.

Главная новость прошлой недели — масштабное исследование реальной атаки на устройства на базе iOS, опубликованное экспертом Яном Бером из команды Google Project Zero (новость, блогпост Яна со ссылками на семь дополнительных публикаций). Это редкий пример исследования, в котором в подробностях описывается не только процесс взлома iPhone, но и результаты работы устанавливаемого импланта.

В исследовании не раскрывается цель атакующих, и тут есть некоторые странности. Эксплойты заражали устройства на iOS без дополнительных действий пользователя, достаточно было посетить взломанный веб-сайт. При этом заражались все посетители сайта, что в контексте цены работающего эксплойта для устройств Apple, мягко говоря, недальновидно. Несмотря на то, что зараженные сайты посещали «тысячи пользователей каждую неделю», эта конкретная кампания продолжалась как минимум два года, меняя методы атаки по мере выхода новых версий iOS.

Прошедшая неделя отметилась как минимум двумя громкими событиями в сфере инфобезопасности. Впервые за долгое время для актуальных моделей Apple iPhone со свежей прошивкой iOS 12.4 доступен джейлбрейк (новость, пост на хабре). Джейлбрейк эксплуатирует уязвимость, которую закрыли в iOS 12.3, но, видимо, по ошибке снова «открыли» в свежей версии 12.4.

Вышла версия видеоплеера VLC 3.0.8, в которой закрыты несколько серьезных уязвимостей (новость), в том числе обеспечивающих выполнение произвольного кода при открытии подготовленного файла .MKV. Примечательно, что в конце июля уже сообщалось о серьезных уязвимостях, также связанных с обработкой MKV, но те проблемы в итоге оказались плодом воображения исследователя и странной конфигурации его компьютера. Зато свежие уязвимости — настоящие.

Но поговорим мы сегодня не об этом, а про пароли. Google подвел первые итоги использования расширения Password Checkup для браузера Chrome и поделился (новость, оригинальный блогпост) интересной статистикой: только четверть паролей меняется на новые, даже если пользователь извещен об утечке. А заодно рассмотрим новые попытки спамеров прорваться к пользователю, на этот раз через Google Drive.

13 августа компания Microsoft выпустила очередной апдейт безопасности (обзорная новость) для операционных систем Windows и офисных программ, и на этот раз патч оказался по-настоящему гигантским: кому-то явно не удалось сходить этим летом в отпуск. Всего было закрыто 93 уязвимости, из которых 23 квалифицированы как критические. Закрыты серьезные баги в Remote Desktop Services, в клиенте DHCP, в обработчике .LNK-файлов, две уязвимости в Hyper-V с побегом из песочницы.

Столь монументальная работа над ошибками — это очень хорошая новость. Помимо прочего, несколько уязвимостей интересны сами по себе, а еще у одной интересная история обнаружения. Помимо уже упомянутых проблем в Remote Desktop Services, сегодня мы подробнее рассмотрим уязвимость в сервисе MSCTF. Исследователь Тавис Орманди из Google Project Zero, обнаруживший последнюю, утверждает, что проблема существует уже 20 лет. Ну и заодно оценим уязвимость в Bluetooth, которая затрагивает не только Windows.

На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для которых поиск слабых мест в железе и софте остается в первую очередь искусством, и только после этого — способом заработка на жизнь. В дайджесте по мотивам этих двух конференций в прошлом году мы рассказывали про уязвимость в устаревших процессорах VIA C3, атаки типа supply chain на компьютеры Apple и про взлом ненужного Wi-Fi SD-адаптера.

В этом году на повестке дня были атаки на принтеры, офисные телефоны и детские планшеты, половинчатый обход системы распознавания лиц Apple FaceID и (кто бы мог подумать) вымогатель-шифровальщик в фотокамере Canon. Плюс два, скажем так, арт-проекта: кабели для iPhone с бэкдором и читерство на умном велотренажере. Наконец, интересное исследование про использование GDPR для кражи личной информации другого человека. Подождите, но GDPR — это законодательство, направленное на защиту персональных данных? Вот, мы тоже так думали.

22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройства без вмешательства пользователя. Теоретически возможна и запись произвольной информации, но реальный масштаб потенциального ущерба для владельцев уязвимых смартфонов и планшетов пока до конца не изучен.

Информации по другим уязвимостям пока немного, известно лишь, что одна из них (CVE-2019-8647) может вызвать падение модуля SpringBoard, отвечающего за отрисовку домашнего экрана устройств на базе iOS.

Сильванович выложила Proof of Concept для CVE-2019-8646, реализующий типичный сценарий эксплуатации: подготовленное сообщение в iMessage, при обработке которого на сервер злоумышленника отправляются данные, которые не должны туда отправляться. Посмотрим на эту уязвимость более внимательно и заодно поговорим о человеческом факторе в обработке голосовых сообщений для Siri и других голосовых помощников.

На прошлой неделе широко обсуждалась (новость) серьезная уязвимость в популярном медиаплеере VLC. Информация о проблеме была добавлена в реестр немецкого центра реагирования на угрозы CERT Bund и в американскую базу National Vulnerability Database. Изначально уязвимость CVE-2019-13615 получила рейтинг 9,8, то есть классифицировалась как максимально опасная.

Проблема связана с ошибкой чтения за границами буфера в куче, которая может возникнуть при воспроизведении видеоролика. Если объяснять более человеческими словами, можно отправить жертве подготовленный файл .mkv и получить контроль над системой через выполнение произвольного кода. Такая новость является хорошим поводом поговорить о проблемах в софте, который вроде бы не несет серьезных рисков для вашего компьютера. Но не в этот раз: судя по всему, исследователь, сообщивший об уязвимости, ошибся и приписал свежей версии VLC проблему, существовавшую исключительно в его Linux-дистрибутиве. Поэтому сегодняшний пост посвящается взаимонепониманию и сенсационным заголовкам.

12 июля в прессе появились пока не подтвержденные официально сообщения о том, что Facebook пошел на соглашение с Федеральной Торговой Комиссией США по поводу утечки пользовательской информации. Основной темой расследования FTC стали действия компании Cambridge Analytica, еще в 2015 году получившей данные десятков миллионов пользователей Facebook. Facebook обвиняется в недостаточной защите приватности пользователей, и если сообщения подтвердятся, соцсеть заплатит американской госкомиссии крупнейший в истории штраф в размере 5 миллиардов долларов.

Скандал с Facebook и Cambridge Analytica — первый, но далеко не последний пример обсуждения технических проблем совершенно нетехническими методами. В этом дайджесте мы рассмотрим несколько свежих примеров таких дискуссий. Конкретнее — как вопросы приватности пользователей обсуждаются без оглядки на конкретные особенности работы сетевых сервисов.

На прошлой неделе исследователь Джонатан Лейтсач опубликовал весьма эмоциональный пост об уязвимостях в клиенте для веб-конференций Zoom для операционной системы macOS. В данном случае не совсем понятно, была ли уязвимость непреднамеренным багом или заранее спланированной фичей. Попробуем разобраться, но если коротко, выходит так: если у вас установлен клиент Zoom, злоумышленник может подключить вас к своей телеконференции без спроса, более того — он может активировать веб-камеру, не спрашивая дополнительных разрешений.

Тот момент, когда вместо поиска пропатченной версии кто-то решит просто удалить клиент из системы. Но в данном случае это не поможет: вместе с клиентом устанавливается веб-сервер, который работает даже после деинсталляции — он даже способен «вернуть» клиентское ПО на место. В опасности, таким образом, оказались даже те, кто когда-то пользовался сервисами Zoom, но потом перестал. К ним на помощь пришла компания Apple, без особых фанфар удалившая веб-сервер апдейтом для ОС. Эта история — настоящая infosec-драма, в которой пользователям остается только наблюдать, как на их компьютерах появляется и исчезает разнообразный софт.