Тысячи Android-приложений содержат мастер-пароли,секретные ключи и команды
7.04.20
Сводная группа исследователей из Университета штата Огайо, Нью-Йоркского университета и Центра информационной безопасности CISPA Helmholtz провела масштабное исследование, изучив в общей сложности более 150 000 приложений. В том числе из Google Play (100 000 лучших приложений из магазина), приложения из альтернативных источников (20 000 приложений), и предустановленные на устройствах приложения (примерно 30 000 приложений, извлеченных из прошивок смартфонов Samsung).
Для проведения анализа эксперты создали специальный инструмент, получивший название INPUTSCOPE. Он предназначен для анализа контекста выполнения валидации user input, а также контента...
Zoom отправлял ключи шифрования на серверы в Китае
6.04.20
По китайским законам, власти могут требовать от Zoom ключи шифрования разговоров пользователей.
В связи с карантином, введенным из-за пандемии коронавируса, возросла популярность платформ для конференцсвязи, в частности Zoom. Поэтому сервис попал под пристальное внимание экспертов по кибербезопасности.
Как недавно стало известно , используемое разработчиками Zoom толкование термина «сквозное шифрование» («end-to-end encryption») отличается от общепринятого. Под «сквозным шифрованием» эксперты в области кибербезопасности понимают шифрование передаваемых данных таким образом, чтобы доступ к ним был только у отправителя и получателя. При таком шифровании доступа к коммуникациям...
Результаты анализа бэкдоров в приложениях для Android
5.04.20
Исследователи Центра Гельмгольца по информационной безопасности (CISPA), Университета штата Огайо и Нью-Йоркского университета провели исследование скрытой функциональности в приложениях для платформы Android. Анализ 100 тысяч мобильных приложений из каталога Google Play, 20 тысяч из альтернативных каталогов и 30 тысяч предустанавливаемых на различные смартфоны приложений показал, что 12706 (8.5%) программ содержат скрытую от пользователя, но активируемую при помощи специальных последовательностей функциональность, которую можно отнести к бэкдорам.
В частности 7584 приложений включали встроенные секретные ключи доступа, 501 - встроенные мастер-пароли и 6013 - скрытые...
Великий египетский фаерволл
4.04.20
В мире бушует пандемия, народ скупает туалетную бумагу и гречку в промышленных масштабах, а ИТ компании в большинстве своем переводят сотрудников на удаленку. Так поступил и мой работодатель — немецкая полугосударственная контора.
В основном проблем не возникло, но одна из наших сотрудниц с месяц назад, когда все выглядело еще не так страшно, поехала в отпуск к родне в Египет и благополучно застряла там из-за закрытия границ. Ну, сама-то здорова, рабочий ноут с ней — сидит себе на карантине и работает через VPN. Неделю работает, две… На третью неделю VPN перестал подключаться. Саппорт первой линии проверил банальности навроде перезагрузки — не помогло. Вторая линия стала диагностировать: соединение...
Китай создает новый протокол на замену TCP/IP. Он уничтожит интернет, каким мы его знаем
31.03.2020
Huawei вместе с китайскими властями ведет разработку нового интернет-протокола New IP на замену TCP/IP. Он позволит деанонимизировать каждого пользователя без исключения и даст возможность моментально блокировать неугодные ресурсы или запрещать определенным людям доступ в интернет.
Экспансия «Великого китайского фаервола»
Китай разрабатывает новый интернет-протокол передачи данных на замену стандартному TCP/IP, открывающий новые возможности контроля и слежки за пользователями. Он получил название New IP, и, по словам его авторов, он «лучше соответствует актуальному состоянию интернета».
TCP/IP – базовый протокол современного...
Для 0-day уязвимостей в Windows появились временные патчи
30.03.20
На прошлой неделе в составе Adobe Type Manager Library (atmfd.dll) были обнаружены сразу две 0-day уязвимости, которые уже находятся под атаками хакеров. Данная библиотека используется, в частности, для рендера шрифтов PostScript Type 1 в Windows.
Согласно предупреждению Microsoft, обе уязвимости позволяют удаленно выполнить произвольный код, то есть злоумышленники могут запустить в системе жертвы свой код и предпринимать различные действия от лица пользователя. Атакующий может добиться эксплуатации уязвимости по-разному, например, может убедить пользователя открыть специально созданный документ или просмотреть его на панели Windows Preview.
Перед проблемами уязвимы...
Опубликован способ обхода PPL для внедрения шелл-кода
28.03.20
Исследователь представил атаку DLL injection с помощью Zemana AntiMalware.
Исследователь безопасности под псевдонимом Mumbai опубликовал эксплоит для уязвимости в решении безопасности Zemana AntiMalware. Атака представляет собой рефлексивную/отраженную DLL-инъекцию (Reflective DLL injection), позволяющую с помощью Zemana AntiMalware открыть привилегированный идентификатор потока процесса PP/PPL и внедрить шелл-код MiniDumpWriteDump().
«Уязвимость, которую я проэксплуатировал, раскрыл @Dark_Puzzle, обнаруживший привилегированную регистрацию с Zemana AntiMalware. Я только расширил это и использовал дополнительный IOCTL, для того чтобы открыть поток с FULL_ACCESS (но с...
Бэкдор распространяется под видом под видом фальшивого обновления для Chrome
27.03.20
Специалисты «Доктор Веб» предупредили, что через скомпрометированные сайты на базе WordPress распространяется фиктивное обновление для Chrome. Так, JavaScript-сценарий, встроенный в код взломанных страниц, перенаправляет посетителей на фишинговую страницу, где им предлагают установить важное обновление безопасности для браузера. Загружаемый файл представляет собой установщик малвари, который позволяет злоумышленникам удалено управлять зараженными компьютерами. На данный момент это «обновление» скачали более 2000 человек.
По данным исследователей, за этой кампанией стоит та же хак-группа, которая ранее была причастна к распространению поддельного...
ESET выявила новые методы самозащиты вредоносных программ от антивирусов
20.03.20
Компания ESET, специализирующаяся на решениях в области кибербезопасности, обнаружила продвинутый способ маскировки вредоносного программного обеспечения от антивирусных решений. Он был раскрыт в ходе анализа криптомайнера, распространяемого ботнетом хакерской группы Stantinko и отличался высокой сложностью обнаружения.
Согласно отчёту ESET, источником нового типа «скрытных» мошеннических приложений стал ботнет Stantinko, берущим под контроль заражённые компьютеры пользователей и активный преимущественно на территории России, Украины, Беларуси и Казахстана. Ключевой особенностью нового поколения вредоносного ПО стало использование обфускации для...
Snoop: новый вид атаки на процессоры Intel с далеко идущими последствиями
17.03.2020
Инженер компании Amazon Web Services (AWS) открыл новый способ атаки на процессоры Intel, который назвал Snoop (следить, подглядывать). Эта атака очень сложная для реализации, но она открывает новый класс уязвимостей для атак по сторонним каналам. Если по этому пути пойдут серьёзные исследователи, в процессорах Intel могут обнаружиться новые и неизвестные ранее опасные «дыры».
Инженер сервиса Amazon Web Services (AWS) Павел Вечоркевич (Pawel Wieczorkiewicz) обнаружил и сообщил компании Intel о новой уязвимости процессоров Xeon и Core. Уязвимость получила официальный идентификатор CVE-2020-0550. Атака с её использованием описана как «Выборка данных...
Малварь MonitorMinor следит за активностью в Gmail,WhatsApp,Instagram и Facebook
17.03.20
Эксперты «Лаборатории Касперского» изучили MonitorMinor — сталкерский продукт для Android. Эксперты пришли к выводу, что приложение по своим возможностям опережает существующее ПО этого класса.
Напомню, что термином stalkerware как правило обозначают коммерческое шпионское ПО, которое позиционируется как легальное. С его помощью можно получить доступ к личным данным, хранящимся на смартфонах и планшетах других пользователей. Такой софт, как правило, используется для тайного наблюдения за другими людьми, в том числе инициаторами домашнего насилия, и поэтому несет серьезные риски для тех, на чьих устройствах установлен.
Как правило, самая простая...
Новый Android-вымогатель маскируется под приложение для отслеживания распространения коронавируса
16.03.2020
В последние месяцы появилось множество приложений, так или иначе связанных с коронавирусом, опасным заболеванием, которое продолжает распространяться по всему миру. Многие из таких приложений несут дезинформацию и вводят в заблуждение, но есть и более опасные экземпляры. К примеру, недавно было выявлено Android-приложение, которое маскируется под инструмент отслеживания распространения коронавируса, но на деле является вымогательским ПО.
Специалисты исследовательской компании DomainTools, работающей в сфере информационной безопасности, сообщили об обнаружении опасного вымогателя CovidLock, который нацелен на пользователей...
В Open Source-проектах взрывной рост числа уязвимостей. На чем пишут самое «дырявое» ПО
15.03.2020
Количество уязвимостей в проектах с открытым исходным кодом всего за год увеличилось на 50%. Бреши присутствуют в ПО, написанном на самых разных языках, но чаще всего они находятся в проектах, созданных на C, PHP и Java.
«Дырявое» ПО
В программном обеспечении с открытым исходным кодом отмечен резкий рост количества уязвимостей. Всего за год их число увеличилось на 50%.
К такому выводу пришли специалисты компании WhiteSource Software, занимающейся, в том числе, разработкой одноименной системы управления лицензиями, рассчитанной в первую очередь на продукты с открытым исходным кодом. Проведя анализ рынка такого ПО, они выяснили, что в...
Чипы памяти DDR4 остаются уязвимы для атак RowHammer,не смотря на добавленную защиту
15.03.20
Группа исследователей из Амстердамского свободного университета, Швейцарской высшей технической школы Цюриха и компании Qualcomm провели исследование эффективности применяемой в современных чипах памяти DDR4 защиты от атак класса RowHammer, позволяющих изменить содержимое отдельных битов динамической оперативной памяти (DRAM). Результаты оказались неутешительными и чипы DDR4 основных производителей по-прежнему остаются уязвимы (CVE-2020-10255).
Уязвимость RowHammer позволяет исказить содержимое отдельных битов памяти путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая...
Роскомнадзор начал мониторинг поисковиков и VPN-сервисов
12.03.20
В пресс-службе Роскомнадзора объявили о запуске новой системы автоматического мониторинга поисковых систем, прокси- и VPN-сервисов, позволяющих получать доступ к заблокированным в России ресурсам. Однако пока не до конца ясно, как она будет использоваться.
Согласно официальному заявлению ведомства, в настоящее время система функционирует в режиме опытной эксплуатации. Она позволяет оперативно в установленные законом сроки проводить проверки поисковых систем и сервисов обхода блокировок (виртуальные частные сети, прокси-серверы, а также всевозможные анонимайзеры) на предмет ограничения доступа к заблокированным ресурсам. При этом данный инструмент не служит для...
Avast отключил JavaScript-движок антивируса из-за критической уязвимости
12.03.20
Компания Avast отключила один из основных компонентов своего антивирусного движка. Причиной послужила серьёзная уязвимость, позволяющая киберпреступникам проникнуть в системы пользователей.
Проблему безопасности обнаружил известный исследователь в области кибербезопасности из компании Google Тэвис Орманди.
По словам специалиста, брешь затрагивает движок JavaScript, который является внутренним компонентом антивируса Avast. Этот движок используется для анализа JavaScript-кода, чтобы защитить пользователей от вредоносов до того, как они отработают в браузерах и email-клиентах.
«Любая уязвимость в этом процессе будет расцениваться как критическая...
В Windows 10 нашли новую уязвимость SMBv3 и патча не ожидается
11.03.20
Во вторник стало известно, что в последних версиях системы Windows обнаружена новая уязвимость. Через неё могут быть выполнены атаки в стиле червей WannaCry и NotPetya, которые в своё время поразили корпоративные сети по всему миру.
Уязвимость располагается в протоколе Server Message Block 3.1.1, который используется для общего доступа к файлам, принтерам и другим ресурсам в локальных сетях и из интернета. Если задействовать эту уязвимость, можно выполнять произвольный код на серверах и компьютерах пользователей.
Описание уязвимости было опубликовано в бюллетене CVE-2020-0796. Она затрагивает версии Windows 10 и Windows Server 2019, при разработке которых...
Система защиты Android-устройств Google Play Protect провалила тест безопасности
11.03.20
Защитная система Google Play Protect для Android, которая должна беречь мобильные устройства от вредоносных программ, не прошла испытаний в немецкой лаборатории AV-Test. Системе не удалось заработать ни одного балла из шести возможных.
По результатам теста, приложение смогло обнаружить лишь 4000 из 6700 образцов вредоносного ПО.
На сегодняшний программа установлена на более чем 2,5 миллиардах активных устройств. Приблизительно с одинаковым результатом Google Play Protect обнаруживал новые образцы вирусов (не старше 2-24 часов) и эталонные, которые распространялись до 4 недель.
Кроме того, у Google Play Protect оказались проблемы с ложными...
Роскомнадзор изучит возможность заблокировать Tor, Telegram Open Network и mesh-сети
11.03.20
ФГУП «Главный радиочастотный центр», находящийся в ведомстве Роскомнадзора, планирует изучить, какими путями можно ограничить работу mesh-сетей, IoT-сетей и анонимных протоколов. В перечень изучаемых способов должны быть обязательно включены Telegram Open Network и Tor, говорится в документах, опубликованных на портале госзакупок.
В качестве основания для изучения возможности блокировки указаны федеральные законы «О связи», «Об информации, информационных технологиях и о защите информации», а также паспорт федерального проекта «Информационная безопасность» и постановление Правительства России. Сотрудники «Главного радиочастотного центра»...
Десятки VPN-приложений и блокировщиков рекламы скрытно собирают пользовательские данные
10.03.2020
Журналисты BuzzFeed News провели исследование, которое показало, что как минимум 20 мобильных приложений, обеспечивающих VPN-подключение или блокирующих рекламный контент, тайно собирают пользовательские данные. Речь идёт о приложениях для платформ Android и iOS, принадлежащих аналитической компании Sensor Tower и загруженных пользователями более 35 млн раз.
В отчёте сказано, что с 2015 года Sensor Tower владеет как минимум 20 приложениями для Android и iOS, некоторые из которых являются бесплатными. В качестве примеров приводятся такие программные продукты, как Unlimited VPN, Luna VPN, Mobile Data и Adblock Focus. Упомянутые...