Android

Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

В долните редове може да се запознаете с 6-те най-използваните метода.

 1. Приложения от Google Play и Apple App Store

Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

2. Ботовете в Slack

Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

Прочетете повече от какво и как да защитите Android устройството си.

3. Add-ons и Pop-ups за криптотърговия

Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

4. Автентикация чрез SMS 

По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

5. Публични Wi-Fi мрежи

Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

6. Клониране на сайт

Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

След големия интерес в подобренията, свързани със сигурността, на новата версия на мобилната операционна система на Apple iOS, идва ред и на конкурента – Android P. 

Сред множеството нововъведения в Android P редица визуални подобрения, нови функции и дори технология за адаптиране на батерията към вашето индивидуално потребление. ДОбрата новина за потребителите на платформата е, че сигурността също не е оставена на заден план. Ето най-важните нововъведения в тази сфера:

Hardware Security Module

HSM е технология, която видяхме в Project Vault – проект, целящ да превърне SD карта в модул, който е изцяло използван за сигурността на устройството. След като проектът беше спрян, Google го възкреси за излизането на Android P.

В новия си вид, HSM ще представлява вграден в устройството модул, който ще присъства само при устройствата чиито производители желаят да го внедрят. Той ще разполага с истински random генератор, собствен процесор и редица механизми, които предотвратяват чуждата намеса в работата на устройството.

Декриптиране на устройството само, докато е отключено

Въпреки че не е сериозна промяна, тази настройка ще ви позволи да направите декриптирането на защитено устройство възможно само когато екранът е отключен. Това ще ви даде допълнителен слой на защита в случай, че устройството ви непредвидено смени собственика си (загубите го, откраднат го и т.н.).

Сигурен трансфер на криптографски ключове

Google ще даде на разработчиците възможността да съхраняват ключове в специфичен дял от паметта, който устройството не може да достъпва просто така. Това ще подобри сигурността за приложения, които прехвърлят информация през HTTPS връзка и такива, които използват локални криптографски ключове по една или друга причина.

HTTPS по подразбиране за всички приложения

Като част от глобалното придвижване към HTTPS, Android P ще въведе сигурна връзка за всички приложения. Въпреки че системата ограничава некриптирания трафик още във версия 8, очакваната версия ще принуждава разработчиците да използват HTTPS. Приложенията ще могат да комуникират само с определени домейни през HTTP връзка.

Камерата и микрофонът не могат да бъдат използвани във фонов режим

Към момента, приложенията са способни да използват камерата и микрофонът ви във фонов режим – без вашето знание. В идната версия на операционната система, те ще са недостъпни, освен когато вие ги използвате за свои цели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 28 юни 2018 в 11:27 ч.

Биометричните удостоверения като пръстови отпечатъци, IRIS или технологии за разпознаване на лица, улесняват процеса на отключване на устройства и приложения, като същевременно ги правят значително по-сигурни.

Въпреки това, биометричните системи също имат някои недостатъци – в миналото бе доказано, че повечето биометрични скенери са уязвими и могат лесно да бъдат заблудени.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:28 ч.

Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:45 ч.

Разработчици в платформата се опитват да убедят потребителите в популярността на приложението си като наподобяват легитимната статистика, но я показват на грешните места (и комично преувеличено).

Повечето опити са лесно забележими, дори и от неопитни хора, но напоследък разработчиците намират все по-очевидни и все пак-ефективни способи да залъжат потребителите.

Например – докато търсите приложение виждате следното представяне на едно легитимно такова:

То винаги следва структурата – иконка и име и под него – автор. В случая, Termux от Fredrik Fornwall не би трябвало да говори нищо на човек, който не използва терминални емулатори под Андроид. Но хората, които имат нужда от подобно приложение ще видят следните признаци за доверие:

• Висок рейтинг, но от близо 13 000 мнения
• Класиране в първите места от резултатите на търсенето

В другия ъгъл стои нещо коренно различно:

Всеки с малко опит в работата с Андроид би усетил, че това е приложение, което е нескопосано сглобено и в добрите случаи има за цел нищо повече от показване на реклами.

От друга страна, човек, който е нов към платформата или дигиталния свят може да се залъже заради авторското име – софтуерният разработчик е избрал името „Installs 1,000,000,000“. За незапознат потребител, това би изглеждало като нищо по-малко от милиард инсталации, а самият Google Play Store едва може да се похвали с подобна статистика. Някои автори на приложения съвсем безочливо прескачат границата на възможното и избират имена като „5,000,000,000+“.

Само за сравнение – в Play Store има 15 приложения с над милиард сваляния – три от тях са приложения на Facebook и останалите са част от фабрично инсталираните приложения на Google.

Друг, по-интелигентен пример за привличане на хора, които не познават платформата (или такива, които не проявяват наблюдателност) е включването на различни символи, които могат да служат като знак за доверие. Това са

• Символи като ™ и ®
• Тикове/check marks
• Визуални добавки към иконката като етикети с “New” или етикети, които изглеждат като някакъв тип верификация от Play Store

Усилията на Google да подобрят качеството на еко системата си от приложения продължават и голяма част от приложенията, залагащи на описаните дотук тактики са вече свалени. Преди това, от платформата бяха премахнати над половин милион приложения, определени като вредни или неподходящи за нея.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:48 ч.

Уязвимост, която дава възможност за установяване на пълен административен контрол над телефонът ви, беше разкрита от анализаторите „Edge Security“. Броят уязвими устройства е ограничен до OnePlus 6, чийто буутлоудър позволява създаването на произволен или модифициран boot image, дори и bootloader да е заключен.

Какво е bootloader?

Bootloader е част от вграденият фърмуер и възможността да се заключва не позволява на потребителите да заменят или променят операционната система на телефона с несертифициран ROM. Заключването на bootloader подсигурява стартирането на устройството с операционна система, която е сертифицирана от производителя.

Изследователят по информационна сигурност Джейсън Доненфелд от „Edge Security“ открива, че bootloader на OnePlus 6 не е изцяло заключен. Това от своя страна позволява на всеки да флашва всякакъв вид boot image в устройството, което дава възможност да се установи пълен контрол над вашият телефон.

В кратка видео демонстрация Доненфелд показва как е възможно злонамерено лице, имащо физически достъп до OnePlus 6 mode, да буутне зловреден image само използвайки командата fastboot на работния инструмент ADB, който е част от фреймуърка за разработване на приложения. Тази операция дава възможност на лицето да придобие пълен контрол върху устройството и неговото съдържание.

The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd

— Edge Security (@EdgeSecurity) 9 юни 2018 г.

Как се експлоатира уязвимостта?

Най-фрапиращото в случая е, че дори няма нужда опцията USB debugging да бъде включена, което обикновено се изисква, за да си “поиграете” с някои смартфони. Всичко което трябва да направи атакуващият е да включи OnePlus 6 на жертвата в компютърa си с кабел, да рестартира телефона във Fastboot режим и да прехвърли модифицирания boot image.

За да извърши това нападателят трябва да има физически и неконтролиран достъп до въпросния OnePlus 6 само за няколко минути.

От OnePlus приеха това като проблем, заявявайки че сигурността е много важна за тях и обещаха съвсем скоро да пуснат ъпдейт на софтуера, който да реши възникналия проблем.

А междувременно ние вие препоръчваме да не изпускате от поглед вашият OnePlus 6, докато тази уязвимост не бъде покрита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:56 ч.

Популярното приложение за комуникация WhatsApp е уязвимо на атака със специфично съобщение, което води до блокирането му. Бъгът е забелязан от потребители и може да доведе до спиране на работата на цялото устройство.

В зловредното съобщение се съдържат специфични знаци, които се обработват неправилно от приложението и водят до фатална софтуерна грешка.

Към момента са познати два варианта на съобщението. Един от тях съдържа предупреждение „Ако ме отвориш, ще ти забие WahtsApp“ и завършва с голяма черна точка. При докосване на точката, приложението спира да функционира. Това съобщение се възползва от претоварване чрез експлоатация на особености в  изписването на текст отдясно наляво (RTL).

Вторият вариант изглежда доста по-безобиден и не съдържа предупреждения или указания. Това съобщение съдържа специални символи, които не се визуализират и завършва с емотиконка (която е единственото видимо нещо съобщението). Причина за претоварването в този случай е размерът на съобщението.

WhatsApp се използва от над 1.5 млрд. потребителя по цял свят, показват данни на Statistia.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:15 ч.

Знаете ли, че Android устройството ви може да бъде използвано за генериране на приходи на хакери? Поредното доказателство на тази теза идва с името RottenSys – зловреден код, маскиран като системен процес на операционната система (System Wi-Fi service).

Този път вирусът не е част от тези над 700,00 открити и свалени от Google кодове, а идва като предварително инсталиран на устройството. Да, точно така – над 5 млн. потребители (поне) са си закупили заразен телефон.

Кой е засегнат

Сред засегнатите марки са Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung и GIONEE— но заразата се е случила след производството на самите устройства (т.е. производителите нямат нищо общо с нея). Общото между заразените устройства е доставчикът – Tian Pai, но анализаторите от Check Point Security, открили зловредния код. Те не твърдят и не могат да докажат дали дистрибуторът има роля в кампанията, пише The Hacker News.

Информация устройствата да са стигнали до България няма.

Как работи уязвимостта

RottenSys е зловреден код, който по никакъв начин не подобрява сигурността на използваните от телефоните WiFi връзки.

Официалната информация от анализа гласи, че кампанията е започнала през септември 2016 г. И до 12 март 2018 г. от нея са засегнати 4 964 460 устройства.

Зловредният код не започва да действа веднага – за да не бъде засечен. Той чака нареждане от команден сървър, от който сваля и няколко допълнителни компонента, за да започне да работи пълноценно. Свалянето се извършва без знанието на потребителя – тъй като вирусът има на практика пълно позволение да се разпорежда със случващото се на засегнатия телефон.

След старта на дейността си, вирусът действа като adware – и показва реклама на началните екрани на заразените Android устройства, като попъп прозорци и по други начини.

Според различни изчисления, само за периода 2 – 12 март вирусът е генерирал 13 250 756 показвания на реклами, което е генерирали приход от над 115 хил. USD на създателите му.

Как да разпознаете зловредния код?

Проверете устройството си за наличието на някой от долните процеси като отидете в системните настройки на Android и изберете менюто App Manager:

• android.yellowcalendarz (每日黄历)
• changmi.launcher (畅米桌面)
• android.services.securewifi (系统WIFI服务)
• system.service.zdsgt

Ако го видите наличен – деинсталирайте приложението веднага.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:17 ч.

През последните две години без съмнение станахме свидетели на исторически пик за ransomware заплахите. Вируси като Petya и WannaCryptor причиниха загуби на стойност милиарди долари на бизнеси от цял свят. Докато голяма част от тях все още се борят с щетите от атаките, ние трябва да насочим погледа си към друга належаща заплаха – ransomware за Android.

Мобилните платформи отдавна не са в безопасност

Експлоатирането на уязвимости във функциите за достъпност на системата стана най-новата част от репертоара на хакери от цял свят. Заедно с това подкупите, които се изискват стават все по-солени, тъй като мобилните платформи са вече достатъчно разпространени, за да бъдат апетитни за престъпниците.

Един от най-емблематичните случаи, който демонстрира и двете тенденции, е едно изцяло ново семейство от ransomware, открито от изследователи на ESET. Заплахата изплува на повърхността през последните месеци на миналата година, а вие можете да я разпознаете под името DoubleLocker. Притесняващото при нея е това, че не просто заключва устройството ви или данните на него, но и двете едновременно. Периодът на активизиране на DoubleLocker е отговорен за един от видимите пикове в заплахите за цялата година.

Можем ли да сме спокойни?

Този поглед назад ни показва една изключително притеснителна ситуация. Чисто статистически обаче, заплахите за Android през тази година не следват наблюдаваната тенденция. След достигането на пика си през първата половина на 2016 г., през изминалата година наблюдаваме постепенно намаляване на засечените заплахи

Все пак, не бързайте да сваляте приложения безразборно, тъй като няколко скока в графиката (видима по-долу) към края на годината може да вещаят завръщане.

Съвети за системни администратори

Съветите за предпазване на Android устройства са приложими във всякакви ситуации, дори и да не става въпрос за ransomware. Това са най-важните от тях:

• Сваляйте приложения от доверени източници като Google Play. Информирайте всички потребители, че повечето други източници на приложения носят различни видове опасности.
• Използвайте системата за сигурност на Google – Play Protect. Можете да я включите като отидете на Настройки > Google > Сигурност > Play Protect.
• Използвайте надеждно решение за мобилна сигурност
• Правете чести бекъпи на информацията на устройствата – ако се стигне до заразяване с ransomware, то вие ще можете по-лесно да възстановите устройството си

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.