Android

След големия интерес в подобренията, свързани със сигурността, на новата версия на мобилната операционна система на Apple iOS, идва ред и на конкурента – Android P. 

Сред множеството нововъведения в Android P редица визуални подобрения, нови функции и дори технология за адаптиране на батерията към вашето индивидуално потребление. ДОбрата новина за потребителите на платформата е, че сигурността също не е оставена на заден план. Ето най-важните нововъведения в тази сфера:

Hardware Security Module

HSM е технология, която видяхме в Project Vault – проект, целящ да превърне SD карта в модул, който е изцяло използван за сигурността на устройството. След като проектът беше спрян, Google го възкреси за излизането на Android P.

В новия си вид, HSM ще представлява вграден в устройството модул, който ще присъства само при устройствата чиито производители желаят да го внедрят. Той ще разполага с истински random генератор, собствен процесор и редица механизми, които предотвратяват чуждата намеса в работата на устройството.

Декриптиране на устройството само, докато е отключено

Въпреки че не е сериозна промяна, тази настройка ще ви позволи да направите декриптирането на защитено устройство възможно само когато екранът е отключен. Това ще ви даде допълнителен слой на защита в случай, че устройството ви непредвидено смени собственика си (загубите го, откраднат го и т.н.).

Сигурен трансфер на криптографски ключове

Google ще даде на разработчиците възможността да съхраняват ключове в специфичен дял от паметта, който устройството не може да достъпва просто така. Това ще подобри сигурността за приложения, които прехвърлят информация през HTTPS връзка и такива, които използват локални криптографски ключове по една или друга причина.

HTTPS по подразбиране за всички приложения

Като част от глобалното придвижване към HTTPS, Android P ще въведе сигурна връзка за всички приложения. Въпреки че системата ограничава некриптирания трафик още във версия 8, очакваната версия ще принуждава разработчиците да използват HTTPS. Приложенията ще могат да комуникират само с определени домейни през HTTP връзка.

Камерата и микрофонът не могат да бъдат използвани във фонов режим

Към момента, приложенията са способни да използват камерата и микрофонът ви във фонов режим – без вашето знание. В идната версия на операционната система, те ще са недостъпни, освен когато вие ги използвате за свои цели.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 28 юни 2018 в 11:27 ч.

Биометричните удостоверения като пръстови отпечатъци, IRIS или технологии за разпознаване на лица, улесняват процеса на отключване на устройства и приложения, като същевременно ги правят значително по-сигурни.

Въпреки това, биометричните системи също имат някои недостатъци – в миналото бе доказано, че повечето биометрични скенери са уязвими и могат лесно да бъдат заблудени.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:28 ч.

Анализатори на зловреден код в един от най-големите доставчици на антивирусни решения ESET, са открили нов щам на Android RAT, известен като HeroRat. Интересното в случая е, че се използва Telegram протокол за командване и контрол, както и за ексфилтриране на данни.Прочетете повече »

Последен ъпдейт на 28 юни 2018 в 11:45 ч.

Разработчици в платформата се опитват да убедят потребителите в популярността на приложението си като наподобяват легитимната статистика, но я показват на грешните места (и комично преувеличено).

Повечето опити са лесно забележими, дори и от неопитни хора, но напоследък разработчиците намират все по-очевидни и все пак-ефективни способи да залъжат потребителите.

Например – докато търсите приложение виждате следното представяне на едно легитимно такова:

То винаги следва структурата – иконка и име и под него – автор. В случая, Termux от Fredrik Fornwall не би трябвало да говори нищо на човек, който не използва терминални емулатори под Андроид. Но хората, които имат нужда от подобно приложение ще видят следните признаци за доверие:

• Висок рейтинг, но от близо 13 000 мнения
• Класиране в първите места от резултатите на търсенето

В другия ъгъл стои нещо коренно различно:

Всеки с малко опит в работата с Андроид би усетил, че това е приложение, което е нескопосано сглобено и в добрите случаи има за цел нищо повече от показване на реклами.

От друга страна, човек, който е нов към платформата или дигиталния свят може да се залъже заради авторското име – софтуерният разработчик е избрал името „Installs 1,000,000,000“. За незапознат потребител, това би изглеждало като нищо по-малко от милиард инсталации, а самият Google Play Store едва може да се похвали с подобна статистика. Някои автори на приложения съвсем безочливо прескачат границата на възможното и избират имена като „5,000,000,000+“.

Само за сравнение – в Play Store има 15 приложения с над милиард сваляния – три от тях са приложения на Facebook и останалите са част от фабрично инсталираните приложения на Google.

Друг, по-интелигентен пример за привличане на хора, които не познават платформата (или такива, които не проявяват наблюдателност) е включването на различни символи, които могат да служат като знак за доверие. Това са

• Символи като ™ и ®
• Тикове/check marks
• Визуални добавки към иконката като етикети с “New” или етикети, които изглеждат като някакъв тип верификация от Play Store

Усилията на Google да подобрят качеството на еко системата си от приложения продължават и голяма част от приложенията, залагащи на описаните дотук тактики са вече свалени. Преди това, от платформата бяха премахнати над половин милион приложения, определени като вредни или неподходящи за нея.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:48 ч.

Уязвимост, която дава възможност за установяване на пълен административен контрол над телефонът ви, беше разкрита от анализаторите „Edge Security“. Броят уязвими устройства е ограничен до OnePlus 6, чийто буутлоудър позволява създаването на произволен или модифициран boot image, дори и bootloader да е заключен.

Какво е bootloader?

Bootloader е част от вграденият фърмуер и възможността да се заключва не позволява на потребителите да заменят или променят операционната система на телефона с несертифициран ROM. Заключването на bootloader подсигурява стартирането на устройството с операционна система, която е сертифицирана от производителя.

Изследователят по информационна сигурност Джейсън Доненфелд от „Edge Security“ открива, че bootloader на OnePlus 6 не е изцяло заключен. Това от своя страна позволява на всеки да флашва всякакъв вид boot image в устройството, което дава възможност да се установи пълен контрол над вашият телефон.

В кратка видео демонстрация Доненфелд показва как е възможно злонамерено лице, имащо физически достъп до OnePlus 6 mode, да буутне зловреден image само използвайки командата fastboot на работния инструмент ADB, който е част от фреймуърка за разработване на приложения. Тази операция дава възможност на лицето да придобие пълен контрол върху устройството и неговото съдържание.

The #OnePlus6 allows booting arbitrary images with `fastboot boot image.img`, even when the bootloader is completely locked and in secure mode. pic.twitter.com/MaP0bgEXXd

— Edge Security (@EdgeSecurity) 9 юни 2018 г.

Как се експлоатира уязвимостта?

Най-фрапиращото в случая е, че дори няма нужда опцията USB debugging да бъде включена, което обикновено се изисква, за да си “поиграете” с някои смартфони. Всичко което трябва да направи атакуващият е да включи OnePlus 6 на жертвата в компютърa си с кабел, да рестартира телефона във Fastboot режим и да прехвърли модифицирания boot image.

За да извърши това нападателят трябва да има физически и неконтролиран достъп до въпросния OnePlus 6 само за няколко минути.

От OnePlus приеха това като проблем, заявявайки че сигурността е много важна за тях и обещаха съвсем скоро да пуснат ъпдейт на софтуера, който да реши възникналия проблем.

А междувременно ние вие препоръчваме да не изпускате от поглед вашият OnePlus 6, докато тази уязвимост не бъде покрита.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:56 ч.

Популярното приложение за комуникация WhatsApp е уязвимо на атака със специфично съобщение, което води до блокирането му. Бъгът е забелязан от потребители и може да доведе до спиране на работата на цялото устройство.

В зловредното съобщение се съдържат специфични знаци, които се обработват неправилно от приложението и водят до фатална софтуерна грешка.

Към момента са познати два варианта на съобщението. Един от тях съдържа предупреждение „Ако ме отвориш, ще ти забие WahtsApp“ и завършва с голяма черна точка. При докосване на точката, приложението спира да функционира. Това съобщение се възползва от претоварване чрез експлоатация на особености в  изписването на текст отдясно наляво (RTL).

Вторият вариант изглежда доста по-безобиден и не съдържа предупреждения или указания. Това съобщение съдържа специални символи, които не се визуализират и завършва с емотиконка (която е единственото видимо нещо съобщението). Причина за претоварването в този случай е размерът на съобщението.

WhatsApp се използва от над 1.5 млрд. потребителя по цял свят, показват данни на Statistia.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:15 ч.

Знаете ли, че Android устройството ви може да бъде използвано за генериране на приходи на хакери? Поредното доказателство на тази теза идва с името RottenSys – зловреден код, маскиран като системен процес на операционната система (System Wi-Fi service).

Този път вирусът не е част от тези над 700,00 открити и свалени от Google кодове, а идва като предварително инсталиран на устройството. Да, точно така – над 5 млн. потребители (поне) са си закупили заразен телефон.

Кой е засегнат

Сред засегнатите марки са Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung и GIONEE— но заразата се е случила след производството на самите устройства (т.е. производителите нямат нищо общо с нея). Общото между заразените устройства е доставчикът – Tian Pai, но анализаторите от Check Point Security, открили зловредния код. Те не твърдят и не могат да докажат дали дистрибуторът има роля в кампанията, пише The Hacker News.

Информация устройствата да са стигнали до България няма.

Как работи уязвимостта

RottenSys е зловреден код, който по никакъв начин не подобрява сигурността на използваните от телефоните WiFi връзки.

Официалната информация от анализа гласи, че кампанията е започнала през септември 2016 г. И до 12 март 2018 г. от нея са засегнати 4 964 460 устройства.

Зловредният код не започва да действа веднага – за да не бъде засечен. Той чака нареждане от команден сървър, от който сваля и няколко допълнителни компонента, за да започне да работи пълноценно. Свалянето се извършва без знанието на потребителя – тъй като вирусът има на практика пълно позволение да се разпорежда със случващото се на засегнатия телефон.

След старта на дейността си, вирусът действа като adware – и показва реклама на началните екрани на заразените Android устройства, като попъп прозорци и по други начини.

Според различни изчисления, само за периода 2 – 12 март вирусът е генерирал 13 250 756 показвания на реклами, което е генерирали приход от над 115 хил. USD на създателите му.

Как да разпознаете зловредния код?

Проверете устройството си за наличието на някой от долните процеси като отидете в системните настройки на Android и изберете менюто App Manager:

• android.yellowcalendarz (每日黄历)
• changmi.launcher (畅米桌面)
• android.services.securewifi (系统WIFI服务)
• system.service.zdsgt

Ако го видите наличен – деинсталирайте приложението веднага.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:17 ч.

През последните две години без съмнение станахме свидетели на исторически пик за ransomware заплахите. Вируси като Petya и WannaCryptor причиниха загуби на стойност милиарди долари на бизнеси от цял свят. Докато голяма част от тях все още се борят с щетите от атаките, ние трябва да насочим погледа си към друга належаща заплаха – ransomware за Android.

Мобилните платформи отдавна не са в безопасност

Експлоатирането на уязвимости във функциите за достъпност на системата стана най-новата част от репертоара на хакери от цял свят. Заедно с това подкупите, които се изискват стават все по-солени, тъй като мобилните платформи са вече достатъчно разпространени, за да бъдат апетитни за престъпниците.

Един от най-емблематичните случаи, който демонстрира и двете тенденции, е едно изцяло ново семейство от ransomware, открито от изследователи на ESET. Заплахата изплува на повърхността през последните месеци на миналата година, а вие можете да я разпознаете под името DoubleLocker. Притесняващото при нея е това, че не просто заключва устройството ви или данните на него, но и двете едновременно. Периодът на активизиране на DoubleLocker е отговорен за един от видимите пикове в заплахите за цялата година.

Можем ли да сме спокойни?

Този поглед назад ни показва една изключително притеснителна ситуация. Чисто статистически обаче, заплахите за Android през тази година не следват наблюдаваната тенденция. След достигането на пика си през първата половина на 2016 г., през изминалата година наблюдаваме постепенно намаляване на засечените заплахи

Все пак, не бързайте да сваляте приложения безразборно, тъй като няколко скока в графиката (видима по-долу) към края на годината може да вещаят завръщане.

Съвети за системни администратори

Съветите за предпазване на Android устройства са приложими във всякакви ситуации, дори и да не става въпрос за ransomware. Това са най-важните от тях:

• Сваляйте приложения от доверени източници като Google Play. Информирайте всички потребители, че повечето други източници на приложения носят различни видове опасности.
• Използвайте системата за сигурност на Google – Play Protect. Можете да я включите като отидете на Настройки > Google > Сигурност > Play Protect.
• Използвайте надеждно решение за мобилна сигурност
• Правете чести бекъпи на информацията на устройствата – ако се стигне до заразяване с ransomware, то вие ще можете по-лесно да възстановите устройството си

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:18 ч.

Над 700 000 свалени приложения и над 100,000 блокирани акаунта на разработчици, които са разпространявали зловредни кодове. Това е резултатът от автоматизираната защита на Google Play за 2017 г. И достатъчна причина да вземете на сериозно заплахите, които дебнат мобилния ви телефон с Android.

Добрата новина: 99% от заразените приложения са били обезвредени, още преди да бъдат публикувани. Останалите около 7,000 обаче са били онлайн, дори и за малко.

Една проста игра може да ви причини много проблеми

Навярно сте искали да убиете скуката с игра на судоку или карти на Android смартфона си. Почти сме сигурни, че и детето ви е поискало да поиграе на телефона ви – а защо не и да свали само игра (или евентуални кодове или ъпгрейди за нея). Дотук добре.

Игрите обаче с един от най-често срещаните методи за разпространение на зловредни кодове през Google Play. Маскирането на вируси под формата на безобидни игри (имперсонация) води до това потребителите да свалят приложения, без да знаят какво всъщност инсталират. Все пак, с какво може да ми навреди една игра?

Веднъж свалено, с получени позволения за достъп до основните функционалности на телефона и инсталирано, приложението би могло да:

• Разпространява неподходящо съдържание
• Разпраща фишинг SMS-и, мейли и съобщения в социални медии
• Изпраща скъпоплатени съобщения или да набира скъпоплатени номера
• [тук може да поставите каквото още се сетите – и то ще бъде пожелано от създателите на зловредни кодове]

Google ни пази все по-добре. Или поне се опитва.

Play Store е най-безопасното място, от което да сваляте приложения за Android, но и там не липсват опасности. Въпреки че системата на магазина се справя с по-голямата част от вредните приложения, някои от тях успяват да преминат през защитата на Google.

В медийни интервюта можете да чуете Андрю Ан (продуктов мениджър за Play Store) да казва, че е „по-малко вероятно да се заразите през Play, отколкото да ви удари мълния“. Дори и да е така, вероятност съществува – а защитата е във вашите ръце.

Можете да се предпазите по изненадващо лесен начин

Един опитен потребител може да разграничи измамно приложение от легитимно такова с един поглед. Всъщност, разпознаването е по-лесно, отколкото най-вероятно си мислите. Ето какво е нужно:

• Обърнете внимание на името на разработчика – Под името на всяко приложение за Android се намира името на публикувалия го разработчик. В случай, че приложението е отбелязано с етикети като „Топ разработчик“ и „Избор на редакторите“, то можете да заложите на неговата безопасност. Ако се съмнявате, можете да проверите разработчика в Google и историята на приложенията, които е качил.
• Проверете потребителските мнения / рейтинг – Ниска обща оценка, негативни отзиви и коментари на потребители (или тяхното отсъствие) са първите белези, за които трябва да внимавате.
• Винаги преглеждайте функциите, до които давате достъп – Едно фенерче няма нужда от позволение да изпраща съобщения или да осъществява телефонни обаждания, нали така?
• Ако все още се съмнявате – потърсете в Google – Едно търсене от типа „това приложение вредно ли е?“ може да ви върне изненадващо изчерпателни резултати – нищо не струва да проверите!

 Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.