Android

Последен ъпдейт на 28 юни 2018 в 13:26 ч.

Смартфоните и таблетите вече промениха начина по който комуникираме и работим – както направиха компютрите преди 20-ина години. И – както си му е реда – дойде време да се замислим за няколко основни неща:

1. Какво споделяме с телефона си (каква информация за нас самите разполага устройството в джоба ни)?
2. Как е защитена тя и можем ли да направим нещо, за да я защитим по-добре (и какво)?
3. Кое е по-сигурното устройство? Телефонът/таблетът или компютърът ми?
4. (има и още въпроси, но те сa предмет на други текстове)

Ето и отговорите:

1. Телефонът ви знае на практика всичко за вас – може би ви познава по-добре отколкото вие познавате себе си
2. Информацията е защитена нелошо още на ниво операционна система, което обаче не изключва допълнителни мерки за сигурност (например – антивирусно приложение, система за родителски контрол или контрол на служителите – MDM) и т.н.
3. Продължете да четете надолу :)

Отговорът на въпроса коя е по-сигурната среда – мобилната или тази на компютъра е просторен и заслужава повече внимание. Ще започнем с това, че много хора (грешно) смятат, че мобилните устройства не разполагат със средствата да бъдат защитени като един лаптоп, например. И ще продължим с:

1. Прекомерното разнообразие

Разнообразието от устройства и разновидности на операционни системи е (почти) прекалено голямо, за да може един вирус да обхване всички устройства. Въпреки, че Android владее 88% от пазара (по данни на statista.com), модификациите на операционната система с отворен код са толкова много, че е трудно да се напише вирус за всички едновременно. Не точно така стои ситуацията с Windows при компютрите . Единствено фундаментална уязвимост като наскоро откритите Spectre & Meltdown може да обхване значима част от мобилните устройства.

Разликите в хардуера също обуславят ограничения в типовете вируси, достъпни за смартфони (например, без хардуерна клавиатура е по-трудно да се напише кийлогър за мобилни телефони).

2. Официалните магазини за приложения

Наличието на централизирани магазини за софтуер за най-големите операционни системи (Android и iOS) е стъпка към ограничаването в разпространението на зловредни кодове за мобилни телефони. Контролът (автоматизиран при Android и от хора при iOS) е още една стъпка в правилната посока.

Благодарение на тези усилия, шансът да се заразите с вирус намалява драстично – но системата е далеч от перфектна или неуязвима.

3. Кажи „да“

Мобилните операционни системи имат още две сериозни предимства в сравнение с Windows, Например:

• те работят в sandbox среда (иначе казано не могат да достъпват информация от други приложения)
• за достъп до определени функции се изисква изрично съгласие на потребителя (друг е въпросът доколко потребителите внимават какви позволения дават на приложенията, които инсталират).

4. Мобилните мрежи са по-безопасни от WiFi

И причината за това е много проста – (на теория) никой, освен мобилния ви оператор, не може да наблюдава трафика в 3G / 4G мрежата. При използването на чувствителни данни онлайн е винаги по-безопасно да използвате нея, отколкото WiFi – дори и защитен с парола такъв.

Казаното дотук не означава, че няма начин един телефон да бъде заразен и компроментиран – или, че за мобилни устройства 100% от приложенията са безопасни. По-скоро статистически е по-малко вероятно (все още) това да се случи заради по-високото ниво на вградена в устройствата защита.

Тепърва предстои на мобилните устройства да се докажат като достатъчно сигурни, тъй като те продължават да се налагат като все по-важен инструмент в ежедневието ни. От нас се иска единствено да се отнасяме достатъчно внимателно с информацията, която споделяме с тях – и приложенията, които инсталираме.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:31 ч.

Последен ъпдейт: 03 октомври 2017 г. 

Рисковете от подслушване, подмяна и инжектиране на трафик при използване на слабо защитени  или отворени мрежи са често обсъждана тема, но какво ще кажете за рискове в защитените мрежи?

Wi-Fi Protected Access II (WPA2) е стандарт на повече от 10 години, който е задължителен за всички  WiFi обозначени устройства. До скоро се смяташе, че WPA2 е изключително сигурен и непробиваем. Преди дни двама белгийски изследователи публикуваха своите открития за слабости в имплементацията на протокола, които могат да бъдат използвани в серия от атаки известни  с името – „KRACK“ (Key Reinstallation AttaCK). Важно е да споменем, че тези слабости са документирани и преди, но рисковете за експлоатацията им са били теоретични… до сега.

Какви са опасностите при успешна атака?

На практика престъпници могат да използват тази иновативна техника за да се сдобият с информацията, която при нормални обстоятелства трябва да е достатъчно добре защитена (криптирана). Могат да бъдат откраднати финансови данни, пароли, чат съобщения, електронни писма, мултимедия и т.н…. В зависимост от настройките на мрежата, е възможно инжектиране и/или изменяне на информация, тоест сервиране на ransomware или друг тип malware в услугите и сайтовете, които посещавате.

Какво всъщност представлява KRACK?

Слабостта се крие в преинсталацията на ключовете за криптиране при злоупотреба на съобщенията за договаряне. От време на време, докато се договаря криптирането на безжичната връзка, клиента и точката за достъп (Access Point или само AP) трябва да съгласуват ключове.
За да се постигне това съгласуване се ползва протокол, който има четири стъпки – “four-way handshake”:

1. AP-то до клиента – хайде да се разберем за сесиен ключ. Ето малко еднократна и произволна стойност за изчисляването му;
2. Клиента до AP-то – добре, ето и от мен малко еднократна и произволна стойност за изчислението на ключа;В този момент, двете страни включват в изчислението и паролата за достъп до WiFi мрежата (така нареченият Pre-Shared Key или PSK). Така се изчислява сесийният ключ и се избягва прекият обмен на паролата, като се гарантира уникален ключ за всяка сесия.
3. AP-то до клиента – потвърждавам, че сме се договорили за достатъчно данни за конструиране на сесиен ключ;
4. Клиента към AP-то – да, така е. Потвърждавам!

Въпреки, че математически погледнато четирите стъпки описани до тук са напълно достатъчни за генериране на сигурен ключ, процесът може да бъде реализиран несигурно, което прави KRACK атаката възможна:

• Злосторникът стартира AP, което е двойник на истинското и клонира MAC адреса му, но оперира на различен радио канал. Така „лошото“ AP отклонява съобщение №4 и то не достига крайната си цел.
• Докато трае това „неразбирателство“, клиентът вече може да е започнал комуникацията с точката за достъп (AP), понеже и двете страни имат сесийният ключ, макар и да не са довършили докрай “four-way handshake” протокола.

Това означава, че клиентът вече генерира криптографски материал, наричан keystream, с който ще защити предаваната информация. За да е сигурно, че keystream поредицата никога не се повтаря, клиентът добавя nonce (число което не се повтаря) към сесийният ключ. Това число се инкрементира за всеки фрейм, което гарантира, че keystream-a различен всеки път.

Има няколко вида KRACK атаки, но при всички тях се разчита на преизползване на keystream данни, което води до криптиране на различна информация с един ключ. Респективно, Ако знаете един набор от данни, можете да разберете другия – това е най-добрият случай. Някои случаи са по-лоши от това, защото могат да доведат до пълно компрометиране на връзката.

Вижте още: презентацията на официалните откриватели на атаката.

Обратно към атаката:

• В даден момент, легитимното AP ще изпрати копие на съобщение №3, вероятно няколко пъти… докато „лошото“ AP не реши да пропусне съобщението до клиента.
• Тук идва и „кофти“ реализацията, която обезсмисля заложената математическа гениалност – клиента най – накрая финализира договарянето, като рестартира keystream-a и „реинсталира“ сесийният ключ (от тук идва и името на похвата). Стойноста на числото, което никога не трябва да се повтаря (nonce), също е върната към това което е била след съобщение №2.

На практика keystream последователността започва да се повтаря, което е голямо НЕ СЕ ПРАВИ ТАКА в криптографията.

„…всяко WiFi устройство е уязвимо към някоя от атаките. Oсобено опустошителен ефект има срещу Android 6.0 – принуждава клиента да използва предсказуем ключ за криптиране – само `0`“

Ако се знае съдържанието на първоначалният фрейм, може да се възстанови keystream-a използван за криптирането му > ако keystream-a е известен, може да се използва за декриптиране на последващите фреймове.
Атаката е успешна дори, ако нападателят успее да прихване дори няколко фрейма от дадена сесия.

Колко сме уязвими и как да се предпазим?
Въпреки, че всичко до сега звучеше доста заплашително и лесно за изпълнение, пък и доста медиен шум се вдигна, има няколко фактора които смекчават обстоятелствата:

• Атаката изисква нападателя да се намира физически в обхвата на WiFi мрежата. Иначе казано, ако видите подозрителна персона с качулка да удря по клавиатурата до домът или офисът Ви, имате сериозен проблем и той не е в WiFi настройките;
• Атаката е изключително сложна за изпълнение и лесна за неутрализиране – трябва просто да приложите последните актуализации върху точките за достъп или върху клиентите. Microsoft пуснаха ъпдейт адресиращ уязвимостта в началото на месеца. И Apple iOS устройствата, и macOS са уязвими! Тук може да намерите подробен списък със засегнатите операционните системи и производители, както дали вече имат ъпдейти с фиксове. Apple публикуваха патч за уязвимостта.
• Остават си препоръките за използване на сигурни протоколи (тези които завършват на „S“ обикновено са такива ;), както активиране на VPN при свързване с непознати и отворени мрежи.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:34 ч.

DoubleLocker е ново поколение криптовирус (или ransomware), който залага на двуфакторнозаключване на информацията на потребителя – чрез принудителна смяна на PIN кода на устройството и криптиране на информацията, за всеки случай.

В основата на вируса е добре познатият троянец Android.BankBot.211, който краде банкова информация от засегнатите устройства. DoubleLocker се разпространява подобно на пра-родителя си – най-вече под формата на фалшив Adobe Flash Player чрез заразени сайтове.

Откупът за отключване на информацията е 0.0130 BTC (в момента – около 54 долара) – а срокът за плащането му е 24 часа. Дори и да не бъде платен обаче, информацията на устройството няма да бъде изтрита.

В съобщението за откуп е добавено предупреждение, че потребителят не трябва да се опитва да премахва по какъвто и да било начин или да блокира DoubleLocker: “Без [софтуерът], никога няма да може да получите информацията си обратно”.

А за да предотвратят нежелано деинсталиране на „софтуера“, киберпрестъпниците дори препоръчват деактивиране на наличен антивирус на устройството.

Как може да се предпазите от DoubleLocker и как да премахнете вируса от вече заразено устройство – може да прочетете в блога на ESET, които са откриватели на заразата.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:49 ч.

Високорискова уязвимост във функционалността на Android „Toast“ заплашва милиарди устройства с хакерски атаки чрез незабележими за потребителя прозорци, които могат да доведат до дистанционно отвличане на устройството.

Уязвимостта застрашава всички версии на Android освен най-новата Android 8.0 Oreo, предупреждават откривателите на заплахата от Unit 42 на компанията за информационна сигурност Palo Alto Networks. За щастие потребителите могат да елиминират изцяло риска като приложат официалната актуализация за киберсигурност на Google от септември т.г.

Прочетете повече: Хакери превземат телефони след смяна на напукан дисплей

Според доклад на американската консултантска агенция Gartner само през първото тримесечие на 2017 г. в употреба са влезли 327 милиона нови Android устройства. Това означава, че уязвимостта е потенциален риск за стотици милиони, а може би и милиарди устройства, ако не се направят нужните актуализации.

Стойте далеч от прозорците

„Новооткритата уязвимост увеличава значително обхвата на възможните атаки“, твърди Кристофър Бъд, старши експерт по киберсигурност в Palo Alto Networks.

Тя позволява на киберпрестъпниците да извършват т. нар. overlay атаки, или атаки с невидими прозорци, с много по-голяма лекота.  Пример за подобни кибератаки са пробивите от типа Cloak and Dagger.

Прочетете повече: Нов вирус във Facebook създава зловредни копия на популярни сайтове

Функционалността на Android „Toast“ позволява на съобщения и нотификации да изскачат в отделни прозорци и да се налагат върху екрана на устройството върху други отворени приложения. Оказва се, че хакерите могат да се възползват от функцията „услуги за достъпност“ на Toast, за да инсталират вируси, крадат лични данни, внедрят ransomware или други подобни действия, които в крайна сметка да доведат до пълното отвличане на устройството.

Прочетете повече: Нов спам списък е най-големият в историята: Проверете дали сте жертва на киберпрестъпление

Услугите за достъпност са функции на телефона, които помагат на потребители с увреждания да въвеждат данни върху екрана чрез директно изписване или изговаряне на думи и символи.

„Наметало и кама“

Атаките с невидими прозорци не са новост, но уязвимостта на Toast елиминира две основни предизвикателства, които са неизменна част от Cloak and Dagger пробивите.

Една типична атаката с невидими прозорци от типа Cloak and Dagger протича по следния начин: Потребителят инсталира и стартира фалшиво приложение, под което се крие друга злонамерена апликация. Когато потребителят предприеме действие във фалшивото приложение, като например да кликне на бутон „ОК“ или на стрелка за следваща страница, той всъщност кликва върху позволение на криещото се отдолу зловредно приложение за увеличаване на достъпа му до операционната система на устройството.

Проблемът с класическите Cloak and Dagger атаки, е че хакерите трябва да намерят начин да качат зловредното приложение в Google Play. Веднъж инсталирано от потребителя, приложението се нуждае от позволение да наложи изскачащи предупреждения (pop-up alerts) върху други отворени приложения.

Прочетете повече: Нов вирус: “Жуао“ заплашва онлайн геймъри с backdoor и DDoS

Компрометирана достъпност

Уязвимостта в Toast позволява на престъпниците да прескочат тези стъпки и да внедрят невидимото зловредно приложение чрез сайтове и платформи, различни от Google Play.

„Нашите изследователи наблюдаваха начина на действие на оригиналните Cloak and Dagger атаки и разгледаха в дълбочина начина по който се изобразяват различни прозорци в Android. Установихме, че в рамките на тази функция има начин да се злоупотреби със системната функционалност „услуги за достъпност на Android“, пояснява Бъд.

Друг киберексперт коментира, че сега е много по-лесно да се осъществяват атаки от типа Cloak and Dagger, защото не е нужно да се изпълнят двете основни условия за достъп до Google Play и даване на позволение за изскачащи прозорци.

„Откритията ни показват, че новата уязвимост улеснява провеждането на такива удари, защото единственото, от което се нуждаят сега престъпниците, е позволение за ползване на услугите за достъпност“, заключава експертът.

Според Бъд засега не са засечени конкретни заплахи, които да използват новооткритата уязвимост.

Прочетете повече: Нов вирус: „Невидимият човек“ краде банкова информация от устройства с Android

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Киберпрестъпниците често са привлечени от масово използвани системи, тъй като им осигуряват достъп до голям брой потребители. В този случай дори малък процент успешни атаки носят голяма печалба. Наскоро Google обявиха, че през 2017 г. Android ще е активен на повече от 2 милиарда устройства. Apple ги догонват, тъй като по последно обявени данни от 2016 г. са преминали прага от 1 милиард активни iOS устройства.

Thanks to developers and our partners around the world, there are now more than 2 billion monthly active Android devices. #io17 pic.twitter.com/tMH6aHsAIP

— Google (@Google) May 17, 2017

Ако имате устройство с Android, вече може да станете цел на нова атака – злонамерен код (malware), способен да чете въведени банкови данни. Троянецът се маскира като фалшив Flash ъпдейт и е програмиран да краде номера на кредитни карти и данни за достъп до онлайн банкиране. Не е нужно да споменаваме, че веднъж сдобили се с тези данни, киберпрестъпниците лесно източват средства от сметката ви.

SophosLabs разпознава зловредния код като Andr/Banker-GUA и успешно блокира достъпа му до клиентските устройства. Известен още като „Invisible Man“ („Невидимият човек“), злонамереният софтуер е вариант на Svpeng.

Как работи „Невидимият човек“?

При инсталирането си вирусът прави проверка какъв език е зададен на телефона и ако е руски, се деактивира. В случай че е друг, се опитва да получи достъп до т.нар. accessibility services – функции на телефона, които помагат на потребители с увреждания да въвеждат данни върху екрана чрез директно изписване на символи. Веднъж придобил достъп до тези функции, „Невидимият човек“ може да „пише“ по екрана върху всички отворени приложения и да се инсталира като основно SMS приложение.

Вирусът създава невидими прозорци, които копират въведената от потребителя информация. Когато отворите приложението за онлайн банкиране и въведете номера на кредитната си карта в легитимното приложение, върху празните полета има прозрачен екран, създаден от вируса. По този начин при въвеждането на данните, вие предоставяте тази информация и на злонамерената програма. Така номерата на кредитните карти и паролите за достъп до онлайн банкирането отиват директно при престъпниците, без да имате никакъв шанс да заподозрете, че сте станали жертва на кражба на данни.

Как да се предпазим от атаката?

1. Бъдете бдителни, когато Flash Player поиска да се актуализира

Поради доброто замаскиране на атаката трябва да сте наблюдателни за малки сигнали от телефона си. Първата червена лампичка светва, когато получите съобщение за нужда от актуализация на Flash Player, който настойчиво иска да се инсталира на устройството ви. Flash има печална слава на популярен вектор на атака на огромен брой злонамерен софтуер, а многобройните му проблеми със сигурността водят до чести известия за нуждата от актуализация. Това води до порочен кръг от непрестанни актуализации, от които се възползват много вируси с цел да се маскират като поредния ъпдейт на Flash.

Ако все пак ви се налага да инсталирате Flash Player на устройството си, следвайте официалните инструкции на Adobe, а не се подвеждайте от упорито изскачащи прозорци, които ви подканят да го направите автоматично.

2. Не давайте достъп на приложения, които искат разрешение за ползване на услуги за достъпност

Втората червена лампичка трябва да ви светне, когато на телефона ви се появи съобщение от приложение, което иска разрешение за достъп до accessibility services („услуги за достъпност“). Ако нямате физически увреждания, няма причина да давате такива права на което и да е приложение на мобилното си устройство.

3. Инсталирайте антивирусна програма на мобилните си устройства

Тъй като Android далеч не е защитен от вирусни атаки, е препоръчително да инсталирате антивирусна програма, като безплатния Sophos Mobile Security for Android. Това ще ви защити от редица заплахи, включително и от „Невидимият човек“.

4. Поддържайте дигитална хигиена

Въздържайте се от инсталирате на непотребни приложения. Така ще си спестите много неприятности. Правете регулярна „чистка“ на устройствата си и оставете само онези приложения, които реално използвате.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:52 ч.

Умни звънци на вратата, умни термостати, умни кафе-машини, та дори и умни четки за зъби, всички те, свързани с интернет и готови да ви се подчиняват само с няколко докосвания на умния ви телефон. Това е ерата на Интернет на нещата (Internet of Things; съкр. IoT).

Хакерски експеримент

До 2020 г. се очаква в света да има над 21 милиарда умни устройства, но колко защитени са всички тези уреди от хакерска атака, пита американската телевизия ABC.

За да отговори на този въпрос, ABC провежда експеримент с експерта по киберзащита на британската компания за информационна сигурност Sophos Джеймс Лайн.

В експеримента Лайн посещава умния дом на семейство Кендъл, за да провери какво ще му струва, за да получи достъп до личната информация на четиричленното семейство. Лайн свързва няколко уреда с локалния Wi-Fi рутер и опитва да получи нерегламентиран достъп до мрежата.

Експертът успява да хакне DVD плеъра на семейството, пробивайки системата през Wi-Fi рутера за „една минута време“, използвайки хакерски инструменти.

„Толкова е лесно“, възкликва репортерът.

„Това не е всичко“, отговаря му Лайн, „В тази мрежа е вързан и домашният компютър на семейство Кендъл“.

DVD плеърът има много слаба защита срещу хакерски атаки. Той е само портал към далеч „по-интересните“ за злонамереният ИТ специалист устройства, където се съхранява лична информация, като банкови сметки и кредитни карти.

Ако нещо може да се обърка, то непременно ще се обърка

Следващият ход на Лайн е да хакне кафе-машината. Само с няколко реда код и без да му се налага да въвежда парола, Лайн успява да задейства машината и да направи кафе дистанционно. Тогава специалистът по киберсигурност решава да зарази софтуера на кафе-машината с вирус.

Вирусът позволява на Лайн да проследи в реално време какво прави репортерът на домашния лаптоп на семейство Кендъл. Използвайки keylogger (злонамерен код, който регистрира натискането на копчета по клавиатурата), Лайн успява да запамети данните на кредитната карта на потребителя, докато той пазарува онлайн.

„Той е тотално компроментиран“, категорично заявява киберекспертът преди да включи камерата на лаптопа.

„Нямах никаква идея, че някой ме гледа“, коментира репортерът

„Нека това бъде последното доказателство“, отсича Лайн и изключва лаптопа от разстояние.

Как да се предпазим от злонамерени смарт уреди?

Тази поучителна история изглежда далеч от българската реалност, но това чувство за сигурност е измамно. Модерните домове ще се възползват все повече от новите технологии. Всеки българин, който реши да живее в умен дом, е потенциална жертва на кибератаки. Още през миналата година българската компания „Алтерко“ обяви, че ще използва 70% от набрания капитал при преминаването на компанията в публична за развойна дейност в областта на IoT. 43% от приходите на компанията се реализират именно на българския пазар.

За да останете защитени от нерегламентиран достъп до личната ви информация, получен през умни устройства, специалистите съветват да третирате смарт уредите като компютри. Ъпдейтвайте софтуера често, сменете фабричната парола и се уверете, че уредите и компютъра ви се помещават на отделни Wi-Fi мрежи.

Вижте видеото с експеримента на ABC тук:

ABC Breaking News | Latest News Videos

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.