Apple

Хакерската групировка, наречена Unc0ver, публикува нещо като мана за собствениците на iPhone: jailbreak за почти всички версии на iOS от 11 до 13.5 (изключения са единствено версии 12.3 до 12.3.2 и 12.4.2 до 12.4.5).

Хакерите твърдят, че са използвали zero-day уязвимост в iOS, но не разкриват по-сериозни технически детайли. Според публикация на Vice Motherboard, става дума за пропуск в кода на iOS ядрото.

От Apple вече са се заели да премахнат откритата уязвимост, като ъпдейт се очаква най-рано в следващите 2-3 седмици. Въпреки това  Pwn20wnd уверява, че потребителите могат да се върнат на по-стара версия на iOS, което отново ще им позволи да „отключат“ операционната система. Тук изниква въпроса, защо обаче потребителите изобщо да го правят и дали jailbreak-a все още е на мода.

Ограничавайки крайните потребители и без възможност за пълен административен достъп в iOS, от Apple целят да гарантират максимална безопасност и стабилност на работа, но в замяна на невъзможност за инсталация на „външен и неодобрен“ софтуер.

Точно на този психологически похват залагат и от Unc0ver – „Можете да промените каквото пожелаете и да накарате устройството да работи по ваша преценка, отключете истинската сила на вашето i устройство“, гласи посланието при сваляне на инструмента от сайта на групата.

Неоправдан риск

Всъщност дори това твърдение да е вярно, ако се погледне от друга гледна точка, отключването на системата е изключителен риск за сигурността на потребителя.

Чрез заобикаляне на заложените ограничения, потребителят рискува да станете жертва на различен вид зловреден софтуер, който по принцип не би трябвало да е реална заплаха. Факт е, че Apple се стремят към пълен контрол върху цялата екосистема. Тоест приложенията, които работят  върху нея, не могат да бъдат инсталирани извън официалния одобрен канал (App Store) от производителя, а това не се нрави на някои потребители.

Причината: използването на такива неодобрени програми може да изиграе лоша шега на любопитния потребител. Интересът и предизвикателството за всеки ентусиаст да пробва собственоръчно новия инструмент се оказаха обаче огромни – малко след като беше публикуван, сайтът на Unc0ver беше временно недостъпен от огромния брой заявки.

Като завършек на интересния случай, член на екипа на Unc0ver – Pwn20wnd е убеден, че „В бъдеще ще се публикуват все повече инструменти за jailbreak и дори след излизането на iOS 14. Ако все пак Apple успеят да закърпят текущата уязвимост, аз ще направя нови програми използващи подобен zero-day подход.“

Голям дял = голям интерес

По последни данни на Statcounter.com, делът на мобилните устройства, работещи под всички версии на iOS, е около 29 %. Добрите резултати на Apple имат и своите последствия – привличат вниманието на „хакери“ и „кракери“, които да доказват своите умения върху продуктите на компанията.

Следователно, уравнението и максимата: много потребители = голям интерес от страна на хакери и евентуално – недоброжелатели, се потвърждава.

Последен ъпдейт на 4 май 2020 в 11:56 ч.

Фенове на Apple, пазете се. Две критични уязвимости в мейл клиента на iPhone и iPad позволяват устройството да бъде хакнато и шпионирано. Според различни публикации, експлойти за тях са написани преди повече от 2 години и се използват активно.

Как работи: хакерите могат да превземат устройството като изпратят специфичен имейл към потребителя, чийто акаунт е настроен за мейл клиента на iOS, след което те могат да изпълняват отдалечено код  (RCE). В iOS 13 уязвимостта не изисква отварянето на мейла, за да се активира уязвимостта, ако приложението Mail работи във фонов режим. В по-старите версии на операционната система, потребителят трябва да отвори писмото, за да позволи отдалечен контрол от страна на хакерите.

Самият мейл, експлоатиращ уязвимостта, изглежда като празен – т.е. няма съдържание, а заразата е на практика неоткриваема. „Освен временно забавяне на Mail приложението, няма да забележите нищо  подозрително,“ твърдят анализаторите от ZecOps. Те са открили и пробойната.

Ето как изглеждат самите мейли:

Важно е да знаете, че в ZecOps са установили, че след превземане контрола на устройствата, тези мейли са изтривани както от телефона/таблета, така и от мейл сървъра.

Двете уязвимости са налични от 8 години насам (iOS 6) и засягат версиите до iOS 13.4.1. В наличните към момента версии на операционната система пачове все още няма. Уязвимостта е запушена във версия 13.4.5, чиято втора бета версия е публикувана в средата на април, но няма дата кога ще бъде официално достъпна.

Официалната позиция на Apple е, че „уязвимостите не представляват пряка заплаха за потребителите ни. Те са факт, но сами по себе си не са достатъчни, за да бъдат прескочени останалите защити на iPhone и iPad. Нямаме доказателства, че са използвани срещу наши потребители. Ще адресираме проблемите в бъдещи версии на софтуера си.“

За да се предпазите, спрете да използвате мейл клиента на iOS, може да го замените с друго приложение като Gmail, Outlook и т.н.

Анализаторите са открили, че уязвимостите са активно използвани за шпиониране на различни частни и държавни организации и дори журналисти от Европа.

Последен ъпдейт на 4 май 2020 в 11:58 ч.

Pwn2Own е инициатива, която поставя скромното си начало през 2007 г. Състезанието е плод на недоволството на създателя му, Драгос Руиу, подразнен от нехайството на Apple относно пробойните в сигурността на продуктите им.

Вдъхновен от тогавашния мит, че Apple компютрите поначало са ваксинирани срещу вируси, Руиу решава да обогати конференцията с още едно занимание. Той оставя два Macbook Pro 15” в залата и информира посетителите, че първите двама, които успеят отдалечено да пробият сигурността им, могат да си тръгнат с тях. В резултат на това се откриват две значими уязвимости в Quick Time плейъра и победителите отнасят още $10 000 в замяна на информацията за тях. За жалост, крайните потребители и до ден днешен са убедени в безупречността на Apple машините си…

В последващите години събитието постепенно добива днешния си вид. Заобикалянето на механизми и протоколи за сигурност в най-новите или “изгряващи” устройства и софтуер, продължава да бъде предизвикателство номер едно пред участниците. Това, което се променя динамично, са наградите. Те придобиват все по-впечатляващ вид, тъй като все повече производители проявяват интерес сигурността на продуктите им да бъде тестванa от опитни етични хакери, формиращи отбори от цял свят

Държавна забрана

През 2018 г. някои от най-влиятелните участници отпадат, след като Китай забранява на свои граждани да участват в състезанието и не допуска споделянето на информация за уязвимости на чужди страни като цяло. Въпреки това, наградният фонд значително натежа миналата година, след като Тесла предостави един от седаните си – иновативният модел 3 – като награда за събитието. Спечелилите го участници отнесоха и над четвърт милион долара като парично допълнение за намерената уязвимост в системата за развлечения на електромобила.

Принудителни промени

Тазгодишното издание на Pwn2Own въведе промени, които вероятно ще се задържат дълго след изтичане на обстоятелствата, които ги изискват. Поради пандемията от COVID-19 и местните регулации за справяне с нея, организаторите бяха принудени да проведат състезанието изцяло онлайн. Въпреки наложените промени в правилата и намалелия брой участници, състезанието е увенчано с успех.

Благополучният му край до голяма степен се дължи на един от страничните ефекти на новия формат – хора от цял свят могат да вземат участие, без да бъдат спирани от визи или наложени ограничения. Резултатът е 13 значителни софтуерни уязвимости, намерени в рамките на два дни и общо четвърт милион долара раздадени награди. Успехът на първото изцяло виртуално състезание е неочаквана изненада. Според тях обаче това трайно ще промени начина, по който ще се провеждат бъдещите издания.

Постижения

Част от постиженията на участниците в първия Pwn2Own за 2020 г. са:

• Експлоатиране на уязвимост в Apple Safari с ескалиране на привилегии в ядрото на macOS системата с награда: 70 хил. USD. Отборът е използвал верига от 6 последователно експлоатирани бъга, за да достигне до крайната си цел.
• Две награди за локална ескалация на привилегии в Microsoft Windows чрез експлоатиране на UAF (Use-after-free) уязвимости на обща стойност 80 хил. USD.
• Експлоатиране на неправилна валидация на входни дании в Ubuntu Desktop за локална ескалация на привилегии с награда 30 хил. USD
• Използване на UAF уязвимости в Adobe Acrobat Reader и Windows за постигане на контрол върху системата с награда 50 хи. USD.

Успехът на първото изцяло виртуално състезание е неочаквана изненада за организаторите. Според тях обаче това трайно ще промени начина, по който ще се провеждат бъдещите издания

Последен ъпдейт на 8 април 2020 в 10:11 ч.

Apple е запушила 30 уязвимости в новата версия на операционната си система за iPhone и iPad – iOS 13.4. Тя е съвместима с iPhone 6s и по-новите модификации на смартфона, iPad Air 2, iPad mini 4 и iPod touch 7-о поколение и последващите версии на устройствата.

Сред най-сериозните запушени уязвимости е CVE-2020-9785, с която зловредни приложения могат да получат права за достъп до ядрото на платформата.

[button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/03/26/apple-ios-13-4-offers-fixes-for-30-vulnerabilities/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Ако мислите, че за macOS няма вируси, помислете отново. Само за първата половина на годината вече има 10 успешни атаки срещу операционната система на Mac. А тенденцията е броят на тези заплахи да стават все по-голям.

Анализаторите от SentinelOne са събрали 10 успешно усвоени уязвимости за macOS само за последните шест месеца.

1. OSX.DOK инсталира скрита версия на браузъра Tor и други приложения, които крадат потребителски данни, следят трафика и комуникацията през устройството. Зловредният софтуер се активира чрез фишинг кампания и може да разчете интернет трафика, дори да е криптиран.
2. Както името подсказва, CookieMiner използва и криптоминер, и бекдор, за да се активира. След като устройството е заразено, зловредният софтуер се старае да открадне сметки за криптовалути и съответно да източи средствата на потребителя.
3. Lazarus е известен отдавна, но продължава да се използва, защото позволява на киберпрестъпниците да установят пълен контрол върху заразените устройства.
4. OSX.Pirrit използва реклами и браузъри, за да печели пари от търсенията в интернет на потребители, които са заразени. Заплахата пренасочва към измамни сайтове, чрез които устройствата се шпионират и хакерите крадат потребителски данни.
5. Зловредният софтуер OSX.Siggen се разпространява чрез фалшиво WhatsApp приложение. Хакерите достъпват до устройствата чрез бекдор.
6. Най-честият метод за разпространението на OSX.Loudminer са фалшиви копия на аудио софтуер като Ableton Live. Веднъж инсталиран, вирусът криптира данните в устройството.
7. KeyStealDaemon краде пароли и използва вече патчнати zero-day уязвимости. Атаката е успешна, ако потребителят не е ъпдейтнал операционната си система.
8. OSX/Linkerпък използва zero-day уязвимости, за които все още Apple няма пач. Разпространява се чрез фалшиви инсталатори на Adobe Flash Player. Хакерите могат да заблудят потребителя да изтегли опасно изображение и през него да изпълняват злонамерени кодове.
9. OSX-Mokes и OSX.Netwire/Wirenet се крият зад модификации на легитимни имена като „Dropbox“, „Chrome“ и „Firefox“. Заплахите използват бекдор и могат да снимат екрана на устройството, да следят натисканията на клавиши и съответно да крадат информация.
10. OSX/CrescentCore е заплаха, която се опитва да капитализира тегленията и търсенията от браузърите на заразени устройства чрез злонамерени софтуери като скеъруеър и блоатуер.

Факт е, че рекламните софтуери (може да) не са опасни – но е факт, че товарят излишно устройството и може да покажат реклами към потенциално опасни сайтове.

Ако използвате Mac, не мислете, че устройството ви е недосегаемо за хакери. Кибер престъпниците използват хитри методи за използване на уязвимостите в операционната система и могат да заблудят дори опитни IT специалисти.

Съветваме потребителите на устройства Apple да ги ъпдейтват редовно и да използват надеждни антивирусни програми.

Нова фишинг кампания атакува потребители с Apple ID, използвайки хитър и труден за забелязване механизъм. Според BleepingComputer потребителят получава писмо с фалшива фактура за закупено приложение от App Store.

Фактурата съдържа линкове към страници, от които да се докладват неоторизирани покупки. Всъщност линковете водят към фишинг страница, която изисква от потребителя да въведе своите данни за достъп до Apple ID.

При въвеждане на данните фалшивият сайт отвежда потребителя към друга страница с предупреждение, че акаунтът му е бил заключен. Тук потребителят започва да се тревожи, че акаунтът му е бил хакнат, затова натиска бутончето Unlock Account. То го води към трета фишинг страница, на която той трябва да въведе данни, за да потвърди самоличността си.

Според BleepingComputer един от елементите, които правят фишинг атаката толкова убедителна, е, че след като въведе данните си, потребителят вижда съобщение: This session has timed out for your security. Това още повече го убеждава, че това, което се случва, е истина.

Apple е на 14-о място в класацията на Vade Secure за най-експлоатираните брандове във фишинг атаки. На първите места в списъка  са Microsoft, PayPal и Netflix.

Спамърите стават все по-изобретателни, когато трябва да осъществят фишинг кампания. Често срещана тактика е да изпращат фишинг съобщения от фалшиви имейл адреси, които изглеждат напълно легитимни. Друг популярен подход е да правят фишинг страници със SSL сертификат, за да могат да заблудят жертвите си. Всъщност половината фишинг страници използват SSL, ако се вярва на данните на PhishLabs.

Според проучване на Sophos най-ефективните фишинг съобщения съдържат в себе си нещо банално: например заявка за нова задача или среща. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от компанията.

 

Тази седмица Apple пусна голям ъпдейт на софтуерните си продукти, включително и операционната система iOS. В новата версия iOS 12.1 са отстранени редица уязвимости и в настоящата статия ще разгледаме някои от тях.

Закърпени дупки във FaceTime

В iOS 12.1 са отстранени четири проблема със сигурността на видеомесинджъра FaceTime.

Според публикувания доклад две от уязвимостите позволяват на „външно лице да стартира обаждане по FaceTime, което задейства зловреден код“. Няма по-детайлна информация за това как точно може да протече евентуална атака.

Третата уязвимост позволява изпълнението на зловреден код чрез изпращането на компрометирано видео в месинджъра. Четвъртата уязвимост може да предизвика изтичане на памет.

Ироничното е, че по-малко от денонощие, след като iOS 12.1 беше пусната, се появи видео с нова уязвимост във FaceTime. Тя позволява разглеждането на контакти в телефона без необходимостта да се отключва устройството. По-рано тази година авторът на видеото Хосе Родригез беше открил други две уязвимости, които са отстранени в iOS 12.1

Събиране на данни от заключен iPhone

Te позволяват да се преглеждат данни от заключен iPhone. Става дума за уязвимости във VoiceOver и Notes. VoiceOver е функция, която се използва от потребители с нарушено зрение. Уязвимостта позволява да се разглеждат снимките на паметта на устройството, без да се налага то да се отключва.

Уязвимостта в Notes прави възможно споделянето на данни от заключено устройство.

Подобрения по Safari

Поправени са няколко бъга в браузъра Safari. Два от тях са открити във функцията Reader и са позволявали изпълнението на UXSS (Universal Cross-site Scripting) атака.

Други четири уязвимости са открити в енджина WebKit. Две от тях позволяват да се зарази устройството със зловреден код. За целта потребителят трябва да отвори специално създадено за атаката уеб съдържание.

Една от уязвимостите засяга адрес бара на Safari. Тя позволява на злонамерено лице да манипулира браузъра така, че той да показва грешен интернет адрес. Така потребителят може да си мисли, че отваря легитимен сайт (например заглавната страница за вход към Gmail), докато всъщност отваря фишинг страница.

Четвъртата уязвимост е позволявала да се осъществи DoS атака на устройството. Това е било възможно да се случи, ако на браузъра се зареди зловреден сайт.

Обновената версия на операционната система е съвместима с iPhone 5s и нагоре, iPad Air и по нови-модели, както и iPod touch 6th generation. Можете да разгледате и пълен списък с всички обновления, засягащи продуктите на Apple.

За да обновите софтуера на устройството си до iOS 12.1, влезте в:

Settings > General > Software Update

Microsoft обнови своята bug bounty програма (система, която предлага заплащане на потребители, които открият уязвимости в продуктите и услугите на компанията). Наградата, която софтуерният гигант е склонен да плати за открита пробойна в системите си за работа с лични данни, е до 100 000 USD – затова, запретвайте ръкави и започвайте да търсите.

Кои услуги обхваща новата програма?

От Microsoft коментират, че са инвестирали значителни средства в създаването, имплементирането и подобряването на системите на компанията, които работят с автентикацията и личните данни на потребителите на услугите ѝ. Целта – да се въведат мерки като сигурни средства за автентикация и логин, сигурност на API-тата на компанията и свеждане до минимум на рисковете от инфраструктурна гледна точка.

Новата Microsoft Identity Bounty Program засяга Microsoft Account и Azure Active Directory, както и някои имплементации на OpenID (пълен списък – тук). Наградите, които обещава компанията, са между 500 и 100,00 USD – в зависимост от сериозността на откритата уязвимост.

Критерии за участие?

За да кандидатствате, трябва да отговаряте на следните критерии:

• Откриете уникален и незасичан критичен или важен недостатък в услугите на Microsoft за автентикация
• Откриете уникален и незасичан недостатък, който води до възможност за кражба на профил в Microsoft или в Azure Active Directory.
• Откриете уникален и незасичан недостатък в изброените OpenID стандарти
• Може да изпращате уязвимости за всяка версия на приложението Microsoft Authenticator, но възнаграждения се заплащат само, ако уязвимостта засяга най-новата му достъпна публична версия.
• Включите описание на проблема, който сте открилии кратки стъпки за възпроизвеждането му, които лесно се разбират
• Уточните какво точно е въздействието на уязвимостта върху засегнатата система
• Опишете вектор на атака, ако не е очевиден.

Уязвимостта трябва да засяга и някой от следните инструменти за автентикация:

• windows.net
• microsoftonline.com
• live.com
• live.com
• windowsazure.com
• activedirectory.windowsazure.com
• activedirectory.windowsazure.com
• office.com
• microsoftonline.com
• Microsoft Authenticator за iOS и Android

Кой друг дава награди?

Или по-точно – кой не дава. Най-високо за момента официално плащат от Microsoft (максималната награда по другите  bug bounty програми на компанията стига до 200 000 USD). А Facebook дори не са сложили ограничение за максималната награда…

Ето част от другите по-известни технологични гиганти и наградите от тях:

• Intel: между 500 и 30 000 USD (колко ли е платено на откривателите на Spectre и Meltdown?)
• Yahoo: до 15 000 USD
• Snapchat: между 2 000 и 15 000 USD
• Cisco: между 100 и 2 500 USD
• Dropbox: между 12 167 и 32 768 USD
• Apple: до 200 000 USD
• Facebook: от 500 USD, без ограничение в максималния праг
• Google: между 300 и 31 337 USD
• Mozilla: между 500 и 5 000 USD
• Twitter: между 140 и 15 000 USD
• PayPal: между 50 и 10 000 USD
• Uber: до 10 000 USD
• LinkedIn: не са оповестили нито минимум, нито максимум

Какво чакате още, търсете!

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Последен ъпдейт на 28 юни 2018 в 13:14 ч.

Ако използвате macOS или iOS, време е за ъпгрейд на операционната ви система, за да запушите 4 сериозни уязвимости в сигурността на устройството си.

От какво ще се предпазите:

1. Две от критичните уязвимости са CVE-2018-4200 и CVE-2018-4204. Те засягат WebKit, енджинът на уеб браузъра на Apple Safari (версиите му и за macOS, и за iOS. Те позволяват изпълнението на произволен код при посещение за заразени уебсайтове от страна на уязвими потребители.
2. CVE-2018-4187 е бъг в софтуера за парсване на уеб адреси от страна на QR четеца на операционната система. Благодарение на нея, може лесно да се създаде QR код, който да показва невинно изглеждащо име на хост в известието показано от устройството, докато връзката сочи към злонамерен сайт
3. CVE-2018-4206 – засяга Crash Reporter, приложението, което изпраща Unix краш логове на инженерите на Apple с цел откриване на потенциални бъгове, довели до забиване на устройствата. Грешката в него дава на приложението завишени права.

Ъпдейти за tvOS, watchOS и iTunes не са налични, но предвид предишния ни опит в подобни ситуации, можем да заключим, че може да ги очакваме скоро, тъй като WebKit е наличен и в тях.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.