iOS

  • Мобилно приложение позволява неоторизиран контрол върху мобилното ви устройство

    Приложението TORUK – The First Flight на Cirque du Soleil може да бъде използвано като RAT (Remote Administration Tool) за над 100 000 Android устройства, на които е инсталирано.

    Уязвимостта е разкрита от екипа на ESET, а препоръката е да деинсталирате приложението на TORUK – The First Flight, най-малкото, защото от него вече няма практическа полза. Приложението е използвано за ангажиране на потребителите по време на самото шоу, както и за предоставяне на допълнителна информация като видеа и др.

    При стартирането си, TORUK – The First Flight отваря локален порт за комуникация, за да позволи на операторите от Cirque du Soleil да контролират звука, да се свързват с други устройства, да пускат видеа на екрана на устройството и други подобни функции. На практика, приложението предоставя значителни права за отдалечено управление на устройството.

    Проблемът е, че освен операторите, всеки, който има достъп до приложението, може да контролира други потребители, които са си го инсталирали. Тоест, дори и да не сте оператор на Cirque du Soleil, можете да контролирате устройствата на други потребители, които са инсталирали и пуснали приложението. Как може да прочетете в анализа на ESET.

    Ако имате приложението, изтрийте го и вие, за да не станете неволна жертва.

    Темата е добър повод да проверите дали нямате и други подобни изостанали приложения, които не сте ъпдейтвали – или, които не ползвате. Замислете се: има ли причина те да са на телефоните ви?

  • 20 PIN кода отключват 26% от смартфоните по света

    Последен ъпдейт на 28 юни 2019 в 09:50 ч.

    password остава най-често използваната парола в инетрнет. 0000 пък се нарежда сред най-често срещаните PIN кодове, използвани за заключването на екрани на смартфони. Поне така твърдят анализаторите от SANS Institute, които публикуваха топ 20 най-често срещани PIN кода в света.

    Класацията е неофициална – и идва под формата на туит – но в нея се твърди, че изброените 20 PIN кода могат да отключат 26% от смартфоните по света.

    Прочетете и: Защо паролите са лесна плячка за кибер престъпниците и защо трябва да ги сменяте често

    Причините тази статистика да бъде плашеща са няколко:

    • Въпреки наличието на допълнителни системи за сигурност на смартфони и таблети, PIN кодът си остава основно средство за автентикация, дори и когато лицевото разпознаване и пръстовите отпечатъци не работят
    • Разбиването на PIN код дава достъп до огромно количество лична и служебна информация, които съхраняваме на служебните си телефони
    • Огромна част от потребителите упорито отказват да сменят PIN кодовете си, а тези, чийто PIN кодове не са в топ 20, много често използват лесни за отгатване комбинации като рождени дни и други важни дати

    Според публикация в блога на ESET България, примери за лесен за отгатване PIN код са:

    • първите, последните или които и да е други 4 цифри от ЕГН-то ви (защото намирането на рождения ви ден далеч не е толкова сложно, колкото преди 15 години)
    • телефонния ви номер

    Масово PIN кодът е комбинация от числа, които се помнят лесно и са свързани с лични събития от живота. Често хакерите таргетират именно хора, които вярват в максимата “това не може да ми се случи”. Затова най-често телефоните с 4-цифров ПИН се отключват с изписване на година; при тези с 6-цифров код, най-често се използва датата, когато се е случило нещо специално за собственика им.

    Повече прочетете тук.

     

  • iPhone може да бъде компрометиран само с отварянето на зловреден линк

    Комбинация от уязвимости в iOS и браузърa Safari позволяват на хакерите да компрометират iPhone само с линк към зловредна интернет страница. Това твърди Чипун Драо, специалист по информационна сигурност, който е открил бъга.

    Драо е публикувал видео, което показва как се експлоатират уязвимостите. Те са отстранени в най-новата версия на iOS(12.1.3), но  потребителите с версия 12.1.2 (и по-стари) не са защитени.

    Драо е публикувал част от детайлите около уязвимостите. Те позволяват на злонамерено лице да изпрати линк към специално създадена за целта страница. Когато потребителят отвори линка на своя iPhone, бъг в Safari(и по-точно в неговия енджин WebKit) позволява изпълнението на зловреден код. Този код експлоатира втората уязвимост в iOS, която дава възможност на хакера да инсталира софтуер на устройството без знанието на неговия собственик.

    Устройствата с iOS се считат за по-сигурни от тези с Android; това обаче не означава, че уязвимости липсват. При всяко обновяване на операционната система на Apple се закърпват нови уязвимости.

    През ноември, когато Apple пусна iOS 12.1, компанията пачна уязвимости в месинджъра FaceTime. Буквално денонощие по-късно бяха открити нови уязвимости, свързани със същото приложение.

    Съвети за потребителите

    Ако все още не сте обновили своята версия на iOS до 12.1.3, направете го сега.

  • Какви уязвимости са отстранени в iOS 12.1

    Тази седмица Apple пусна голям ъпдейт на софтуерните си продукти, включително и операционната система iOS. В новата версия iOS 12.1 са отстранени редица уязвимости и в настоящата статия ще разгледаме някои от тях.

    Закърпени дупки във FaceTime

    В iOS 12.1 са отстранени четири проблема със сигурността на видеомесинджъра FaceTime.

    Според публикувания доклад две от уязвимостите позволяват на „външно лице да стартира обаждане по FaceTime, което задейства зловреден код“. Няма по-детайлна информация за това как точно може да протече евентуална атака.

    Третата уязвимост позволява изпълнението на зловреден код чрез изпращането на компрометирано видео в месинджъра. Четвъртата уязвимост може да предизвика изтичане на памет.

    Ироничното е, че по-малко от денонощие, след като iOS 12.1 беше пусната, се появи видео с нова уязвимост във FaceTime. Тя позволява разглеждането на контакти в телефона без необходимостта да се отключва устройството. По-рано тази година авторът на видеото Хосе Родригез беше открил други две уязвимости, които са отстранени в iOS 12.1

    Събиране на данни от заключен iPhone

    Te позволяват да се преглеждат данни от заключен iPhone. Става дума за уязвимости във VoiceOver и Notes. VoiceOver е функция, която се използва от потребители с нарушено зрение. Уязвимостта позволява да се разглеждат снимките на паметта на устройството, без да се налага то да се отключва.

    Уязвимостта в Notes прави възможно споделянето на данни от заключено устройство.

    Подобрения по Safari

    Поправени са няколко бъга в браузъра Safari. Два от тях са открити във функцията Reader и са позволявали изпълнението на UXSS (Universal Cross-site Scripting) атака.

    Други четири уязвимости са открити в енджина WebKit. Две от тях позволяват да се зарази устройството със зловреден код. За целта потребителят трябва да отвори специално създадено за атаката уеб съдържание.

    Една от уязвимостите засяга адрес бара на Safari. Тя позволява на злонамерено лице да манипулира браузъра така, че той да показва грешен интернет адрес. Така потребителят може да си мисли, че отваря легитимен сайт (например заглавната страница за вход към Gmail), докато всъщност отваря фишинг страница.

    Четвъртата уязвимост е позволявала да се осъществи DoS атака на устройството. Това е било възможно да се случи, ако на браузъра се зареди зловреден сайт.

    Обновената версия на операционната система е съвместима с iPhone 5s и нагоре, iPad Air и по нови-модели, както и iPod touch 6th generation. Можете да разгледате и пълен списък с всички обновления, засягащи продуктите на Apple.

    За да обновите софтуера на устройството си до iOS 12.1, влезте в:

    Settings > General > Software Update
  • Скрити копачи на криптовалути стават все по-често срещани при мобилните устройства

    Ако последните 2 години бяха белязани от главоломен ръст на криптовируите, то 2018 г. е подвластна на нова тенденция – скритото копаене на криптовалути. Скрито, защото става без ясното знание на засегнатите потребители, чийто компютри – а вече все по-често и мобилни телефони – са използвани за „добив“ на криптовалути.

    В числа – статистиката показва, че от началото на годината засечените подобни атаки срещу различни сайтове са се увеличили с 27%, а за мобилни устройства – с 4000%.

    Как работят?

    Целта на cryptojacking атаките не е да криптират файловете ви или да ви попречат да работите с устройството си, а точно обратното – те разчитат на постоянната работа на телефона или таблета ви. Това се дължи на факта, че тези вируси прикрито „копаят“ криптовалути в полза на атакуващия.

    Вижте още: Как вашият сървър (или сайт) прави пари за хакерите

    В нормални обстоятелства, добивът на криптовалута се осъществява чрез множество отделни (специализирани) процесори, които комбинират изчислителната си мощ. Cryptojacking операциите наподобяват това като комбинират множество заразени устройства – колкото повече, толкова по-големи приходи. Най-често жертви на такива вируси стават потребителите на Android устройства, тъй като контролът при пазарът за приложения не е толкова строг, колкото при iOS.

    Напоследък феноменът се разраства при мобилните устройства с притесняващи темпове. Доказателство за това е скорошното разкритие на ESET, че популярната игра Bug Smasher (около 5 милиона сваляния) е включвала прикрит cryptojacker. Въпреки че не са толкова мощни, мобилните устройства са атрактивна цел по няколко очевидни причини. Замислете се, като начало: колко приложения, които не използвате стоят на телефона ви?

    Как да открием, че сме заразени

    При прекомерно агресивно присъствие на cryptojacker-и, телефонът ви може да не само да се нагрява и бави ненужно, но и батерията ви може да бъде повредена заради постоянното и прекалено бързо разреждане.

  • Топ 6 инструмента, използвани от хакерите за кражба на криптовалута.

    Опитите за кражба на криптовалути стават все повече и все по-чести. Последният по-сериозен пример до момента е атака от началото на юли месец, в която са били спрени над 2.3 млн. опита за подмяна на информация за притежатели на криптовалути през един от сайтовете посредници.

    Защо? Защото само за година Bitcoin е увеличил стойността си повече от 3 пъти и към 31 юли се продава срещу 8,155.24 USD. Как всъщност се крадат криптовалути и как да предпазите своя портфейл?

    В долните редове може да се запознаете с 6-те най-използваните метода.

     1. Приложения от Google Play и Apple App Store

    Особено характерно за потребителите на смартфони, които не се защитават адекватно, е да станат жертви на измамни приложения. Те изглеждат сякаш идват от определени крипто организации – Coin Miner, Eth Miner и др. При стартирането на приложението от потребителят се изисква да въведе чувствителните си данни, за да получи достъп до своите профили и по този начин дава достъп на хакерите до профила си.

    2. Ботовете в Slack

    Slack ботове, които се използват за кражба на криптовалута, се превърнаха в най-бързо развиващата се и използвана система от измамниците. Тази атака се осъществява посредством бот, който изпраща уведомление към потребителите за даден проблем с техния криптопортфейл.
    Когато потребителят последва линка, той трябва да въведе частния си ключ за достъп до криптопортфейла – и го отваря за кражба.

    Прочетете повече от какво и как да защитите Android устройството си.

    3. Add-ons и Pop-ups за криптотърговия

    Повечето браузъри днес предлагат персонализиране на потребителския интерфейс за по-удобна работа с криптопортфейли и обмен на валути. Проблемът е, че някои тези добавки са силно уязвими към хакерски атаки. Голяма част от тези разширения могат да се използват и за скрито копаене на валути, което използва ресурсите на компютъра ви и често остава незабележимо.

    4. Автентикация чрез SMS 

    По-голяма част от потребителите избират да използват мобилна автентикация, тъй като смартфонът е винаги в джоба им. SMS съобщенията се изпращат навсякъде по света чрез протокола Signaling System 7 (SS7). Специалисти демонстрираха прихващането на текстови съобщения, използвайки свой собствен изследователски инструмент, който използва слабостите за прихващане на този тип трафик . Демонстрацията беше направена, използвайки сметки на Coinbase, шокирайки потребители на борсата. Това доказва, че дори и 2FA чрез SMS не ви дава пълна безопасност.

    5. Публични Wi-Fi мрежи

    Никога не правете важни транзакции през публична мрежа, дори и да използвате най-сигурния VPN. Кракването на WiFi защита е особено наболяла тема, тъй като до голяма степен, все още се използват остарели защитни стандарти. В новите пък, биват открити уязвимости, като добър приер за това е Krack атаката, която позволява на външен потребител да шпионира трафика на мрежата, без да е в нея.

    6. Клониране на сайт

    Въпреки че, част от описаните до момента методи са до някаква степен базирани на този, добрия стар чист фишинг продължава да е главозамайващо ефективен. При този тип атака се клонира или изработва страница, която изисква въвеждането на лични данни. В последствие, потребителите биват привлечени към нея по един или друг начин, а всеки, който въведе данните си може да се сбогува с каквато и наличност да има в криптопортфейла си.

    Добрата новина е, че намирането на пробойни в потребителската защита става все по-трудно, тъй като не само услугите се усъвършенстват, но и самите потребители. Все повече хора използват многослойна автентикация и антивирусен софтуер, който предпазва от конвенционални атаки. Фокусът на хакерите вече се измества към създаването и разпространението на код, който копае валути в тяхна полза чрез чужди машини.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Какви са подобренията в сигурността на новия iOS 12 и браузъра Safari

    iOS 12 е готов за пазарен дебют през септември тази година. Освен подобрен интерфейс и нови функционалности, новата версия на операционната система за iPad и iPhone (и вграденият в нея браузър Safari) вдига високо и летвата на информационната сигурност. Ето защо:

    По-малко Ad Tracking

    Браузърът Safari е известен с факта, че не разрешава third-party cookies, които ви проследяват докато посещавате няколко уебсайта наведнъж. Иначе казано – не позволява създаването на крос референции за навиците ви на сърфиране, с което да се създават модели на поведението ви и таргетиране на реклами към вас.

    В iOS 12 тази функционалност ще бъде допълнена с блокиране на секциите за коментари и бутони за споделяне на социални мрежи и медии – те няма да работят изобщо. Причината – че чрез тях, различни трети страни може да ви идентифицират дори и да не кликате на тези бутони или  да коментирате.

    Освен това, Apple ще внедри и допълнителни мерки за предотвратяването на т.нар fingerprinting – разпознаването на устройството ви чрез уникалната му конфигурация, добавки, приложения и т.н.

    Моментално споделяне на локация със спешни услуги

    Apple си партнира с RapidSOS, за да помогне за развитието на всичките 6,500 центъра за спешни повиквания в САЩ. Това партньорство дава възможност на iPhone да изпрати точното местоположение до центъра за спешни повиквания моментално, когато някой е в беда и се обади на 911.

    Това ще помогне на всички неспособни да дадат местоположението си на телефонния оператор. Също така може да помогне и на хора, които се обаждат от ново непознато за тях място. Apple ще използва технология, наречена HELO, за да изпраща данните до оператора в кол центъра.

    По-добра защита от хакване

    Когато някой иска да получи достъп до вашия iPhone без ваше разрешение, най-често използва brute-force атаки. Опитите за brute-force представляват малко по-сложен и много по-бърз процес на „налучкване“.

    За да се справи с това, iOS 12 ще наложи лимит. Например, ако телефонът не бъде отключван за повече от 1 час, той ще смени своето състояние и ще блокира изтичането на информация през USB свързаност с компютър.

     

    Двуфакторна автентикация

    Двуфакторната автентикация (2FA) е чудесен начин да добавите още един слой сигурност към чувствителни приложения и уебсайтове от трети страни. Въпреки това, в предишни версии на системата, влизането в специално защитено приложение се случва чрез копиране на SMS кода от съобщение и въвеждането му. Последната версия на iOS опростява този процес допълнително като ви дава възможност за автентикация директно през системата.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • WhatsApp бъг позволява забиване на приложението с текстово съобщение

    Последен ъпдейт на 28 юни 2018 в 11:56 ч.

    Популярното приложение за комуникация WhatsApp е уязвимо на атака със специфично съобщение, което води до блокирането му. Бъгът е забелязан от потребители и може да доведе до спиране на работата на цялото устройство.

    В зловредното съобщение се съдържат специфични знаци, които се обработват неправилно от приложението и водят до фатална софтуерна грешка.

    Към момента са познати два варианта на съобщението. Един от тях съдържа предупреждение „Ако ме отвориш, ще ти забие WahtsApp“ и завършва с голяма черна точка. При докосване на точката, приложението спира да функционира. Това съобщение се възползва от претоварване чрез експлоатация на особености в  изписването на текст отдясно наляво (RTL).

    Вторият вариант изглежда доста по-безобиден и не съдържа предупреждения или указания. Това съобщение съдържа специални символи, които не се визуализират и завършва с емотиконка (която е единственото видимо нещо съобщението). Причина за претоварването в този случай е размерът на съобщението.

    WhatsApp се използва от над 1.5 млрд. потребителя по цял свят, показват данни на Statistia.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Ъпгрейднете вашия Mac, iPhone и iPad сега

    Последен ъпдейт на 28 юни 2018 в 01:14 ч.

    Ако използвате macOS или iOS, време е за ъпгрейд на операционната ви система, за да запушите 4 сериозни уязвимости в сигурността на устройството си.

    От какво ще се предпазите:

    1. Две от критичните уязвимости са CVE-2018-4200 и CVE-2018-4204. Те засягат WebKit, енджинът на уеб браузъра на Apple Safari (версиите му и за macOS, и за iOS. Те позволяват изпълнението на произволен код при посещение за заразени уебсайтове от страна на уязвими потребители.
    2. CVE-2018-4187 е бъг в софтуера за парсване на уеб адреси от страна на QR четеца на операционната система. Благодарение на нея, може лесно да се създаде QR код, който да показва невинно изглеждащо име на хост в известието показано от устройството, докато връзката сочи към злонамерен сайт
    3. CVE-2018-4206 – засяга Crash Reporter, приложението, което изпраща Unix краш логове на инженерите на Apple с цел откриване на потенциални бъгове, довели до забиване на устройствата. Грешката в него дава на приложението завишени права.

    Ъпдейти за tvOS, watchOS и iTunes не са налични, но предвид предишния ни опит в подобни ситуации, можем да заключим, че може да ги очакваме скоро, тъй като WebKit е наличен и в тях.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Кое е по-сигурното устройство? Телефон срещу компютър

    Последен ъпдейт на 28 юни 2018 в 01:26 ч.

    Смартфоните и таблетите вече промениха начина по който комуникираме и работим – както направиха компютрите преди 20-ина години. И – както си му е реда – дойде време да се замислим за няколко основни неща:

    1. Какво споделяме с телефона си (каква информация за нас самите разполага устройството в джоба ни)?
    2. Как е защитена тя и можем ли да направим нещо, за да я защитим по-добре (и какво)?
    3. Кое е по-сигурното устройство? Телефонът/таблетът или компютърът ми?
    4. (има и още въпроси, но те сa предмет на други текстове)

    Ето и отговорите:

    1. Телефонът ви знае на практика всичко за вас – може би ви познава по-добре отколкото вие познавате себе си
    2. Информацията е защитена нелошо още на ниво операционна система, което обаче не изключва допълнителни мерки за сигурност (например – антивирусно приложение, система за родителски контрол или контрол на служителите – MDM) и т.н.
    3. Продължете да четете надолу :)

    Отговорът на въпроса коя е по-сигурната среда – мобилната или тази на компютъра е просторен и заслужава повече внимание. Ще започнем с това, че много хора (грешно) смятат, че мобилните устройства не разполагат със средствата да бъдат защитени като един лаптоп, например. И ще продължим с:

    1. Прекомерното разнообразие

    Разнообразието от устройства и разновидности на операционни системи е (почти) прекалено голямо, за да може един вирус да обхване всички устройства. Въпреки, че Android владее 88% от пазара (по данни на statista.com), модификациите на операционната система с отворен код са толкова много, че е трудно да се напише вирус за всички едновременно. Не точно така стои ситуацията с Windows при компютрите . Единствено фундаментална уязвимост като наскоро откритите Spectre & Meltdown може да обхване значима част от мобилните устройства.

    Разликите в хардуера също обуславят ограничения в типовете вируси, достъпни за смартфони (например, без хардуерна клавиатура е по-трудно да се напише кийлогър за мобилни телефони).

    2. Официалните магазини за приложения

    Наличието на централизирани магазини за софтуер за най-големите операционни системи (Android и iOS) е стъпка към ограничаването в разпространението на зловредни кодове за мобилни телефони. Контролът (автоматизиран при Android и от хора при iOS) е още една стъпка в правилната посока.

    Благодарение на тези усилия, шансът да се заразите с вирус намалява драстично – но системата е далеч от перфектна или неуязвима.

    3. Кажи „да“

    Мобилните операционни системи имат още две сериозни предимства в сравнение с Windows, Например:

    • те работят в sandbox среда (иначе казано не могат да достъпват информация от други приложения)
    • за достъп до определени функции се изисква изрично съгласие на потребителя (друг е въпросът доколко потребителите внимават какви позволения дават на приложенията, които инсталират).

    4. Мобилните мрежи са по-безопасни от WiFi

    И причината за това е много проста – (на теория) никой, освен мобилния ви оператор, не може да наблюдава трафика в 3G / 4G мрежата. При използването на чувствителни данни онлайн е винаги по-безопасно да използвате нея, отколкото WiFi – дори и защитен с парола такъв.

    Казаното дотук не означава, че няма начин един телефон да бъде заразен и компроментиран – или, че за мобилни устройства 100% от приложенията са безопасни. По-скоро статистически е по-малко вероятно (все още) това да се случи заради по-високото ниво на вградена в устройствата защита.

    Тепърва предстои на мобилните устройства да се докажат като достатъчно сигурни, тъй като те продължават да се налагат като все по-важен инструмент в ежедневието ни. От нас се иска единствено да се отнасяме достатъчно внимателно с информацията, която споделяме с тях – и приложенията, които инсталираме.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button