Най-интересното

  • Уроците на COVID-19: 7 грешки, които допускаме за домашната си мрежа

    Масовата работа извън офиса покрай пандемията с COVID-19 ни научи на много ценни уроци. Един от тях: домашната мрежа е точно толкова важна и трябва да е поне толкова сигурна, колкото тази в офиса.

    Отдалечената работа не е феномен от днес – просто покрай пандемията тя стана по-масова. Заплахата от вируса направи така, че бюрото в офиса се смени с това вкъщи, училищата на децата ни са изместени в онлайн класни стаи и комуникацията с близките ни минава през интернет. И, ако защитата на корпоративната мрежа не е наша лична отговорност, то вкъщи ние трябва да се погрижим и за сигурността си. Това може да е само полезно, защото същата домашна мрежа обикновено използваме за гледане на филми, сърфиране в интернет и т.н. Все неща, за които сигурността е важна.

    В този текст ще съберем най-често срещаните грешки, които видяхме по време на пандемията и начините, по които може лесно да бъдат отстранени.

    Грешките

    1. Конфигуриране на безжична мрежа без парола. Разбира се, това е най-лесният и удобен начин за конфигурирането на една безжична мрежа. Това обаче означава две неща: спад в производителността на цялата мрежа (мрежата без парола почти сигурно означава, че в нея ще има много неканени гости) и широко отворени врати за злонамерени лица, които могат да инфектират вътрешната мрежа. Винаги слагайте парола на мрежата си (и то не каква и да е – виж грешка 3).
    2. Прикриване на името на безжичната мрежа (SSID), която отново е без парола. Мит, който се разпространява в интернет. Като скрием името на нашата мрежа (SSID), то тя става „невидима“ и по този начин няма нужда да я подсигуряваме с парола, защото така или иначе само ние ще имаме достъп до нея. Истината обаче е, че това изобщо не е така. Дори да скрием SSID, рутерът продължава да изпраща сигнали и те могат да бъдат прихванати, без това да изисква специализирани познания или инструменти. Като скрием SSID не повишаваме сигурността, а създаваме само един лек визуален ефект. Винаги слагайте парола на мрежата си (и то не каква и да е  – виж следващата грешка).
    3. Използване на слаба парола за безжичната мрежа. Първо, нека дефинираме какво е слаба парола. Това е парола, която съдържа малко на брой символи и по този начин тя е уязвима на brute-force атака (състои се в съставяне на списък от всякакви символи с всякакви дължини и опит за логване в мрежата с някоя от различните комбинации).  Друг вид слаби пароли са често срещани комбинации: admin, password, root и т.н. Тези пароли отново са уязвими на brute-force атака, но базирана на т.нар. dictionary attack (това са списъци, които съдържат едни от най-често използваните фрази за пароли). За слаба парола може да се приеме и например серийния номер на рутера, въпреки че в повечето случаи той е със сравнително голяма дължина и съдържа цифри и букви. Уязвимостта се крие именно в това, че ако нападателят разбере модела на рутера (а това изобщо не е трудна задача), той ще може да генерира списък от пароли, в който да са описани всички възможни комбинации от цифри и съответно техните дължини, които са характерни за серийните номера на този вид рутери. Така значително се намалява времето за разбиване на паролата. Освен гореописаните примери, като слаба парола може да дефинираме и всяка една парола, която поради една или друга причина се свързва с нас или ни идентифицира. Например, името на нашият домашен любимец, номер на улица, ЕГН и т.н. Добрите практики показват, че една сигурна парола трябва да е от минимум 14 символа и да е съставена от специалмни символи, цифри, главни и малки букви.
    4. Използване на слаби/остарели криптиращи протоколи за безжичната мрежа. Избягвайте използването на WEP и WPA, защото имат познати уязвимости и при правилното им експлоатиране може да се стигне до компрометиране на вътрешната мрежа. Използването на WPA2 в комбинация с криптиращия алгоритъм WPS е още една функционалност, която отваря дупка в сигурността на домашния ни рутер. Независимо че се използва WPA2 + AES, ако WPS е пуснат, чрез него е възможно компрометирането на рутера. Затова, след като се уверите, че използвате съвременни криптиращи протоколи и алгоритми за безжичната мрежа, задължително изключете WPS!
    5. Използване на фабричното потребителско име и парола за достъп до рутера. Никога не оставяйте фабричните настройки на рутера непроменени. Винаги конфигурирайте ваша сигурна парола за достъп до рутера, като по този начин ще предотвратите неоторизиран достъп до него.
    6. Неактуализиране на фърмуера на устройството. В повечето случаи, както потребителското име и паролата, така и версията на фърмуера, не се обновяват и остават такива, с каквито е дошло устройството. Плюсовете за използването на последната актуална версия на фърмуера се състоят в подобряване на производителността на устройството и отстраняване на някои бъгове, както и в закърпване на софтуерни уязвимости, които биха поставили вашето устройство в риск. Винаги прилагайте последния възможен фърмуер за вашият рутер!
    7. Използване на Port Forwarding за достъп на вътрешна услуга от Интернет. Всеки домашен потребител би искал да може да управлява своя принтер, NAS устройство, домашен компютър (най-често чрез RDP), IoT устройство и дори самия рутер от всяка точка на света. Да, това осигурява голяма свобода и удобство, но на каква цена? Публикуването на услуга в Интернет означава, че тя ще бъде видима не само за нас, но и за други лица, за които нямаме гаранция, че ще имат добри намерения. Дори и да сме приложили описаните по-горе стъпки, отварянето на порт и съответно услуга би позволило на злонамерените лица да атакуват и съответно да експлоатират тези услуги, като по този начин си осигурят достъп до вътрешната мрежа и нашите ресурси в нея. Затова, препоръчително е използването на VPN, който ще осигури сигурна и криптирана връзка до вътрешната мрежа, която не може да бъде пресечена от трети лица. Като краен вариант, при невъзможност за конфигурирането на VPN, може да се приеме ограничаването на достъпа до тази услуга само до конкретен публичен IP адрес.

    Дотук разгледахме едни от най-често срещаните грешки при конфигурирането на домашната мрежа и това как да ги елиминираме.

    В следващите редове ще опишем и нашите препоръки за превръщането на домашната ни мрежа в работна.

     

    Нашите препоръки

    1. Сегментиране на мрежата. Създайте и сегментирайте домашната си мрежа още на ниво VLANs, така че тя да бъде в отделен VLAN от мрежата, която ще използвате за корпоративни цели. Така ще имате две отделни мрежи, като те не трябва да имат достъп една до друга. По този начин дори вашата локална мрежа да бъде заразена, тази зараза няма да се принесе към корпоративната мрежа (и обратно).
    2. Включете защитните механизми във вашият рутер. Почти всички рутери имат т.нар „базов“ stateless firewall. В средния клас рутери има дори SPI firewall, както и други защитни механизми

    Ако вашият рутер няма тези функционалности (или искате да ги надградите) може да инсталирате друга операционна система, която да ги „отключи“. Най-широко разпространени на пазара са OpenWRT и ddWRT. Те могат да превърнат един най-обикновен рутер за 20 лв. в устройство, което има SPI firewall, VPN, VLANs и т.н. Внимание! Инсталирането на друга операционна система на вашия рутер може да го повреди/счупи и затова трябва да бъдете много внимателни! Препоръчваме да се запознаете детайлно с процеса преди да предприемате подобни действия.

    1. Използване на CloudFlare DNS for Families – Това е нова услуга, предоставена от облачния гигант. Тя се състои в използването на техни DNS сървъри, които филтрират малуер и съдържание за възрастни, напълно безплатно. По този начин добавяте още един слой към вашата сигурност още на ниво DNS. За целта, в настройките на рутера конфигурирайте една от следните опции:
    • За блокиране на зловредни кодове:
    • Основен DNS : 1.1.1.2
    • Втори DNS : 1.0.0.2
    • За блокиране на малуер и филтриране на съдържание за възрастни:
    • Основен DNS : 1.1.13
    • Втори DNS : 1.0.0.3
    1. Ако имате подръка Raspberry Pi, тогава може да се възползвате от още един безплатен продукт на CloudflareCloudflare Gateway. С помощта на Raspberry Pi, Pi-hole и DNSCrypt, вие ще можете да включите защитни механизми като например, но и не само DoH (DNS over HTTPS) за конкретно устройство, браузър и дори за цялата локална мрежа. Така ще може да се защитите от най-различни мрежови атаки като фишиниг, малуер, криптовируси и т.н.

    Въпреки че изпълняваме служебните си задължения от вкъщи, сигурността на домашната ни мрежа е наша отговорност. Ако подходим с лека ръка към нея, това може да има пагубни последствия не само за устройствата вътре в нея, но и за корпоративната мрежа и ресурси.

    Елиминирайки грешките, описани по-горе, значително се намалява шанса локалната ни мрежа да бъде компрометирана. Ако следваме и препоръките, тогава ще постигнем едно доста добро ниво на мрежова сигурност. Имайте на предвид, че освен последната точка за Cloudflare Gateway, (където се изисква да имате наличен Raspberry Pi) всичко друго изписано до тук изисква само и единствено време и желание от ваша страна. А какво по-хубаво от това да надградите домашния си рутер с всички тези защитни механизми и функционалности на цената от 0 лв.?

  • Един jailbreak за всички iPhone

    Хакерската групировка, наречена Unc0ver, публикува нещо като мана за собствениците на iPhone: jailbreak за почти всички версии на iOS от 11 до 13.5 (изключения са единствено версии 12.3 до 12.3.2 и 12.4.2 до 12.4.5).

    Хакерите твърдят, че са използвали zero-day уязвимост в iOS, но не разкриват по-сериозни технически детайли. Според публикация на Vice Motherboard, става дума за пропуск в кода на iOS ядрото.

    От Apple вече са се заели да премахнат откритата уязвимост, като ъпдейт се очаква най-рано в следващите 2-3 седмици. Въпреки това  Pwn20wnd уверява, че потребителите могат да се върнат на по-стара версия на iOS, което отново ще им позволи да „отключат“ операционната система. Тук изниква въпроса, защо обаче потребителите изобщо да го правят и дали jailbreak-a все още е на мода.

    Ограничавайки крайните потребители и без възможност за пълен административен достъп в iOS, от Apple целят да гарантират максимална безопасност и стабилност на работа, но в замяна на невъзможност за инсталация на „външен и неодобрен“ софтуер.

    Точно на този психологически похват залагат и от Unc0ver – „Можете да промените каквото пожелаете и да накарате устройството да работи по ваша преценка, отключете истинската сила на вашето i устройство“, гласи посланието при сваляне на инструмента от сайта на групата.

    Неоправдан риск

    Всъщност дори това твърдение да е вярно, ако се погледне от друга гледна точка, отключването на системата е изключителен риск за сигурността на потребителя.

    Чрез заобикаляне на заложените ограничения, потребителят рискува да станете жертва на различен вид зловреден софтуер, който по принцип не би трябвало да е реална заплаха. Факт е, че Apple се стремят към пълен контрол върху цялата екосистема. Тоест приложенията, които работят  върху нея, не могат да бъдат инсталирани извън официалния одобрен канал (App Store) от производителя, а това не се нрави на някои потребители.

    Причината: използването на такива неодобрени програми може да изиграе лоша шега на любопитния потребител. Интересът и предизвикателството за всеки ентусиаст да пробва собственоръчно новия инструмент се оказаха обаче огромни – малко след като беше публикуван, сайтът на Unc0ver беше временно недостъпен от огромния брой заявки.

    Като завършек на интересния случай, член на екипа на Unc0ver – Pwn20wnd е убеден, че „В бъдеще ще се публикуват все повече инструменти за jailbreak и дори след излизането на iOS 14. Ако все пак Apple успеят да закърпят текущата уязвимост, аз ще направя нови програми използващи подобен zero-day подход.“

    Голям дял = голям интерес

    По последни данни на Statcounter.com, делът на мобилните устройства, работещи под всички версии на iOS, е около 29 %. Добрите резултати на Apple имат и своите последствия – привличат вниманието на „хакери“ и „кракери“, които да доказват своите умения върху продуктите на компанията.

    Следователно, уравнението и максимата: много потребители = голям интерес от страна на хакери и евентуално – недоброжелатели, се потвърждава.

  • Тъмната страна на работата у дома

    Работа от личен, вместо от служебен компютър. Съхраняване на служебна информация на незащитени машини и платформи. Използване на слаби пароли за неоторизирани услуги. Споделяне на конфиденциална информация през имейл, вместо чрез оторизираните източници.

    Това са само част от практиките, с които служителите заобикалят процедурите за киберсигурност на организациите си, докато работят от вкъщи. И рискуват бизнеса на работодателите си.

    Над 52% от участниците в проучването The State of Data Loss Report 2020 на Tessian признават, че не се свенят да заобикалят изискванията, поставени от IT мениджмънта, докато принудително работят от вкъщи заради пандемията от COVID-19.

    В не малка част от случаите служителите не пренебрегват правилата нарочно. Правят го, за да спазят поставените срокове за задачите си, докато са притиснати от различни разсейващи фактори: грижата за децата и домакинството, липсата на място, предназначено само за работа и др. И вярват, че поемането на излишни рискове ще им се размине, защото IT екипите им не ги наблюдават непрекъснато.

    Пак около половината анкетирани твърдят, че са принудени да заобикалят правилата заради тромави или сложни процедури (IT мениджъри, замислете се дали и при вас изискванията не са твърде сложни за спазване).

    Каквато и да причината за подобни практики, обаче, резултатът е един и същ: съществуването на организацията ви е изложено на допълнителен риск. Особено в ситуация, в която киберпрестъпниците се опитват всячески да се възползват от подобни грешки и заобикаляне правилата при работа от вкъщи. „Достатъчно е да има един изпратен мейл с конфиденциална информация до неправилен получател, един източен файл от услуга в облака,  за да си навлечете загуба на бизнес, проверки и глоби от регулатори и др.,“ коментират авторите на прочуването.

    Вижте какви са рисковете, пред които е изправен бизнеса ви при отдалечена работа на служителите ви и как да ограничите рисковете.

  • Най-големият частен оператор на болнични услуги в Европa стана жертва на ransomware

    Криптовирус стана причина за временно забавяне на работата на най-големия европейски частен болничен оператор и основен доставчик на диализни продукти и услуги Fresenius.

    Атаката е засегнала едно от четирите подразделения на организацията – Fresenius Kabi (доставчик на медикаменти и медицински устройства). Компанията все още се бори с последиците от заразата, уведомила е разследващите органи и продължава да полага грижи за своите пациенти. Няма официална информация за използвания зловреден код и дали е поискан откуп.

    Как е осъществена атаката

    Според блога за информационна сигурност KrebsOnSecurity Fresenius е засегната от Snake Ransomware. Зловредният код е използван за атаки предимно срещу големи организации. Той взима за „заложници” ИТ системите и данните им в замяна на плащане на откуп под формата на криптовалути.

    Атаката срещу Fresenius идва на фона на все по-целенасочени атаки срещу доставчици на здравни услуги на първа линия за реагиране на пандемията COVID-19, за която предупреди Интерпол през април.

    През изминалата седмица предупреждения за зачестили ransomware-атаки, насочени към организации, работещи в областта на здравеопазването, оповестиха и Агенцията за кибер- и инфраструктурна сигурност на САЩ (CISA) и Националният център за киберсигурност на Великобритания.

    В сигналите се споменава, че пандемията вероятно предизвика допълнителен интерес у киберпрестъпниците да събират информация, свързана с COVID-19, например разузнавателна информация за националната и международната политика в областта на здравеопазването или чувствителни данни за изследвания, свързани с COVID-19.

    Организирано средство за изнудване

    Доскоро подобни ransomware-атаки бяха смятани за единични нападения с цел получаване на откуп. Напоследък обаче те се превръщат в основна причина за изтичане на данните на редица организации, станали тяхна жертва. Според Лорънс Ейбрамс (Bleeping Computer) атаката срещу Fresenius вероятно е част от по-мащабна Snake Ransomware кампания, която набира голяма скорост през последната седмица.

    Прочетете и: Екраните почерняваха един след друг… Или неразказната история на NotPetya

    Базирана в Германия група Fresenius включва четири независими компании, работещи в различни критични сфери на здравеопазването, с близо 300 хил. души персонал в повече от 100 държави. Компанията предоставя продукти и услуги за диализа с близо 40 процента от пазарния дял в САЩ. Вече е известно, че COVID-19 причинява бъбречна недостатъчност при много пациенти, което води до недостиг на диализни машини и консумативи и до повишено търсене на услугите на Fresenius.

  • Forbes: Xiaomi следи всяка потребителска стъпка в интернет, но отрича твърденията

    Ъпдейтнат на 11 05 2020 в 12:13 ч.

    Истинска война се разрази между Forbes/Gabi Cirlig и производителя на смартфони Xiaomi. Причината:  твърдението на първите, че вграденият браузър в устройствата на вторите събира и изпраща историята от приложението за сърфиране (дори и в инкогнито режим) към сървъри в Сингапур и Русия.

    Още по-притеснителни са твърденията, че данните могат да бъдат използвани за идентифицирането на отделни потребители. Допълнителни изследвания показват, че телефоните записват още кои папки са отворени, кои приложения използват потребителите и какви настройки са конфигурирани. Черешката на тортата е, че музикалният плейър на Xiaomi записва какво и кога слуша съответният потребител.

    Всички твърдения са отречени от Xiaomi – в публичен пост, доста по-детайлен от публикувания във Forbes анализ.

    Разследването

    По молба на Forbes, експертът по киберзащита Андрю Търнеи е разследвал казуса. Той открива, че браузърите Mint и Mi Browser Pro записват една и съща информация. От приложената снимка по-долу става ясно, че когато потребител влезе в някой сайт, браузърът изпраща информация за посетения сайт обратно към Xiaomi, а самият посетен URL адрес не е скрит по никакъв начин.

    Xiaomi отрича да записва каквато и да било информация

    Като отговор на новите разкрития, Xiaomi публикуват дълго изявление. Накратко, в него се казва, че събираните данни не могат да бъдат използвани за идентифицирането на конкретен потребител. Те отричат и твърденията, че телефонът събира информация от браузъра, докато той е в режим инкогнито. В изявлението пише още:

    „Разочаровани сме от материала на Forbes. Усещаме, че те са разбрали погрешно изявлението ни по повод принципите и политиките, които следваме за защита на лични данни. Защитата на личните данни на потрбеителите ни и сигурността им в интернет са наши водещи приоритети. Убедени сме, че спазваме стриктно местни законодателства и регулации.“

    Според анализа на Cirlig е предоставено видео (за съжаление, не е публично), което показва, че Mi браузъра наистина събира информация за това, което правим в инкогнито режим.

    Ману Кумар Джайн, вицепрезидент на Xiaomi Индия също даде отговор във видео, в което той отговаря на обвиненията, че Xiaomi събират информация от потребителите си.

    Междувременно, пост в Twitter показва как може успешно да се докаже, че Mint браузъра събира информация за крайните си потребители и я изпраща към сървърите на Xiaomi:

    До този момент обаче Xiaomi запазват мълчание и не дават отговор на поста, качен в Twitter.

    Това събитие е чудесен повод да напомним, че независимо дали става дума за Samsung, Huawei, Xiaomi и т.н., използването на вградени от производителя уеб браузъри и приложения не е препоръчително.

    „Класическите“ Google-Chrome, Firefox и новият Microsoft Edge са за предпочитане пред вградените, но съществуват и такива, които наистина се грижат за вашето право на уединение:

    Също така горещо можем да препоръчаме тези два клипа:
    How to protect your online privacy in 2020 | Tutorial
    Ultimate smartphone security guide | How to secure your phone tutorial

     

  • Ghost, Digicert и LineageOS “посолени” от уязвимости в SaltStack

    Броени дни след публичното оповестяване на двете критични (CVSS 10) уязвимости в Salt, престъпници успешно експлоатират незащитени сървъри. Сред жертвите има и няколко популярни имена:

    • Ghost – иновативна CMS платформа, използвана от Mozilla, NASA, и DuckDuckGo. След близо 7-часово разследване на проблеми с производителността и предоставяните услуги, компанията известява своите потребители, че са станали жертва на хакери.
    • LineageOS. Базираната на Android операционна система за мобилни устройства съобщава в Twitter за неоторизиран достъп до инфраструктурата й. В статус страницата, която следи състоянието на различните услуги все още се виждат проблеми от тип – „Full outage
    • DigiCert. От второто най–голямо Certificate authority в интернет обявиха, че сървърите, отговарящи за Certificate Transperancy (CT2) са били компрометирани. В темата става ясно, че засегнатите сървъри са в различна мрежа от тези за издаване на сертификати… в противен случай, можеше да стане наистина страшно

    Това далеч не са всички жертви:

    Добрата новина е, че досега нито един от пробивите не е свързан с компрометиране на чувствителна информация, кражба или саботаж. Престъпниците са предпочели да копаят криптовалутата Monero.

    Лошата новина е, че са нанесени изключително големи щети – факт, все още често пренебрегван от обществото:

    attackers don't take the costs

     

    Изводът е, че навременното прилагане на критични ъпдейти, както и добрите практики за ограничаване на достъпа до административни услуги, може да спести много главоболия.

  • Zero-day: iPhone може да бъде хакнат през зловреден имейл

    Ъпдейтнат на 04 05 2020 в 11:56 ч.

    Фенове на Apple, пазете се. Две критични уязвимости в мейл клиента на iPhone и iPad позволяват устройството да бъде хакнато и шпионирано. Според различни публикации, експлойти за тях са написани преди повече от 2 години и се използват активно.

    Как работи: хакерите могат да превземат устройството като изпратят специфичен имейл към потребителя, чийто акаунт е настроен за мейл клиента на iOS, след което те могат да изпълняват отдалечено код  (RCE). В iOS 13 уязвимостта не изисква отварянето на мейла, за да се активира уязвимостта, ако приложението Mail работи във фонов режим. В по-старите версии на операционната система, потребителят трябва да отвори писмото, за да позволи отдалечен контрол от страна на хакерите.

    Самият мейл, експлоатиращ уязвимостта, изглежда като празен – т.е. няма съдържание, а заразата е на практика неоткриваема. „Освен временно забавяне на Mail приложението, няма да забележите нищо  подозрително,“ твърдят анализаторите от ZecOps. Те са открили и пробойната.

    Ето как изглеждат самите мейли:

    Важно е да знаете, че в ZecOps са установили, че след превземане контрола на устройствата, тези мейли са изтривани както от телефона/таблета, така и от мейл сървъра.

    Двете уязвимости са налични от 8 години насам (iOS 6) и засягат версиите до iOS 13.4.1. В наличните към момента версии на операционната система пачове все още няма. Уязвимостта е запушена във версия 13.4.5, чиято втора бета версия е публикувана в средата на април, но няма дата кога ще бъде официално достъпна.

    Официалната позиция на Apple е, че „уязвимостите не представляват пряка заплаха за потребителите ни. Те са факт, но сами по себе си не са достатъчни, за да бъдат прескочени останалите защити на iPhone и iPad. Нямаме доказателства, че са използвани срещу наши потребители. Ще адресираме проблемите в бъдещи версии на софтуера си.“

    За да се предпазите, спрете да използвате мейл клиента на iOS, може да го замените с друго приложение като Gmail, Outlook и т.н.

    Анализаторите са открили, че уязвимостите са активно използвани за шпиониране на различни частни и държавни организации и дори журналисти от Европа.

  • Модул против мамене във Valorant получава администраторски достъп до компютри

    Ъпдейтнат на 04 05 2020 в 11:57 ч.

    Модулът за защита от мамене (cheating) в най-новата игра на Riot Gaming – Valorant – има притеснително много права на компютрите на потребителите.

    Проблемът: приложението стартира заедно с операционната система и работи през цялото време, дори и когато не играете. Освен всичко останало, то има и администраторски достъп до машината.

    Поведението му е открито от потребители на играта и е потвърдено от Riot Gaming в пост в Reddit.

    В какво се състои опасността?

    Казусите са няколко:

    • Софтуерът не може да бъде изключен и върви постоянно с администраторски права. Ако някой със злонамерени цели разбере как да експлоатира софтуера, той автоматично се превръща в rootkit.
    • Второ, това не е комуникирано или обсъдено с потребителите на продукта. Никой, никъде не е споменал, че този модул работи постоянно на машината с максимални привилегии. А сега когато това е открито, Riot Gaming твърдят, че този модул не събира лични данни и не прави нищо злонамерено докато е включен.
    • Трето, това не е първият подобен случай. ESEA е софтуер, разработен с цел да намали броя мамещи в световно известната игра CS:GO. Той е функционирал по подобен начин както и модула на Riot Gaming, с административни привилегии върху машината. Но разработчиците на ESEA са били хванати да инсталират програми които “копаят” криптовалути от машините на крайните им клиенти.

    Какво можем да направим за да се предпазим?

    В оригиналния пост, направен от откривателя на казуса Voidox, се споменава, че може да премахнете модула против мамене като го изтриете директно, или промените неговото име за да не се зарежда.

  • Fleeceware: как се правят пари от потребителска небрежност

    Ъпдейтнат на 04 05 2020 в 11:57 ч.

    Небрежността може да ви струва скъпо. Защото именно на тази небрежност разчитат т.нар. fleeceware. Накратко: това са приложения, които буквално скубят потребителите си с месечни такси за всевъзможни услуги, не малка част от тях дори безсмислени.

    През 2019 г. Sophos разкриха група приложения в Play Store, които се радват на висок рейтинг, въпреки че са практически не особено полезни. Сред тях имаше хороскопи, калкулатори, редактори на селфита и др. Общото между тях: те са безплатни за определен период между 3 и 7 дни, след което започват да начисляват такси на седмична или месечна база. Дотук – нищо ново, freemium модел на продажба на софтуер.

    Повечето подобни приложения са безплатни за определен период между 3 и 7 дни, след което започват да начисляват такси на седмична или месечна баз
    Повечето подобни приложения са безплатни за определен период между 3 и 7 дни, след което започват да начисляват такси на седмична или месечна база

    Тук в действие влиза небрежността на потребителите. Защото в повечето случаи се оказва, че те просто изтриват приложенията, които не харесват и считат, че с това абонаментите им са прекратени. Всъщност, не е точно така. И създателите на fleeceware приложенията се възползват от факта, че за да спрете абонамент, трябва да го направите през настройките на устройството си, а просто деинсталирането на приложението не прекратява плащането на такси.

    Оттам и името fleecewareприложение, което „скубе“ месечни абонаментни такси от сметката ви.

    Вече и за iPhone и iPad

    И, ако допреди година този тип приложения бяха налични само за Android, то вече от тази „екстра“ могат да се „възползват“ и собствениците на Apple устройства. Това показва изследване на SophosLabs.

    Анализаторите на компанията са намерили около 30 fleeceware приложения, много от които събират абонаментни такси в размер на около 30 USD на седмична или месечна база след изтичането на краткия пробен период.

    Доходоносни на ръба на закона

    Тук идва и спорният момент с fleeceware приложенията. На практика, те не са незаконни – нито крадат, нито имат друга зловредна функция. Но начисляват солени такси за услуги, които са или налични в операционната система, или нямат някаква реална практична функционалност.

    С други думи, не малка част от тях не предоставят „реална стойност за клиента“, както се изисква в насоките на App Store на Apple за платени приложения с абонаменти, раздел 3.1.2 (а). Спорно е дали отговарят и на раздел 2.3.2 от същите Насоки, които изискват „ясно да се покаже дали някои от представените елементи, нива, абонаменти и т.н. изискват допълнителни покупки“.

    Въпреки че се движат по този тънък лед, fleeceware са сред най-доходоносните в класацията на Apple App Store. Например, Zodiac Master Plus, е посочено като 11-тото приложение по генериране на приходи.

    Силна реклама

    Ако се чудите, защо потребителите дори биха помислили да инсталират приложения като тези, вероятно това се дължи на рекламата. Тези приложения се рекламират чрез различни популярни платформи, включително в YouTube видеоклипове или в социални медийни платформи като Instagram, TikTok и дори в реклами, които се появяват в рамките на други приложения.

    Повечето от fleeceware се рекламират в App Store като безплатни, затова често не се замисляте, когато ги инсталирате. Друг трик е, че освен че са безполезни, те често имат бъгове, които ви дразнят и ви карат да ги деинсталирате скоро, още в рамките на пробния период. Как да ви хрумне, че точно по тази линия ще изтичат редовни суми от сметката ви…

    Как да анулирате абонамента си

    • От вашето устройство (таблет, телефон) отворете съответния Store (Google Play Store / iTunes & App Store)
    • Проверете дали сте влезли в правилния профил / с точното ID, с който сте се абонирали за приложението
    • Изберете менюто Абонаменти (директно или от Настройки)
    • Изберете абонамента, който искате да отмените
    • Кликнете върху „Отказ от абонамента“, за да изтриете абонамента изрично
    • Следвайте инструкциите

    Списък на Fleeceware приложения вижте тук

  • Android xHelper – троянският кон, който отказва да умре

    Ъпдейтнат на 04 05 2020 в 11:57 ч.

    Интересно проучване от лабораторията на Kaspersky разкрива как троянският кон (trojan) xHelper за Android остава активен дори след връщане на телефона към фабрични настройки.

    Зловредният код се представя като софтуер за почистване и оптимизиране на мобилното устройство и операционната му система (Android), но всъщност в него няма нищо полезно.

    Дори след инсталацията на мнимото приложение, потребителя няма да намери нито нова иконка, нито ще се покаже при търсене в менюто. Крайният резултат е заразяване с многофункционален зловреден код от тип Triada, който може да извлича всякакъв тип данни от жертвите си.

    Засегнати версии

    Основно засегнати устройства се намират в Китай и са със сравнително стари версии на Android – 6 и 7, но се наблюдават инфектирани устройства и в много други държави.

    Зловредният код работи на принципа на матрьошка, тоест след инсталиране и стартиране на първоначалният му модул, той сваля, активира и инсталира вторият, който от своя страна има грижата да сглоби и стартира третият и така нататък…

    Иновативен е принципът, който подсигурява постоянност (persistence) на зловредният код, тоест той продължава да бъде инсталиран дори и след връщане на фабрични настройки. Това е възможно понеже при първоначалната инфекция, троянецът привежда системният дял /system в режим за четене и писана, който до преди това е бил в режим само за четене.

    Как да обърнем похвата в своя полза

    Тук идва въпроса – не може ли потребителя да обърне този похват в своя полза и  да изтрие зловредният код от системният дял? Създателите на xHelper са помислили и за това, те модифицират  /system/lib/libc.so, обща библиотека използвана от почти всички изпълними файлове върху устройството, така че потребителят да не може да се „отърве“ от зловредните компоненти.

    Единственият начин устройството да бъде изчистено и годно за употреба е операционната му система да бъде префлашната, което често пъти е извън възможностите на обикновените потребители.

    Как да се защитите:

    • Ъпдейтвайте Android устройствата си и използвайте ефективно решение за антивирусна защита за Android
    • Сваляйте приложения само от Google Play – но винаги имайте едно на ум, защото е доказано, че и неговата защита може да бъде преодолявана
    • Винаги проверявайте официалните сайтове на приложенията, които сваляте, и услугите, които стоят зад тях – защото и легитимните приложения могат да станат жертва на копиране
Back to top button
Close