Security Week 11: 38 зараженных смартфонов, ФБР плачет от шифрования, Google снова подлатал Chrome


ff7bf71ae69549e381a56cf331cc08c7.jpgПодцепить что-нибудь вредоносное на более-менее современной версии Android не так уж и просто. В большинстве случаев атака проводится с применением социальной инженерии, да такой лютой, что жертва сама разрешает в настройках системы установку приложений из левых источников, сама скачивает и сама же устанавливает троянца на свой смартфон. И нам вроде бы уже не страшно, потому что это не про нас. Но нашлись ребята с выдумкой и по нашу душу, которые начали продавать аппараты со встроенным зловредом, причем через солидные магазины.

Строго говоря, тема не очень новая — предустановленное вредоносное ПО не раз находили в прошивках китаефонов, писали и о преступных группах, занимавшихся скупкой, заражением и продажей б/у телефонов (и последующей стрижкой потерпевших, естественно). Но в этот раз проблема помасштабнее: исследователи обнаружили 38 популярных моделей смартфонов, зараженных еще до поступления в магазин. Причем взяли их не на базаре, как можно было подумать, а в «большой телекоммуникационной компании» и «транснациональной технологической компании».

Среди указанных моделей есть всякие — и бюджетные, и флагманские, включая Google Nexus 5 и 5X, Samsung Galaxy S7, а также популярные в народе Xiaomi и Lenovo. Исследователи обнаружили в них несколько разных вредоносных штаммов: одни крадут данные пользователя, другие показывают рекламу из разных подозрительных баннерных сетей. А в одном телефоне потенциального хозяина поджидал вымогатель-шифровальщик Slocker.

Что интересно, на шести смартфонах троянец прятался в прошивке, и не мог быть удален простой очисткой флеш-памяти, в остальных случаях зловред поставили как стороннее приложение на официальную прошивку. Кто виноват — пока неясно. Специалисты только ищут точку входа в цепочку поставщиков. Однако разнообразие моделей и вредоносных штаммов уже говорит о неслабом размахе операции. Или о нескольких параллельных кампаниях, что ничуть не лучше.

ФБР жалуется на сильную криптографию
217d3cb0ecd846a998d6136deca2c447.jpgПосле разоблачений Сноудена жить стало страшно, но весело. Народу рассказали о «Призме», бэкдорах, закладках и имплантах, благодаря которым компетентные органы знают о нас примерно все, и начали учить основам информационной безопасности. На прекрасно увлажненной людскими страхами почве как грибы после дождя проросли защищенные мессенджеры с поддержкой сквозного шифрования. Но все равно в глубине души никто не верил, что от государственного надзора можно так просто защититься.

И тут вдруг выясняется, что некоторые из доступных средств обеспечения конфиденциальности данных таки неплохо работают. Директор ФБР Джеймс Коми зажигательно выступил на Бостонской конференции по кибербезопасности, призвав сообщество к взрослой дискуссии о сильном шифровании, которое встало поперек горла его конторе.

Взрослая дискуссия со стороны Коми выглядела как поток жалоб и аргументов вида «мы не можем расследовать преступления без доступа к вашим данным» и «одними метаданными педофила в тюрьму не упрячешь». И, в силу того, что на разработку хакерских инструментов Бюро денег не дают, господин директор хочет, чтобы ИБ-сообщество не старалось так сильно, и агенты могли хоть немножечко попастись в пользовательских данных.

Проблема действительно серьезная: если верить Коми, с октября по декабрь 2016 года ФБР покопалось в 2800 мобильных устройствах, и не смогло взломать 1200 из них. А вдруг там детское порно и чертежи «грязной бомбы»? Современные криптографические технологии одинаково надежно защищают данные как добропорядочного пользователя, так закоренелого преступника — так что и постановление суда ничем не поможет — у сервис-провайдера просто нет ключей шифрования.

Конечно, само по себе сильное шифрование появилось довольно давно, загвоздка в том, что теперь это очень модная тема, спасибо Сноудену. Из-за него даже самые ярые неолуддиты зауважали информационную безопасность и общаются через Signal, Telegram и подобные приложения. Однако исследователи-безопасники все эти аргументы слышали уже не раз и в массе своей понимают, что слабое шифрование дает преступникам не меньше, а гораздо больше возможностей, чем правоохранителям — пока хорошие ребята привлекут к ответственности одного злодея, плохие обработают сотню ни в чем не повинных пользователей.

В Chrome 57 закрыты опасные уязвимости
На горящий огонь, текущую воду и закрытие уязвимостей в Chrome можно смотреть бесконечно. Казалось бы, код давно вылизан до блеска, но — нет, хорошо мотивированные наградой от Google исследователи каждый месяц приносят ворох новых дыр. В этот раз их 36, причем девять могут позволить злоумышленнику захватить управление системой. Вот, например, несколько:

— Нарушение целостности памяти (memory corruption) в движке JavaScript V8;
 — Использование данных после освобождения памяти (use after free) в графическом API ANGLE;
 — Запись вне границ буфера (out-of-bounds write) в PDFium;
 — Переполнение целочисленной переменной (integer overflow) в libxslt.

Это обошлось папаше Брину в лишних 38 тысяч долларов, что для компании копейки, а для исследователей неплохой приработок. Мораль истории в том, что поддержание безопасности — непрерывный процесс, и пренебрегать им значит накапливать в своем продукте уязвимости и подвергать опасности пользователей.

1a3d8477c94641beaa19694292d10b54.png

Древности


«Estonia-1716»

Резидентный очень опасный вирус. Поражает запускаемые .COM- и EXE-файлы кроме COMMAND.COM, к COM-файлам дописывает 4 проверочных байта. Явный плагиат с вирусов «Yankee». По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст «Independent Estonia presents», затем играет «Собачий вальс» и перезагружает компьютер. Трассирует int 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 67.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Комментарии (2)

  • 17 марта 2017 в 18:45

    0

    начали продавать аппараты со встроенным зловредом

    Меня давно мучает вопрос:, а почему все пишут «зловред»? Разве бывают «добровред» и «злопольза»?
    • 17 марта 2017 в 19:07 (комментарий был изменён)

      0

      Нет слов «добровредный» и «злополезный», но есть слово «зловредный»: http://dic.academic.ru/dic.nsf/ushakov/817178. Не знаю, правда, сколько ему лет — слову этому.

© Habrahabr.ru