Security Week 17: уязвимости в оборудовании для взлома телефонов

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Интереcная новость прошлой недели — исследование создателя защищенного мессенджера Signal Мокси Марлинспайка (Moxie Marlinspike), посвященное инструменту для скачивания данных со смартфонов компании Cellebrite. Данный инструмент состоит из железа для подключения к различным смартфонам, другим мобильным устройствам и софта под Windows. «Взломом» в классическом понимании этот комплекс не занимается: Мокси сравнивает его работу с действиями сотрудника полиции, который берет ваш разлоченный телефон и переписывает все сообщения из мессенджеров. Естественно, комплекс эту задачу автоматизирует.


Cellebrite и Signal, таким образом, находятся по разные стороны идеологического фронта. Решение Cellebrite используется правоохранительными органами в разных странах для получения доступа к данным, которые пользователь хотел бы сохранить в тайне, в том числе к переписке в Signal. Цель Signal — сделать так, чтобы переписка в чате не была доступна никому, кроме абонентов. Самое уязвимое звено в этой коммуникации — смартфон пользователя: если получить доступ к разлоченному девайсу, можно увидеть всю переписку. Создатель Signal неведомыми путями получил доступ к устройству Cellebrite и нашел уязвимости в его софте.

Как удалось добыть устройство, Мокси не объясняет, точнее, объясняет туманно: шел по улице, а тут на тебе, лежит на асфальте полный комплект для анализа мобильников. Естественно, производители таких штук предоставляют доступ к своей технике только проверенным организациям, и Signal в их число не входит. Исследователь проанализовал софт, который, исходя из задачи, включает множество парсеров данных из разных приложений. Такие обработчики во всех случаях являются рассадником уязвимостей, а в качестве примера приводится набор кодеков ffmpeg. Эти библиотеки используются ПО Cellebrite UFED для разбора мультимедийного контента, и Мокси обнаружил устаревший релиз 2012 года. С тех пор для ffmpeg было выпущено более сотни патчей, устраняющих проблемы с безопасностью.

В результате без особого труда Мокси нашел уязвимость, которая приводит к следующему: если комплекс Cellebrite читает на телефоне «подготовленный» файл, появляется возможность подменить данные в генерируемом отчете. И даже изменить предыдущие отчеты или гарантировать изменение будущих репортов. Это толстый намек на то, что Мокси смог получить полный контроль над софтом через уязвимость в парсере данных. В конце публикации Марлинспайк сообщает, что свежий апдейт мессенджера Signal будет содержать дополнительный файл, который абсолютно никак не влияет на функциональность. Файл совсем не интересный, рекомендуется не обращать на него внимание. То есть, возможно (хотя напрямую об этом не говорится), анализ телефона с установленным мессенджером Signal может испортить данные, генерируемые комплексом для сбора улик.

И это, конечно, очень странная история. Во-первых, об уязвимостях принято сообщать производителю, чтобы их чинили. Использовать их для своей выгоды — удел представителей темной стороны. И то, что софт с уязвимостью лично вам по каким-то причинам не нравится — это не аргумент для подобных действий. Во-вторых, это что получается — с легитимным мессенджером будет распространяться эксплойт? Будем считать, что создатель Signal все же пошутил. Или нет? В любом случае, это интересный пример морального давления на идеологического противника, хотя и совершенно за пределами нормальной хакерской этики. В общем случае он говорит нам о том, что стоит задуматься о безопасности даже тех инструментов, которые используются далеко за линиями защиты корпоративной сети. Именно они при определенных обстоятельствах могут оказаться самым слабым звеном.

Что еще произошло:
Исследование уязвимостей в охранных системах с печальным результатом: проблемы, обнаруженные компанией Eye Security, позволяют снять помещение с охраны удаленно. Подвержены более десяти тысяч инсталляций (в основном в Германии), пропатчена всего тысяча.

Взломана программа для хранения паролей Passwordstate, атакующие распространяли среди ее пользователей вредоносное ПО. Пострадали 29 тысяч клиентов. Схема классическая: скомпрометирован сервер обновлений, через него рассылался модифицированный исполняемый файл.

Найдена и закрыта тривиальная уязвимость в приложении для соцсети Clubhouse: основательница компании Luta Security Кэти Муссурис (Katie Moussouris) нашла способ оставаться в комнате, будучи невидимой для модераторов, без возможности бана. Атака работала для тех голосовых чатов, в которые злонамеренный пользователь был допущен ранее.

Утечки информации о еще не выпущенных ноутбуках компании Apple — обычно не тема для новостей про инфобезопасность. Но на прошлой неделе такие данные распространились в сети в результате атаки на поставщика Apple, компании Quanta. Организаторы атаки оказывают давление на пострадавшую организацию (или на саму Apple), выкладывая в открытый доступ часть украденной информации.

Мейтейнер ядра Linux Грег Кроа-Хартман заблокировал все коммиты от сотрудников Университета штата Миннесота. Произошло это после публикации исследования, в ходе которого авторы (также сотрудники университета) пытались протащить в ядро Linux заведомо уязвимый код и оценивали способность определить наличие ошибок. Результат исследования (исходник в PDF): в 60% случаев кривой код принимался.
Источник: https://habr.com/ru/company/kaspersky/blog/554542/


Интересные статьи

Интересные статьи

Статья расскажет, как использовать SQLmap и похожих инструментов для автоматизации решений заданий по sql injection на одном из популярных CTF ресурсов. В статье зайдем н...
Modern corporate IT infrastructure consists of many systems and components. And monitoring their work individually can be quite difficult — the larger the enterprise is, the more burd...
Здравствуй уважаемое хабросообщество! Решился выплеснуть в онлайн пару in-house решений, которые облегчают деятельность сетевиков и прочих ИТ братьев по разуму. В этой статье речь пойдет о мон...
На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается луч...
Главная новость прошлой недели — таргетированная атака на владельцев устройств Asus через взломанную утилиту Asus Live Update. Исследователи «Лаборатории Касперского» обнаружили атаку в январе эт...