Интереcная новость прошлой недели — исследование создателя защищенного мессенджера Signal Мокси Марлинспайка (Moxie Marlinspike), посвященное инструменту для скачивания данных со смартфонов компании Cellebrite. Данный инструмент состоит из железа для подключения к различным смартфонам, другим мобильным устройствам и софта под Windows. «Взломом» в классическом понимании этот комплекс не занимается: Мокси сравнивает его работу с действиями сотрудника полиции, который берет ваш разлоченный телефон и переписывает все сообщения из мессенджеров. Естественно, комплекс эту задачу автоматизирует.
Cellebrite и Signal, таким образом, находятся по разные стороны идеологического фронта. Решение Cellebrite используется правоохранительными органами в разных странах для получения доступа к данным, которые пользователь хотел бы сохранить в тайне, в том числе к переписке в Signal. Цель Signal — сделать так, чтобы переписка в чате не была доступна никому, кроме абонентов. Самое уязвимое звено в этой коммуникации — смартфон пользователя: если получить доступ к разлоченному девайсу, можно увидеть всю переписку. Создатель Signal неведомыми путями получил доступ к устройству Cellebrite и нашел уязвимости в его софте.
Как удалось добыть устройство, Мокси не объясняет, точнее, объясняет туманно: шел по улице, а тут на тебе, лежит на асфальте полный комплект для анализа мобильников. Естественно, производители таких штук предоставляют доступ к своей технике только проверенным организациям, и Signal в их число не входит. Исследователь проанализовал софт, который, исходя из задачи, включает множество парсеров данных из разных приложений. Такие обработчики во всех случаях являются рассадником уязвимостей, а в качестве примера приводится набор кодеков ffmpeg. Эти библиотеки используются ПО Cellebrite UFED для разбора мультимедийного контента, и Мокси обнаружил устаревший релиз 2012 года. С тех пор для ffmpeg было выпущено более сотни патчей, устраняющих проблемы с безопасностью.
В результате без особого труда Мокси нашел уязвимость, которая приводит к следующему: если комплекс Cellebrite читает на телефоне «подготовленный» файл, появляется возможность подменить данные в генерируемом отчете. И даже изменить предыдущие отчеты или гарантировать изменение будущих репортов. Это толстый намек на то, что Мокси смог получить полный контроль над софтом через уязвимость в парсере данных. В конце публикации Марлинспайк сообщает, что свежий апдейт мессенджера Signal будет содержать дополнительный файл, который абсолютно никак не влияет на функциональность. Файл совсем не интересный, рекомендуется не обращать на него внимание. То есть, возможно (хотя напрямую об этом не говорится), анализ телефона с установленным мессенджером Signal может испортить данные, генерируемые комплексом для сбора улик.
И это, конечно, очень странная история. Во-первых, об уязвимостях принято сообщать производителю, чтобы их чинили. Использовать их для своей выгоды — удел представителей темной стороны. И то, что софт с уязвимостью лично вам по каким-то причинам не нравится — это не аргумент для подобных действий. Во-вторых, это что получается — с легитимным мессенджером будет распространяться эксплойт? Будем считать, что создатель Signal все же пошутил. Или нет? В любом случае, это интересный пример морального давления на идеологического противника, хотя и совершенно за пределами нормальной хакерской этики. В общем случае он говорит нам о том, что стоит задуматься о безопасности даже тех инструментов, которые используются далеко за линиями защиты корпоративной сети. Именно они при определенных обстоятельствах могут оказаться самым слабым звеном.
Что еще произошло:
Исследование уязвимостей в охранных системах с печальным результатом: проблемы, обнаруженные компанией Eye Security, позволяют снять помещение с охраны удаленно. Подвержены более десяти тысяч инсталляций (в основном в Германии), пропатчена всего тысяча.
Взломана программа для хранения паролей Passwordstate, атакующие распространяли среди ее пользователей вредоносное ПО. Пострадали 29 тысяч клиентов. Схема классическая: скомпрометирован сервер обновлений, через него рассылался модифицированный исполняемый файл.
Найдена и закрыта тривиальная уязвимость в приложении для соцсети Clubhouse: основательница компании Luta Security Кэти Муссурис (Katie Moussouris) нашла способ оставаться в комнате, будучи невидимой для модераторов, без возможности бана. Атака работала для тех голосовых чатов, в которые злонамеренный пользователь был допущен ранее.
Утечки информации о еще не выпущенных ноутбуках компании Apple — обычно не тема для новостей про инфобезопасность. Но на прошлой неделе такие данные распространились в сети в результате атаки на поставщика Apple, компании Quanta. Организаторы атаки оказывают давление на пострадавшую организацию (или на саму Apple), выкладывая в открытый доступ часть украденной информации.
Мейтейнер ядра Linux Грег Кроа-Хартман заблокировал все коммиты от сотрудников Университета штата Миннесота. Произошло это после публикации исследования, в ходе которого авторы (также сотрудники университета) пытались протащить в ядро Linux заведомо уязвимый код и оценивали способность определить наличие ошибок. Результат исследования (исходник в PDF): в 60% случаев кривой код принимался.
Cellebrite и Signal, таким образом, находятся по разные стороны идеологического фронта. Решение Cellebrite используется правоохранительными органами в разных странах для получения доступа к данным, которые пользователь хотел бы сохранить в тайне, в том числе к переписке в Signal. Цель Signal — сделать так, чтобы переписка в чате не была доступна никому, кроме абонентов. Самое уязвимое звено в этой коммуникации — смартфон пользователя: если получить доступ к разлоченному девайсу, можно увидеть всю переписку. Создатель Signal неведомыми путями получил доступ к устройству Cellebrite и нашел уязвимости в его софте.
Как удалось добыть устройство, Мокси не объясняет, точнее, объясняет туманно: шел по улице, а тут на тебе, лежит на асфальте полный комплект для анализа мобильников. Естественно, производители таких штук предоставляют доступ к своей технике только проверенным организациям, и Signal в их число не входит. Исследователь проанализовал софт, который, исходя из задачи, включает множество парсеров данных из разных приложений. Такие обработчики во всех случаях являются рассадником уязвимостей, а в качестве примера приводится набор кодеков ffmpeg. Эти библиотеки используются ПО Cellebrite UFED для разбора мультимедийного контента, и Мокси обнаружил устаревший релиз 2012 года. С тех пор для ffmpeg было выпущено более сотни патчей, устраняющих проблемы с безопасностью.
В результате без особого труда Мокси нашел уязвимость, которая приводит к следующему: если комплекс Cellebrite читает на телефоне «подготовленный» файл, появляется возможность подменить данные в генерируемом отчете. И даже изменить предыдущие отчеты или гарантировать изменение будущих репортов. Это толстый намек на то, что Мокси смог получить полный контроль над софтом через уязвимость в парсере данных. В конце публикации Марлинспайк сообщает, что свежий апдейт мессенджера Signal будет содержать дополнительный файл, который абсолютно никак не влияет на функциональность. Файл совсем не интересный, рекомендуется не обращать на него внимание. То есть, возможно (хотя напрямую об этом не говорится), анализ телефона с установленным мессенджером Signal может испортить данные, генерируемые комплексом для сбора улик.
И это, конечно, очень странная история. Во-первых, об уязвимостях принято сообщать производителю, чтобы их чинили. Использовать их для своей выгоды — удел представителей темной стороны. И то, что софт с уязвимостью лично вам по каким-то причинам не нравится — это не аргумент для подобных действий. Во-вторых, это что получается — с легитимным мессенджером будет распространяться эксплойт? Будем считать, что создатель Signal все же пошутил. Или нет? В любом случае, это интересный пример морального давления на идеологического противника, хотя и совершенно за пределами нормальной хакерской этики. В общем случае он говорит нам о том, что стоит задуматься о безопасности даже тех инструментов, которые используются далеко за линиями защиты корпоративной сети. Именно они при определенных обстоятельствах могут оказаться самым слабым звеном.
Что еще произошло:
Исследование уязвимостей в охранных системах с печальным результатом: проблемы, обнаруженные компанией Eye Security, позволяют снять помещение с охраны удаленно. Подвержены более десяти тысяч инсталляций (в основном в Германии), пропатчена всего тысяча.
Взломана программа для хранения паролей Passwordstate, атакующие распространяли среди ее пользователей вредоносное ПО. Пострадали 29 тысяч клиентов. Схема классическая: скомпрометирован сервер обновлений, через него рассылался модифицированный исполняемый файл.
Найдена и закрыта тривиальная уязвимость в приложении для соцсети Clubhouse: основательница компании Luta Security Кэти Муссурис (Katie Moussouris) нашла способ оставаться в комнате, будучи невидимой для модераторов, без возможности бана. Атака работала для тех голосовых чатов, в которые злонамеренный пользователь был допущен ранее.
Утечки информации о еще не выпущенных ноутбуках компании Apple — обычно не тема для новостей про инфобезопасность. Но на прошлой неделе такие данные распространились в сети в результате атаки на поставщика Apple, компании Quanta. Организаторы атаки оказывают давление на пострадавшую организацию (или на саму Apple), выкладывая в открытый доступ часть украденной информации.
Мейтейнер ядра Linux Грег Кроа-Хартман заблокировал все коммиты от сотрудников Университета штата Миннесота. Произошло это после публикации исследования, в ходе которого авторы (также сотрудники университета) пытались протащить в ядро Linux заведомо уязвимый код и оценивали способность определить наличие ошибок. Результат исследования (исходник в PDF): в 60% случаев кривой код принимался.
