Используемый на сайте компании Dell инструмент анализа устройств пользователя, который помогал выбрать нужные драйверы, описания и прочий связанный контент, позволял осуществлять удалённую установку вредоносных приложений. Уязвимость была найдена в ноябре, Dell выпустила закрывающее её обновление 9 января. Однако на данный момент невозможно сказать, устранена ли опасность полностью.
Приложение Dell System Detect предлагается скачать на сайте Dell при нажатии на кнопку «Определить продукт». В прошлом году исследователь Том Форбс исследовал программу при помощи обратной инженерии, чтобы понять, как она связывается с веб-сайтом Dell. Программа устанавливает на локальный компьютер веб-сервер и прослушивает порт 8884. Затем сайт Dell отправляет через браузер пользователя запросы на локальный сервер на языке JavaScript.
Программа проверяет, содержит ли URL запроса слово dell, однако это не обязательно должно было быть имя домена, и проверку проходили даже адреса вроде evil-site.com/dell. Программа обладает также поддержкой таких команд, как getdevices, getsysteminfo, checkadminrights, downloadfiles и downloadandautoinstall. Последняя особо опасна, поскольку даёт возможность скачивать и автоматически устанавливать приложения. Хотя перед этим и проводится процедура аутентификации, она оказалась не самой надёжной. Создав скрипт на языке Python, Форбс смог генерировать подходящие идентификаторы.
После выпуска обновления процесс получения доступа к коду приложения был затруднён, так что метод обратной инженерии заметно усложнился. Представители Dell говорят о закрытии уязвимости, а также о том, что не сотрудничают с правительствами любых стран в деле наблюдения за пользователями.
Почти половина от огромного числа Android-устройств уязвимы перед атакой, в рамках которой настоящее приложение может быть заменено на вредоносную программу, способную вести сбор персональных данных пользователя. Об этом сообщает компания Palo Alto Networks; после того, как закрывающие уязвимость обновления выпустили Google, Amazon и Samsung, ей остаются подвержены 49,5% аппаратов. По данным Google, попыток использовать данную уязвимость не зафиксировано.
Через неё можно установить вредоносное приложение под названием Android Installer Hijacking, после чего даётся доступ к логинам и паролям, а также другим конфиденциальным персональным данным. Исследователи создали два использующих уязвимость эксплоита.
Уязвимость затрагивает только приложения, устанавливаемые из сторонних магазинов. Эксперты в очередной раз призывают с осторожностью относиться к подобным источникам и по возможности скачивать программы из магазина Google Play.
Скачанные из сторонних магазинов файлы формата APK устанавливаются в незащищённые области памяти, вроде SD-карт. Здесь системное приложение PackageInstaller заканчивает процесс установки; уязвимость позволяет при этом незаметно модифицировать файл APK. Аппарат не обязательно должен быть рутирован, хотя это делает его ещё более уязвимым.
Уязвимость была открыта ещё в январе 2014 года, тогда ей были подвержены почти 90% Android-устройств. Эксплоиты от Palo Alto Networks действовали на версиях Android 2.3, 4.0.3, 4.0.4, 4.1.x, 4.2.x и некоторых 4.3. Проверить своё устройство на наличие уязвимости можно при помощи приложения от Palo Alto Networks.
Конкурс хакеров Pwn2Own уже зарекомендовал себя в качестве мероприятия, на котором специалисты по информационной безопасности раз за разом демонстрируют, что создатели программного обеспечения на шаг позади злоумышленников. В этом году тенденция продолжилась, дополнившись ещё и скандалом, связанным с французской компанией VUPEN — многократной победительницей прошлых конкурсов.
Основатель и генеральный директор VUPEN, Чауки Бекрар, чья команда четыре года подряд демонстрировала эксплуатацию различных уязвимостей, в этом году обрушился с критикой на организаторов конкурса — Zero Day Initiative (дочерняя организация Hewlett-Packard). По его мнению, ужесточать условия конкурса, не повышая при этом размер вознаграждения — порочная практика, и VUPEN не собирается тратить своё время на благотворительность для коммерческих компаний. Дело в том, что по условиям Pwn2Own 2015 впервые программы-жертвы будут использоваться не просто в полностью обновлённых дистрибутивах ОС со стандартными, включёнными по умолчанию механизмами защиты, но и в случае с Windows — с включенным пакетом EMET, не входящим в поставку системы и предназначенным как раз для значительного усложнения действий злоумышленников. При этом, награда за успешный взлом не изменилась — самой щедрой была Google с $75000 USD с бонусом $25000 за демонстрацию исполнения произвольного кода и повышение привилегий (на конкурсе обычно требуют продемонстрировать запуск калькулятора с полномочиями администратора через уязвимую программу). В итоге господин Бекрар обвинил организаторов в безответственности, и VUPEN вернётся на Pwn2Own только тогда, когда награда будет соответствовать сложности. Кроме VUPEN, из известных команд на конкурс не прибыла и британская MWR Labs, хотя она никак не прокомментировала своё решение, и оно может быть не связано с небольшой наградой.
Впрочем, и без известных тяжеловесов демо-сцена на Pwn2Own в Ванкувере была похожа скорее бойню, где раз за разом показывали успешные эксплойты. Первыми с совместной демонстрацией выступили команды Team509 и KeenTeam, которые смогли провести атаку с переполнением стека и выполнением произвольного кода в модуле Adobe Flash, после чего они использовали уязвимость ядра Windows в области обработки TrueType, благодаря чему они обошли все механизмы защиты ОС и получили повышенные права. Итого — $60000 за Flash + $25000 за повышение привилегий. На этом проблемы Flash не закончились, так как хакер Николас Джоли смог продемонстрировать атаку типа use-after-free с выходом из песочницы, но он стал жертвой ужесточившихся правил и получил только $30000, так как полную награду мог получить только первый конкурсант, взломавший продукт, а им стала команда Team509/KeenTeam. Впрочем, господин Джоли далеко от демо-сцены уходить не стал и продемонстрировал уязвимость с переполнением стека в Adobe Reader, добившись выполнения произвольного кода. В этот раз награда составила $60000, а общая — $90000. По словам самого хакера, эксплойты он в авральном режиме дописывал пока летел в самолёте в Ванкувер, поэтому, если это правда, это плохая реклама продуктам Adobe. Впрочем, за «головой» Reader пришла также и команда хакеров из компаний KeenTeam и Tencent, которые смогли провести ещё одну атаку переполнения, а через другой баг в TTF получить системный доступ. Итог — $30000 за Adobe Reader и $25000 за повышение прав доступа. После этого конкурсанты взялись за браузеры — Mozilla Firefox и Internet Explorer. Ветеран конкурса Мариуш Млински атаковал «огненного лиса», найдя cross-origin уязвимость, после чего использовал логическую ошибку в Windows, получив в итоге $30000 за победу над Firefox и $25000 за повышение привилегий, причём на всё про всё ему потребовалось полсекунды из 30 минут, доступных на демострацию. Новичок турнира, команда 360Vulcan, взялась за Internet Explorer 11, атаковав две уязвимости в обработке памяти и добившись выполнения произвольного кода и частичного выхода из песочницы, что сказалось на уменьшенной награде — $32500.
На следующий день конференции CanSecWest в Ванкувере состоялся второй этап конкурса, на котором вновь без «жертв» не обошлось. Хакер ilxu1a начал день со взлома Firefox, в котором была уязвимость чтения/записи, что позволило добиться выполнения произвольного кода с правами пользователя. В итоге он получил половину максимальной награды за взлом этого браузера — $15000. Затем последовал тройной триумф хакера Юн-Хун Ли (lokihardt), который сначала атаковал Internet Explorer 11, эксплуатировав TOCTOU-уязвимость (изменение между проверкой аргумента и использованием результата проверки). Он смог обойти все системы защиты, добившись полного выхода из песочницы браузера, что дало ему в итоге полную награду — $65000. После первой победы хакер отправился ставить рекорд конкурса, нацелившись на Google Chrome. Он использовал похожую TOCTOU-уязвимость и в этом браузере, скомбинировав его с атакой переполнения буфера, после чего смог использовать две различные уязвимости ядра Windows, добившись повышения привилегий. В итоге рекорд был взят — хакер получил $75000 за Chrome-уязвимость, ещё $10000 надбавки от Google за то, что уязвимость успешно эксплуатировалась и в Beta-канале обновлений, где применяются различные экспериментальные техники защиты, а также ещё $25000 за получение системных полномочий. Общая награда в сумме $110000 оказалась рекордом конкурса. Казалось бы, что на таком успехе можно было бы и закончить, но неугомонный lokihardt взялся ещё и за Safari, использовав уязвимость типа use-after-free, после чего смог обойти песочницу браузера через другую уязвимость для выполнения произвольного кода. Итог — $50000 за Safari, и $225000 за весь день. После него к Google Chrome подступился также вышеупомянутый ilxu1a, но он не смог уложиться в получасовое окно на демонстрацию из-за проблем его кода с получением утечки данных.
По итогам конкурса ни один из программных продуктов не смог устоять:
5 ошибок безопасности в Windows
4 ошибки безопасности в Internet Explorer
3 ошибки безопасности Mozilla Firefox
3 ошибки безопасности в Adobe Reader
3 ошибки безопасности в Adobe Flash
2 ошибки безопасности в Apple Safari
1 ошибка безопасности в Google Chrome
Данные обо всех уязвимостях были переданы компаниям-разработчикам приложений для создания патчей, а сами уязвимости в подробностях будут опубликованы не ранее чем через полгода с момента демонстрации взлома. На данный момент компании Google и Mozilla уже выпустили исправления для своих продуктов, тогда как Adobe, Apple и Microsoft пока работают над этим.
Эксперты много лет утверждали, что системы мобильных платежей не начнут пользоваться массовой популярностью, пока в дело не вступит компания Apple. В прошлом году была представлена платёжная система Apple Pay на основе стандарта связи NFC. Поначалу сообщалось о популярности приложения и поддержке со стороны банков и розничных сетей, однако теперь картина вырисовывается не столь благоприятная.
Доклад от InfoScout и PYMNTS.com показывает, что всего 6% обладателей смартфонов iPhone 6 и 6 Plus активно пользуются платёжной системой, а в целом хотя бы раз её опробовали 9% пользователей. В ноябре эти значения составляли 4% и 5%. Среди тех, кто использовал Apple Pay нерегулярно, треть (32%) сказали, что попросту забыли о её существовании.
Таким образом, перед Apple стоит та же проблема, что и перед индустрией мобильных платежей в целом: большая часть пользователей не знает о них. Ещё 31% опрошенных не были уверены, работает ли система Apple Pay в определённом магазине, 20% отдали предпочтение другим методам платежей. Что касается регулярных пользователей системы, 79% назвали её наиболее удобной, 77% быстрой, 73% простой, 70% безопасной.
Возможно, с появлением часов Apple Pay платёжная система станет более популярной, однако для начала должны стать популярными сами часы.
Для тех, кто пользуется Интернетом не первый год, он давно уже стал неотъемлемой частью жизни, и даже статистические органы зачастую включают его в список предметов первой необходимости. Однако в мире ещё достаточно мест, жители которых только собираются начать осваивать просторы глобальной сети. Среди них аналитическая компания Pew Research провела опрос относительно достоинств и недостатков всемирной паутины.
Опрос был проведён среди жителей 32 развивающихся стран, речь шла о влиянии Интернета на общества этих стран. 42% опрошенных назвали негативным его влияние на мораль, позитивным только 29%. Это единственный аспект, в котором большинство опрошенных увидели отрицательное влияние глобальной сети (в каждой из стран), во всех остальных большинство видят положительное влияние.
Наиболее полезным Интернет назван для образования, так считают почти две трети опрошенных (64%). Примерно одинаковую пользу видят во всемирной паутине для развития личных отношений и экономики (53% и 52%). При этом взгляды опрошенных зависят от того, являются ли они сами пользователями Интернета или нет. Среди пользователей сети больше людей настроены позитивно по вопросу о её достоинствах.
В настоящее время компании Google и Facebook работают над обеспечением доступа в глобальную сеть в труднодоступных регионах в рамках проектов Project Loon и Internet.org.