Теги → безопасный
Быстрый переход

Microsoft четвёртый месяц подряд исправляет 0-day-уязвимости

Похоже, у компании Microsoft становится традицией закрывать уязвимости нулевого дня, которые уже используют хакеры. Компания делает это четвёртый месяц подряд. В декабре 2018 года разработчики закрыли ряд багов, в том числе 5 критических ошибок в движке обработки JavaScript под названием Chakra (используется в Microsoft Edge). Ещё были устранены бреши в .NET Framework, сервере Windows DNS, браузере Internet Explorer и функции Text-To-Speech. Не обошлось и без изюминки.

thehackernews.com

thehackernews.com

Упомянутой выше 0-day-уязвимостью стала проблема CVE-2018-8611, которая позволяла повышать привилегии на уровне ядра системы. В Редмонде заявили, что «ядро некорректно обрабатывает объекты в памяти», что позволяет выполнить произвольный код в kernel mode. А это означает полный контроль над целевой системой, поскольку позволяет устанавливать программы, просматривать, изменять или удалять данные, создавать новые учётные записи и так далее.

По словам разработчиков, саму брешь обнаружили специалисты «Лаборатории Касперского». Также было заявлено, что использование уязвимости не представляет проблем для группы хакеров, хотя для этого сначала нужно «закрепиться» на атакуемом компьютере.

Напомним, что в конце сентября 2018 года компания Micrososft сообщила об исправлении 0-day-уязвимости в фирменной СУБД Jet Database Engine. Хотя в случае запуска файла, который связан с уязвимой СУБД, выполнение произвольного кода по-прежнему возможно.

pixabay.com

pixabay.com

Кроме того, ранее разработчики из Редмонда официально подтвердили, что будут создавать новую версию браузера Edge на основе движка Blink и свободного браузера Chromium. По-видимому, обилие багов в Chakra и проблемы с программой в целом вынудили их пойти на подобный шаг.

В 2018 году каждый третий российский пользователь подвергся веб-атаке

«Лаборатория Касперского» рассказала о ключевых тенденциях развития киберугроз и вредоносного программного обеспечения в уходящем году.

Сообщается, что в 2018-м каждый третий российский пользователь — 34 % — подвергся веб-атаке. Более 37 % столкнулись с локальными угрозами — теми, которые распространяются не через Интернет, а с помощью, например, съёмных носителей.

Злоумышленники всё активнее атакуют владельцев мобильных устройств — смартфонов и планшетов. В частности, огромное распространение получили банковские трояны, задачей которых является хищение непосредственно денежных средств или данных банковских карт.

В уходящем году зафиксирован значительный рост количества вредоносных майнеров, скрытно добывающих криптовалюты на компьютерах и мобильных устройствах жертв. Число российских пользователей, столкнувшихся с этим видом киберугроз, увеличилось почти в два раза по сравнению с 2017 годом. Более того, криптомайнерам по интенсивности атак удалось превзойти программы-вымогатели.

Отмечается также, что доля спама в российском трафике составила 53 %. Это выше среднего мирового показателя, равного примерно 50 %.

«По нашим прогнозам, рост числа майнеров сохранится, также увеличится количество мобильных зловредов, в частности банковских троянцев. Говоря о прогнозах на 2019 год, стоит отметить и то, что, скорее всего, шифровальщики будут гораздо меньше использоваться в массовых атаках», — отмечает «Лаборатория Касперского». 

Microsoft и Mastercard хотят внедрить глобальную систему идентификации

Как известно, каждый цифровой сервис, социальная сеть или платёжная система требует идентификации пользователя. Однако с ростом их количества растёт и количество паролей, которые нужно запоминать. При этом для безопасности рекомендуется использовать разные пароли, но большинство людей пренебрегают этим. Если же пользователи всё же ставят различные пароли для тех или иных сервисов, то они рискуют забыть или перепутать их.

appleinsider.com

appleinsider.com

Компании Microsoft и Mastercard решили объединить усилия и представить единое глобальное универсальное решение для идентификации. Как заявил вице-президент Mastercard Аджай Бхалла (Ajay Bhalla), такая система ускорит и упростит предоставление финансовых услуг, персонализирует покупки в Интернете и так далее. Также это позволит решить проблему с отсутствием документов. По словам Бхаллы, в мире есть до миллиарда людей без документов, в основном беженцев. Новая система позволит им «вернуть» личность.

«Современные системы идентификации неоднородны и сильно отличаются друг от друга: то, что работает в одной стране, зачастую не работает в другой. Мы намерены разработать систему, для которой удобство использования и пользователи будут стоять на первом месте», — заявил Бхалла.

В техническом плане это означает глобальный и тотальный контроль всех действий человека. В Mastercard заявили, что система будет безопасной, а данные не будут собирать, анализировать или передавать третьим лицам. Другие подробности пока не приводятся.

teepublic.com

teepublic.com

При этом напомним, что ранее поисковик DuckDuckGo обвинил Google в принудительной персонализации поисковой выдачи. А ранее в сборе информации о пользователях обвиняли Microsoft. Таким образом, пока сложно сказать, насколько подобная система упростит жизнь, а насколько — усилит контроль. Достаточно вспомнить, как сильно протестовали против «цензурного» поисковика Dragonfly в самой Google.

DuckDuckGo обвиняет Google в персонализации результатов поиска

Компания Google всеми силами стремится навязать персонализацию данных, рекламы и прочего в обмен на эти самые личные данные. В Chrome 69 производилась автоматическая авторизация в браузере, когда пользователь заходил на любой из ресурсов «корпорации добра». Теперь же один из главных конкурентов Google — поисковая система DuckDuckGo — утверждает, что от персонализации почти невозможно избавиться, даже используя режим «инкогнито» в браузере.

gizmodo.com

gizmodo.com

Как оказалось, даже если пользователь не авторизован и использует режим приватного просмотра, он всё равно получает «персональные» новости и другие данные. В DuckDuckGo провели исследование, и оказалось, что разные пользователи получали разные результаты по трём запросам: «контроль за оружием», «иммиграция» и «прививки». Выяснилось, что разница для одного и того же пользователя при включённой и выключенной авторизации, а также в режиме приватного сёрфинга, составляла не более 1–2 доменов. Однако если искать данные по тем же запросам для различных анонимных пользователей, число расхождений вырастает от 3 (для запроса «контроль над оружием») до 5 (для запроса «прививки»). Из чего был сделан вывод о более агрессивной персонализации в приватном режиме.

theverge.com

theverge.com

«Эти расхождения не могут быть объяснены изменениями в местоположении, времени, способе входа в Google или изменении алгоритма тестирования Google для небольшого подмножества пользователей», — заявили в DuckDuckGo.

Также в компании заявили, что на данный момент нет возможности получить единственный объективный результат поиска от Google, который можно легко связать с пользователем или его местоположением. При этом в компании явно пытаются учесть интересы и особенности пользователя, чтобы улучшить выдачу запросов для него.

theverge.com

theverge.com

В Google заявили, что пока не ознакомились с результатами исследования, потому не могут комментировать их. Также там отметили, что результаты поисковой выдачи могут изменяться каждую секунду, а персонализация используется лишь в некоторых случаях. В частности, на «Главные новости» или «Новости» не распространяется. При этом отметим, что DuckDuckGo конкурирует с Google на рынке, и потому её информация может быть не совсем объективна.

Взломана база данных сети отелей Marriott — под угрозой данные 500 млн человек

Одна из крупнейших гостиничных сетей в мире — Marriott — сообщила о крупной утечке данных клиентов. Сама утечка произошла 8 сентября, когда системы безопасности отреагировали на попытку несанкционированного доступа к своей системе бронирования Starwood в США. Предполагается, что в результате атаки могли быть раскрыты персональные данные клиентов.

gizmodo.com

gizmodo.com

Руководство сети привлекло экспертов по безопасности, которые выяснили, что с 2014 года у хакеров был доступ к базе данных Starwood. А недавно компания обнаружила, что злоумышленники зашифровали информацию из базы данных, предварительно скопировав её. По состоянию на 19 ноября 2018 года в Marriott смогли расшифровать данные. Также там сообщили, что из базы данных к хакерам могли попасть сведения почти о 500 миллионах клиентов. При этом данные включают в себя имена, почтовые адреса, номера телефонов, адреса электронной почты, данные паспорта, сведения об учётных записях Starwood Preferred Guest, даты рождения, а также даты въезда и выезда. При этом утверждается, что к некоторым сведениям были привязаны номера кредитных карт. И хотя последние были защищены шифрованием AES-128, пока не ясно, есть ли у хакеров ключи для расшифровки.

pixabay.com

pixabay.com

Предполагается, что компания Marriott могла «унаследовать» проблему Starwood после приобретения бренда в 2016 году. Учитывая, что доступ к базе был за два года до этого, подобное вполне вероятно. В Marriott уже заявили, что будут постепенно отказываться от информационных систем Starwood, хотя конкретных сроков пока не назвали.

Также предполагается, что гостиничная сеть может столкнуться с проблемами в Европе, где за утечку персональных данных могут серьёзно оштрафовать. В компании уже создали специальный веб-сайт, где клиенты могут задать вопросы по этому инциденту. Ответ придёт по электронной почте.

Xiaomi Mijia Smart Door Lock: «умный» дверной замок с шестью методами разблокировки

В ассортименте китайской компании Xiaomi присутствуют самые разнообразные электронные устройства, включая решения для «умного» дома. Очередной новинкой в данной сфере стал дверной замок Mijia Smart Door Lock.

Устройство представлено в рамках конференции для разработчиков 2018 MIDC Xiaomi AIOT Developer Conference. Кроме того, на этом мероприятии Xiaomi объявила о заключении соглашения о сотрудничестве с IKEA.

Итак, сообщается, что «умный» дверной замок поддерживает шесть различных способов снятия блокировки. В частности, получить доступ в помещение можно посредством ввода пароля на клавиатуре замка, путём сканирования отпечатка пальца, при помощи отправки кода через NFC, Bluetooth и пр.

Отмечается, что в замке применён целый набор технологий, призванных исключить несанкционированную разблокировку. За безопасность отвечают семь интегрированных сенсоров.

Что касается соглашения с IKEA, то все «умные» осветительные приборы, доступные через шведскую торговую сеть, будут совместимы с платформой Интернета вещей Xiaomi IoT. Таким образом, взаимодействовать с такими приборами пользователи смогут посредством Mijia App и Xiao AI. 

Waymo возвращает в свои робомобили страховочных водителей

Компания Waymo, входящая в холдинг Alphabet, возвращает в тестируемые самоуправляемые автомобили страховочных водителей, которые и дальше будут находиться за рулём на случай непредвиденных обстоятельств. Также в кабинах автомобилей устанавливаются камеры, направленные на лицо водителя для отслеживания степени его усталости. Сообщивший об этом ресурс The Information отметил, что эти меры предприняты с целью повышения безопасности после целого ряда дорожных инцидентов.

Reuters / Natalie Behring

Reuters / Natalie Behring

В течение последних нескольких недель Waymo вернула страховочных водителей обратно за руль своих самоуправляемых автомобилей, которые в течение некоторого времени тестировались без присутствия кого-либо в салоне. Кроме того, дополнительно к ночным сменам, днём в салоне тестируемого робомобиля будет находиться ещё один сотрудник компании.

В июне страховочный водитель одного из самоуправляемых кроссоверов Chrysler Pacifica, похоже, заснул за рулём и случайно отключил программное обеспечение для автономного вождения, что привело к аварии.

thelastdriverlicenseholder.com

thelastdriverlicenseholder.com

Waymo назначила руководителем службы безопасности Дебору Херсман (Deborah Hersman), ранее возглавлявшую Национальный совет по безопасности на транспорте США. Она приступит к своим обязанностям в январе 2019 года, сосредоточившись на вопросах обеспечения безопасности для парка самоуправляемых автомобилей Waymo.

Waymo готовится к запуску сервиса роботакси в Финиксе (Аризона). И хотя некоторые источники утверждают, что его запуск намечен на декабрь, усиление мер безопасности указывает на то, что этого не будет.

«Это очень длинное путешествие и очень сложная технология, разработка которой потребует немало времени», — заявил ранее генеральный директор Waymo Джон Кравчик (John Krafcik), говоря о будущем индустрии робомобилей.

Avast Software разработала приложение Mobile Security для защиты пользователей iOS-устройств

Компания Avast Software объявила о выпуске приложения Mobile Security for iOS, предназначенного для защиты владельцев iPhone и iPad от цифровых угроз и обеспечения конфиденциальности хранимых в памяти мобильного устройства данных.

В составе Avast Mobile Security for iOS представлены инструменты защиты учётных данных (уведомляют пользователя о скомпрометированных паролях, фактах взлома и утечки конфиденциальной информации), модуль сканирования и распознавания уязвимых сетей Wi-Fi, зашифрованное хранилище для фотографий и VPN-клиент. Часть функций доступны бесплатно, часть — предоставляются по подписке и лишены каких-либо ограничений.

«Существует распространённое мнение, что обладателям iOS-гаджетов не страшны проблемы безопасности, но на самом деле это не так. Риску подвергается любое устройство, независимо от того, какая операционная система на нем установлена. Самые распространённые опасности — это сетевые угрозы, а также программы для слежки или похищения персональных данных, — говорит Гаган Сингх (Gagan Singh), директор по развитию потребительского бизнеса Avast Software. — Мы пользуемся смартфонами ежедневно для работы и в личных целях, поэтому особенно важно обеспечить конфиденциальность владельцев и защитить мобильные устройства, независимо от того, на какой платформе они работают. Новое приложение Avast предлагает целый ряд функций, которые охватывают все аспекты мобильной безопасности».

Приложение Avast Mobile Security for iOS доступно для скачивания в магазине App Store. Стоимость подписки составляет 350 рублей в месяц или 1350 рублей в год.

9,5 млн подробных записей о людях, собранных компанией Adapt, оказались общедоступны

Исследователь безопасности Боб Дьяченко (Bob Diachenko) обнаружил, что 9 376 173 подробных записей о людях, собранных агрегатором Adapt.io, хранятся в общедоступной и незащищённой базе данных MongoDB. Как подробно рассказал Дьяченко, открытая база данных на 123 Гбайт напрямую доступна любому, у кого есть идентификатор MongoDB, подключение к Интернету и знания, необходимые для поиска открытого сервера.

В записях базы данных содержится широкий спектр информации, включая полное имя человека, название компании, её описание, размер дохода, номера телефонов, домен компании, а также общее количество контактов с электронными адресами к каждому. «Хотя сами данные могут быть не особенно чувствительными, доступность их в Интернете без какой-либо идентификации весьма неожиданна, — отметил специалист. — Законность парсинга сайтов в качестве метода сбора данных всё ещё обсуждается, но открытый доступ к такому массиву конфиденциальной информации определённо противоречит правовым нормам».

Кроме того, компании, которые нарушают принятое в ЕС законодательство GDPR (Общие правила защиты данных), подлежат штрафам в размере до €20 млн или до 4 % от их ежегодного мирового оборота. Хотя это должно быть достаточным стимулом даже для компаний с доходами в несколько миллиардов, все ещё немало организаций, которые не воспринимают защиту данных так серьёзно, как должны.

Анализ обнаруженных господином Дьяченко данных позволил выявить владельца — службу-агрегатор Adapt.io, который, согласно описанию с его сайта, обеспечивает доступ к миллионам деловых контактов. «Бесплатные инструменты Adapt помогают вам обогащать деловые профили на любом веб-сайте с помощью электронной почты, телефона и ряда контактов», — отмечает сервис.

Несмотря на то, что специалист по безопасности связался по крайней мере с одним представителем Adapt.io в рамках ответственной процедуры раскрытия информации, служба агрегации данных не предоставила никакого ответа или объяснения причин, по которым 123-Гбайт база MongoDB, содержащая 9,3 млн записей, является общедоступной.

Кстати, 5 сентября Боб Дьяченко уже обнаруживал другую незащищённую базу данных размером 200 Гбайт, принадлежащую компании по восстановлению данных и резервным копиям Veeam, которая опубликовала 445 миллионов записей, связанных с автоматической маркетинговой кампанией Marketo.

Опавшие листья могут сравниться по степени опасности для водителей со снегом

Компания Ford опубликовала результаты уникального исследования, в ходе которого специалисты постарались выяснить, насколько серьёзную опасность для автомобилистов представляют опавшие листья.

Дело в том, что большое количество влажной листвы может сильно ухудшить сцепление колёс с дорожным полотном. Некоторые даже считают, что листья на дороге не менее коварны, чем снег. Угрозу, исходящую от этих двух природных «помех», как раз и сравнили сотрудники Ford в ходе исследования.

Компания Ford уже располагает огромным объёмом информации о вождении на снегу: такие данные постоянно собираются во время зимних тестов в скандинавских странах. Вместе с тем исследования на тему скользкости листьев не проводились ни разу.

В рамках эксперимента команда инженеров Ford покрыла листвой испытательный трек на полигоне компании в Бельгии. После этого в дело вступил специальный прибор, определяющий коэффициент скольжения покрытия.

Оказалось, что влажные опавшие листья представляют реальную угрозу для автомобилистов. Во время эксперимента самые низкие показатели коэффициента трения достигали значений 0,3–0,4 мю, что является типичными показателями для покрытых снегом поверхностей.

Таким образом, в определённых условиях опавшие листья могут сравниться по степени опасности для водителей со снегом. 

В Ford создан костюм засыпающего водителя

Несколько лет назад компания Ford демонстрировала «костюм пьяного водителя», позволяющий абсолютно трезвому автомобилисту ощутить на себе изменения в поведении и реакции, которые могут быть спровоцированы алкоголем. Теперь автогигант разработал костюм, имитирующий состояние крайней усталости водителя.

Исследования говорят о том, что переутомление является основной причиной почти каждой пятой аварии. Более того, отсутствие сна на протяжении более чем 18 часов может привести к ухудшению способности к вождению, которое сравнимо с превышением допустимого во многих странах уровня алкоголя в крови.

Новая разработка Ford призвана наглядно продемонстрировать опасность управления автомобилем в состоянии переутомления. Так называемый «сонный костюм» включает в себя специальные очки, имитирующие крайнюю степень усталости и состояние микросна.

Дело в том, что именно в состояние микросна нередко погружается сильно уставший водитель: это кратковременный сон, который может длиться до полуминуты. Причём сам человек может этого даже не осознавать, считая, что лишь на мгновение потерял концентрацию. На самом же деле в это время наблюдается полная потеря внимания, что чревато самыми тяжёлыми последствиями.

Очки, подключенные к приложению для смартфона, можно настроить так, чтобы они симулировали временное «выключение» мозга, при этом водитель фактически ничего не видит перед собой полсекунды, а потом всё дольше и дольше, вплоть до 10 секунд.

Кроме того, в состав костюма входят специальные повязки на запястья и лодыжки, кепка и жилет. Общий вес этой «амуниции» превышает 18 кг, благодаря чему создаётся полный эффект той степени ухудшения внимания и физической усталости, которая возникает при переутомлении водителя. 

Chrome отправляет данные из почты ProtonMail на серверы Google

Пользователь Reddit под ником u/lioploum заметил, что браузер Chrome отправляет в Google контент любой веб-страницы, в том числе письма из защищённых ящиков, в частности, из ProtonMail.

engadget.com

engadget.com

Как оказалось, пользователь отправил своей супруге на редактирование длинное письмо, используя ProtonMail. Однако та обратила внимание на неправильное построение предложений и обилие английских слов, хотя письмо было на французском. В папке отправленных письмо было без изменений, таким оно было и при открытии на мобильном устройстве с iOS. А вот через Chrome текст выглядел так, будто его перевели французского языка на английский и снова на французский.

После отключения опции автоматического перевода сайта в браузере всё пришло в норму. Однако ситуация выглядит не слишком хорошо, ведь функция перевода не заявлена в Chrome как активированная по умолчанию для всех ресурсов.

«Но вывод пугает: это значит, что содержимое любой веб-страницы, открытой через Google Chrome отправляется Google. Любое электронное письмо, даже в ProtonMail, отправляется Google даже если, в данном случае, перевод не должен был производиться. Единственное решение: не используйте Chrome», — заявил пользователь.

При этом пользователи в комментариях поддержали критику браузера. А в компании ProtonMail уже заявили, что проблема заключается в браузере и не имеет отношения к почтовому сервису. В Google пока не комментировали ситуацию.

yousense.info

yousense.info

Отметим, что функция автоматического перевода осуществляется на серверах, а не в браузере, потому данные всё же передаются в Google. А это означает потенциальную опасность для такой информации, ведь в «корпорацию добра» могут попасть любые сведения, которые проходят через сервис перевода.

В Windows 10 улучшилась безопасность

Проблема слабых паролей по-прежнему актуальна. Пользователи зачастую ленятся придумывать и запоминать сложные пароли, что упрощает взлом и похищение данных, в том числе критически важных. Однако теперь, по данным компании Microsoft, сделан ещё один шаг к повышению безопасности.

pcworld.com

pcworld.com

В Редмонде запустили новую систему авторизации пользователей. Она использует биометрическую систему безопасности Windows Hello или физический аппаратный ключ авторизации. Также можно использовать приложение Microsoft Authenticator.

Вход без пароля поддерживается в Outlook, Office, Skype, OneDrive, Xbox Live, Bing, Microsoft Store и самой Windows. Для работы потребуется обновление Windows 10 October Update 2018 и браузер Chrome. При этом ключ безопасности должен соответствовать спецификациям FIDO2 CTAP.

В любом из вариантов подразумевается двухфакторная аутентификация, что должно, по задумке разработчиков, обезопасить пользователей. В аппаратных ключах и устройствах FIDO2 вшит свой уникальный ключ, который становится доступен только при верном пароле, PIN-коде или отпечатке пальца пользователя.

Проблема такого подхода лишь в том, что аппаратные ключи зачастую не представлены в России и странах СНГ, потому такие меры безопасности в ряде случаев остаются «за бортом» для нашей страны.

При этом отметим, что недостаточная безопасность данных — одна из наиболее серьёзных проблем на сегодняшний день. И человек в ней зачастую является «слабым звеном», поскольку игнорирует правила безопасности, упрощая себе жизнь. Однако подобное может привести к серьёзным последствиям.

Заплатка против Spectre 2 снижает производительность Linux на значение до 50 %

На что можно пойти, чтобы сделать компьютер более безопасным? Большинство людей, обеспокоенных защитой данных, понимают, что уменьшение рисков связано с какими-то компромиссами, либо в области удобства, либо затрат, либо производительности. Тем не менее, многие пользователи Linux не были готовы к тому, что заплатка против уязвимости Spectre 2 снизит производительность их систем с процессорами Intel на значение до 50 %.

Обновление, о котором идёт речь, было выпущено вместе с ядром Linux 4.20. Оно включает исправление STIBP (Single Thread Indirect Branch Predictors) для исполняющихся в многопоточном режиме процессов (SMT). Заплатка должна предотвращать атаки, основанные на уязвимости Spectre 2, но она также вредит производительности процессоров Intel с поддержкой Hyper-Threading, если эти чипы используют последние обновления микрокода.

Было изначально ясно, что STIBP повлияет на производительность. Тем не менее Линус Торвальдс (Linus Torvalds), который вернулся к штурвалу после краткого перерыва в сентябре, сказал с негодованием: «Нигде в обсуждении я не заметил упоминания о том, насколько негативным оказалось влияние на производительность этой заплатки. Когда скорость снижается на 50 % в некоторых задачах, люди должны начать спрашивать себя, стоит ли использовать подобную „защиту“?».

Господин Торвальдс также добавил, что люди, действительно обеспокоенные своей безопасностью, просто полностью отключают технологию SMT. Поэтому текущая ситуация побудила известного разработчика предложить следующее решение для будущей сборки Linux под системы Intel, которое должно успокоить большинство пользователей:

«Я думаю, нам необходимо использовать ту же логику, что и для L1TF: мы по умолчанию используем такие заплатки, которые не влияют на производительность. Нужно предупреждать о таком, а после этого я бы посмотрел на сумасшедших, которые предпочли бы 50-процентное падение производительности, лишь бы решить проблему, носящую всё ещё теоретический характер».

Кстати, господин Торвальдс — не единственный, кого удивляет эта реализация STIBP. Например, работающий на Intel специалист по безопасности Linux Аржан ван де Вен (Arjan van de Ven) отметил: «В документации AMD официально рекомендует не активировать эту заплатку по умолчанию, и я могу сказать, что и наша позиция в Intel аналогична: данная защита действительно не должна быть активирована по умолчанию». Он добавил, что использование инструмента в «хирургически необходимых» случаях — это одно, а включать его всегда неверно.

В платформе для управления дронами DJI выявлена опасная уязвимость

Компания Check Point рассказала об опасной уязвимости, обнаруженной в инфраструктуре управления беспилотными летательными аппаратами DJI.

Проблема, как сообщается, связана с особенностями процесса идентификации пользователей на онлайн-форуме DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с тем же идентификационным маркером на всех платформах. Это открывает путь к осуществлению XSS-атаки: злоумышленникам достаточно собрать идентификационный токен пользователя с помощью обычной ссылки, размещённой на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах.

В случае успеха злоумышленники могут получить полный доступ к учётной записи пользователя. Это, к примеру, даёт возможность похищать журналы полётов, а также фотографии и видеозаписи с дронов, если пользователь синхронизировал их с облачными серверами DJI.

Кроме того, в режиме реального времени могут быть украдены снимки с камеры и запись траектории полёта, если используется программное обеспечение для управления полётом FlightHub DJI.

Наконец, атакующие получают возможность похитить персональную информацию жертвы, например, данные профиля, сведения о кредитной карте и пр.

Специалисты Check Point уже уведомили компанию DJI о проблеме, и уязвимость была устранена. Сейчас описанная брешь не представляет угрозы для пользователей платформы DJI. 

window-new
Soft
Hard
Тренды 🔥