Теги → эксплойт
Быстрый переход

Эксплойты для сервиса Zoom продаются за 500 тысяч долларов США

Хакеры продают эксплойты для двух неисправленных критических уязвимостей программного обеспечения видеоконференцсвязи Zoom, которые позволят взламывать компьютеры пользователей и шпионить в реальном времени за их видеозвонками, сообщает ресурс Vice ссылаясь на свои источники.

Обнаруженные эксплойты используют так называемые уязвимостями «нулевого дня» в ПО, которые в настоящее время присутствуют в клиентах Zoom для Windows и MacOS, согласно информации от трёх источников, осведомлённых о данных видах взломов. Представители источников сами не видели программный код уязвимостей, но связывались с брокерами, предлагающими их для продажи. В зависимости от того, в каком программном обеспечении они обнаруживаются, обычно их можно продать за тысячи или даже миллионы долларов.

На прошлой неделе  ресурс Vice сообщал о возросшем интересе к такому роду уязвимостей именно для сервиса Zoom, поскольку миллионы людей, включая сотрудников и руководителей крупных компаний по всему миру, перешли на эту платформу для организации рабочих или конфиденциальных встреч во время пандемии коронавируса.

«Насколько мне известно, есть два эксплойта нулевого дня для Zoom. Один предназначен для OS X, а другой — для Windows. Я не думаю, что они просуществуют довольно долго, потому что когда такие атаки применяются, их легко обнаруживают» – сказал Адриэль Десотель (Adriel Desautels), основатель компании Netragard, которая раньше торговала эксплойтами.

Два других независимых источника, пожелавших остаться анонимными для обсуждения такой деликатной темы, подтвердили существование именно этих двух эксплойтов в продаже. «[Эксплойт для Windows] отличный, чистый RCE [Remote Code Execution – удаленное выполнение кода]. Идеально подходит для промышленного шпионажа», — сказал один из источников, который является ветераном индустрии кибербезопасности. RCE-уязвимости являются наиболее востребованными хакерами, поскольку они позволяют выполнять код на компьютере цели. Другими словами, RCE позволяет хакерам получить доступ ко всей машине, а не только к программному обеспечению, которое они атакуют.

Эксплойт для Zoom под Windows позволяет злоумышленникам получить доступ только к самому приложению конференцсвязи, но для доступа к системе атакуемого пользователя потребуется использование ещё одной уязвимости. Запрашиваемая цена за уязвимость под Windows составляет 500 тысяч долларов США, однако по словам одного из источников, занимающийся покупкой эксплойтов, она явно завышена. Дело в том, что данная атака подразумевает контакт через видеозвонок хакера с целью, что делает эксплойт менее ценным для спецслужб, которое стремятся быть скрытными.

Баг в Zoom под MacOS не позволяет выполнить RCE, что делает его менее опасным и более трудным для использования в реальном взломе, согласно двум другим анонимным источникам.

«Zoom чрезвычайно серьезно относится к безопасности пользователей. С тех пор как мы узнали об этих слухах, мы круглосуточно работаем с авторитетной, ведущей в отрасли ИБ-компанией, для расследования случившегося. На сегодняшний день мы не нашли никаких доказательств, подтверждающих эти заявления», — отреагировали в компании Zoom.

Уязвимость MediaTek затрагивала миллионы смартфонов Android в течение года

Масса устройств работает под управлением операционной системы Android, и с учётом различий в оборудовании и программных платформах, уязвимости в системе безопасности стали обычным явлением. В последней публикации ресурс XDA Developers сообщил об уязвимости, которая была впервые обнаружена ещё в апреле 2019 года разработчиком, когда он пытался открыть доступ root к планшету Amazon Fire.

Пользователь с псевдонимом Diplomatic на форумах XDA представил скрипт, который использовал обнаруженную уязвимость для временного получения прав root на планшетах Fire. Позже стало ясно, что уязвимость, получившая название MediaTek-su или CVE-2020-0069, также присутствовала на многих других смартфонах и планшетах, оснащённых процессорами MediaTek.

Эта уязвимость позволяет вредоносному приложению делать что угодно — устанавливать любое ПО, менять права для существующих приложений, а также получать доступ к личным данным. Полный список из 93 устройств, затронутых уязвимостью, доступен на сайте источника. Следует отметить, что поскольку проблеме MediaTek-su около года, некоторые компании уже обратили на неё внимание и выпустили заплатки для своих устройств.

Тем не менее, остаётся ряд аппаратов, которые по-прежнему уязвимы, и учитывая, что чипы MediaTek в основном используются в устройствах среднего или начального уровня, производители могут не располагать ресурсами, чтобы предложить обновление для исправления этой проблемы. Ранее TrendMicro опубликовал отчёт, в котором утверждалось, что несколько приложений из магазина Play Store использовали такие эксплойты, как MediaTek-su или CVE-2019-2215, для получения доступа root. Однако эти приложения не были удалены компанией Google со своей площадки.

Проверить уязвимость своего аппарата с чипом MediaTek просто: достаточно запустить оригинальный root-скрипт из XDA, и, если пользователь войдёт в оболочку root, эксплойт работает. В таком случае желательно поскорее установить последнее ПО и с особой внимательностью инсталлировать сомнительные приложения.

Исследователи Google помогли Apple пресечь масштабную хакерскую атаку на пользователей iPhone

Участники проекта Google Project Zero, занимающиеся исследованиями в области информационной безопасности, сообщили об обнаружении одной из самых масштабных атак на пользователей iPhone, в ходе которой использовались веб-сайты, распространяющие вредоносное программное обеспечение. В сообщении говорится о том, что с веб-сайтов внедрялось вредоносное ПО на устройства всех посетителей, число которых составляло несколько тысяч еженедельно.

«Не было какой-либо целевой направленности. Достаточно просто посетить вредоносный сайт, чтобы сервер эксплойтов совершил атаку на ваше устройство, и, если она была успешной, осуществлялась установка средств мониторинга. По нашим оценкам, данные сайты посещают тысячи пользователей каждую неделю», — написал в блоге специалист проекта Google Project Zero Ян Бир (Ian Beer).

В сообщении говорится, что в некоторых атаках применялись так называемые эксплойты нулевого дня. Это означает, что использовалась уязвимость, о которой неизвестно разработчикам Apple, поэтому у них было «ноль дней» на её исправление.

Ещё Ян Бир написал о том, что Группа анализ угроз Google смогла выявить пять отличных друг от друга цепочек эксплойтов iPhone, в основе которых лежат 14 уязвимостей. Обнаруженные цепочки использовались для взлома устройств, работающих под управлением программных платформ от iOS 10 до iOS 12. Специалисты Google уведомили Apple о своей находке и в феврале этого года уязвимости были исправлены.

Исследователь рассказал о том, что после проведения успешной атаки на пользовательское устройство происходило распространение вредоносного ПО, которое преимущественно использовалось для кражи информации и фиксации данных о местоположении устройства в реальном времени. «Инструмент слежения запрашивал команды с сервера управления и контроля каждые 60 секунд», — сообщил Ян Бир.

Он также отметил, что вредоносное ПО имело доступ к сохранённым пользовательским паролям и базам данных различных приложений обмена сообщениями, в том числе Telegram, WhatsApp и iMessage. Сквозное шифрование, используемое в подобных приложениях, способно защитить сообщения от перехвата, но уровень защиты значительно снижается, если злоумышленникам удаётся скомпрометировать конечное устройство.

«Учитывая объём похищенной информации, злоумышленники могут поддерживать постоянный доступ к разным учётным записям и службам, используя для этого украденные токены аутентификации даже после потери доступа к пользовательскому устройству», — предупреждает пользователей iPhone Ян Бир.   

Портативную консоль Nintendo Switch удалось превратить в Linux-планшет

Успешный маркетинг в совокупности с грамотной реализацией задуманного позволили Nintendo продать за девять месяцев текущего финансового года около 15 млн фирменных консолей Switch. Неудивительно, что ажиотаж вокруг устройства привлёк внимание не только обычных геймеров, желающих весело скоротать время за счёт портативного гаджета, так и энтузиастов-экспериментаторов, которые не приемлют коммерческий продукт без его существенных доработок.

 

nerdist.com

nerdist.com

Обнаруженная почти две недели назад уязвимость в программной части Nintendo Switch позволила загрузить на консоль Linux. Однако автор безобидного эксплойта решил не останавливаться на достигнутом и продолжил начатую работу по модернизации интерфейса Nintendo Switch. 

Опубликованный видеофрагмент наглядно демонстрирует, как хакер с ником «fail0verflow» тестирует консоль Nintendo Switch с Linux-платформой «на борту». В качестве графической оболочки им была выбрана KDE Plasma, которая обеспечила необходимое тактильное взаимодействие с гаджетом посредством сенсорного ввода, а также позволила выйти через него в Сеть. 

Таким образом игровая консоль усилиями «fail0verflow» превратилась в планшетный компьютер для гиков, способный даже распознавать несколько одновременных нажатий по дисплею и покидать «режим сна» после касания сенсорной поверхности. 

Автор ролика не раскрывает детали эксплойта и не объясняет, каким именно образом ему удалось «привить» KDE Plasma консоли Switch, так что повторить увиденный трюк в домашних условиях пока не представляется возможным. Сам «fail0verflow» отмечает, что разработчикам из Nintendo для устранения бреши, которая позволяет загрузить пользовательскую прошивку, недостаточно просто выпустить патч. Проблема кроется значительно глубже и требует вмешательства в аппаратную часть устройства. 

Тысячи правительственных сайтов скрытно добывали криптовалюты

Исследователь безопасности Скотт Гельм (Scott Helme) обнаружил 4275 легитимных сайтов, многие из которых принадлежат правительственным службам и агентствам, на которых при этом работают теневые веб-скрипты, использующие компьютеры посетителей для добычи криптовалют.

Источником столь широкой проблемы стал модуль BrowseAloud, встроенный во все поражённые сайты. Он может озвучивать текст и призван сделать веб-ресурсы более доступными для тех, кто страдает нарушением зрения или сталкивается с другими сложностями в восприятии информации. Именно правительственные сайты обязаны предоставлять подобную функциональность, чтобы обеспечить доступ максимально широкому кругу лиц.

При этом ни владельцы затронутых сайтов, ни компания TextHelp — разработчик модуля BrowseAloud — не несут прямой ответственности за внедрение вредоносного кода. Это произошло в воскресенье 11 февраля по вине третьей стороны, модифицировавшей BrowseAloud для скрытного внедрения криптовалютного кода CoinHive. В настоящее время TextHelp приостановила работу плагина до устранения проблем безопасности.

Случаи внедрения подобного рода кода, задействующего мощности большого количества компьютеров посредством веб-браузера, довольно распространены, но характерна для сомнительного рода ресурсов вроде бесплатных или поддельных файлохранилищ. Такой вид фонового заработка для владельцев сайтов часто более приемлем, чем демонстрация навязчивой рекламы, отталкивающей посетителей. При этом использование веб-скриптов, исполняющихся на центральном процессоре, является, пожалуй, наименее эффективным способом добычи криптовалют, особенно нежелательным для мобильных устройств, которые будут быстро разряжаться и греться.

Появление подобного рода зловредов на сайтах с максимальным уровнем доверия является прецедентом, требующим обратить более серьёзное внимание на вопросы безопасности в Интернете, особенно связанные с использованием готовых сторонних модулей. К счастью, в данном случае исследователи безопасности быстро выявили проблему.

Скотт Гельм рекомендует владельцам сайтов использовать инструменты SRI и CSP, чтобы избежать подобного рода внедрений нежелательного кода. Рядовые же пользователи могут установить плагин No Coin для браузеров Firefox, Chrome. С недавних пор мобильная и настольная версии Opera имеют встроенную защиту от добычи криптовалют.

У АНБ украли эксплойты, с помощью которых якобы можно взломать любую версию Windows

В прошлом году в Агентстве национальной безопасности США были украдены важные данные, в частности, эксплойты уязвимостей. Предполагалось, что украденные тогда инструменты для взлома предназначались для более ранних версий Windows. Недавно на сайте BetaNews появилась информация о том, что теперь они могут потенциально повлиять на все операционные системы Microsoft, начиная с Windows 2000.

Некоторые из украденных у АНБ эксплойтов были опубликованы в апреле 2017 года хакерской группировкой The Shadow Brokers. Наибольшую известность получил эксплойт EternalBlue, с помощью которого было произведено несколько массовых кибератак, таких как NotPetya, Bad Rabbit и WannaCry. Помимо EternalBlue, было опубликовано ещё несколько украденных эксплойтов, но они не были особенно популярными, потому что поражали только ограниченное количество версий Windows.

Недавно исследователь безопасности, известный как Zerosum0x0, изменил исходный код для некоторых из этих менее известных эксплойтов, в результате чего они могут работать и запускать произвольный код на большинстве актуальных систем.

Исследователь модифицировал три эксплойта: EternalChampion, EternalRomance и EternalSynergy. Они уже входят в состав Metasploit Framework и могут использоваться для взлома даже Windows 10, которая раньше считалась защищенной от украденных у АНБ эксплоитов.

Microsoft устранила уязвимости, о которых идет речь, в последнем обновлении безопасности.

Учёные смогли заразить компьютер занесённым в ДНК вирусом

Исследователям Вашингтонского университета удалось заразить компьютер вредоносным программным обеспечением, внедрённым в нить ДНК. Чтобы проверить, можно ли атаковать компьютер таким образом, команда добавила в программу для обработки ДНК известную уязвимость. Затем она создала синтетическую нить ДНК с вредоносным кодом. Машина проанализировала её, благодаря чему исследователи смогли запустить на компьютере эксплойт.

dnasec.cs.washington.edu

dnasec.cs.washington.edu

«Мы хотели понять, какие новые риски компьютерной безопасности могут возникнуть при взаимодействии между биомолекулярной информацией и компьютерными системами, которые её анализируют», — написали исследователи под руководством Тадаёши Коно (Tadayoshi Kohno), профессора информатики Вашингтонского университета.

Базовые структурные элементы ДНК называются нуклеотидами. Посредством секвенирования ДНК учёные могут определять порядок нуклеотидов, что позволяет анализировать переносимую в нитях генетическую информацию. За последние 10 лет стоимость секвенирования снизилась более чем в 100 тысяч раз.

После секвенирования данные обрабатывают и анализируют различные компьютерные программы. Современные технологии позволяют одновременно обрабатывать сотни миллионов нитей ДНК. Если учесть возможность взлома, описанную выше, то можно лишь догадываться, насколько огромной может быть угроза. Впрочем, исследователи считают, что причин для беспокойства нет.

dnasec.cs.washington.edu

dnasec.cs.washington.edu

«Мы не нашли никаких доказательств того, что безопасность секвенирования ДНК или данных ДНК в целом на данный момент находится под угрозой, — сказали учёные. — Мы рассматриваем эти результаты как первый шаг к рассмотрению компьютерной безопасности в экосистеме секвенирования ДНК».

«Основной целью этого исследования было лучше понять возможность атак с внедрением кода на основе ДНК, — добавили исследователи. — Нам также неизвестен ни один случай, в котором злоумышленник пытался бы похитить вычислительные биологические программы».

Эксплойт-кит Stegano атакует посетителей крупных новостных сайтов

Компания ESET предупреждает о волне кибератак на посетителей крупных новостных сайтов с миллионной суточной аудиторией.

Злоумышленники применяют новый эксплойт-кит Stegano: он нацелен на пользователей браузера Microsoft Internet Explorer и уязвимых версий Flash Player. Конечной целью атак является внедрение в систему жертвы вредоносного ПО.

Киберпреступники применяет технику стеганографии: программный код маскируется в изображениях PNG. Атакующие незначительно меняют параметр прозрачности нескольких пикселей — изменения неразличимы визуально, но открывают широкие возможности внедрения кода. Модифицированные PNG-файлы используются в качестве рекламных баннеров.

Stegano рекламирует приложения Browser Defence и Broxu / ESET

Stegano рекламирует приложения Browser Defence и Broxu / ESET

Важно отметить, что инфицирование происходит без какого-либо участия со стороны пользователя. Для заражения достаточно открыть в Internet Explorer сайт, где размещена вредоносная реклама. При посещении такой веб-страницы эксплуатация уязвимостей производится автоматически.

В случае успешной атаки на компьютер загружаются различные вредоносные программы, включая банковские трояны, бекдоры, шпионское ПО и программы для кражи файлов. Эксперты говорят, что в будущем к этим инструментам могут добавиться шифраторы. 

Девятилетняя уязвимость ядра Linux подвержена серьёзному эксплойту

Недавно был обнаружен серьёзный эксплойт, которому подвержена уязвимость девятилетней давности в ядре операционной системы Linux. Нашедший эксплойт исследователь из сферы безопасности Фил Оестер (Phil Oester) заявил изданию V3, что атака «проста в исполнении, срабатывает всегда и, вероятно, была активна на протяжении нескольких лет». Из-за сложности этой атаки Оестер смог обнаружить её только лишь потому, что он занимался «захватом всего входящего HTTP-трафика, что позволило ему извлечь эксплойт и протестировать его в песочнице».

Баг в ядре Linux, существующий уже на протяжении девяти лет, однажды пытался исправить даже сам Линус Торвальдс (Linus Torvalds), создатель Linux. Вся его работа была, к сожалению, испорчена другим патчем, вышедшим несколько лет спустя. Поэтому Оестер считает, что обнаруженный эксплойт был активен с 2007 года. Сама проблема заключается в так называемом «состоянии гонки» системы памяти ядра Linux — ошибке проектирования многопоточной системы, при которой работа этой системы зависит от порядка выполнения отдельной части кода. Эксплойт задействуется благодаря ошибкам в определённых операциях постоянного запоминающего устройства. «Непривилегированный локальный пользователь мог бы использовать эту уязвимость, чтобы получить доступ с возможность записи к мапированию, в других случаях ограничивающемуся только чтением, и таким образом повысить свои привилегии в системе», — говорится на сайте Red Hat.

Торвальдс отмечает, что «состояние гонки» раньше было «исключительно теоретическим», однако сейчас ошибку куда проще использовать благодаря улучшенным технологиям виртуальной памяти. Баг, получивший название Dirty COW (от copy-on-write), уже был исправлен, а дистрибьюторы вроде Red Hat, предоставляющие предприятиям программное обеспечение с открытым исходным кодом и классифицировавшие баг как «важный», уже работают над обновлениями. «Всем пользователям Linux нужно отнестись к этому багу очень серьёзно и установить обновления на свои системы как можно скорее», — сказал Оестер. Он также добавил, что анализаторы пакетов, которые помогли ему найти эксплойт, «много раз доказывали свою бесценность».

Опасная уязвимость найдена в более чем 840 тыс. устройствах Cisco

Уязвимости в сетевом оборудовании проявляются время от времени, но чаще всего они касаются лишь небольшого числа изделий, или имеют невысокий уровень опасности. Этого нельзя сказать про обнаруженную на днях уязвимость в реализации протокола Internet Key Exchange версии 1. Мало того, что багу с идентификатором CVE-2016-6415 присвоен уровень опасности High, так эта уязвимость ещё и охватывает огромное количество устройств — более 840 тысяч.

Cisco

Cisco

Как сообщают специалисты, эта брешь в безопасности похожа на баг, эксплуатируемый группой хакеров Equation, которую связывают с Агентством национальной безопасности. Проблема затрагивает множество устройств с программным обеспечением Cisco IOS, Cisco IOS XE и Cisco IOS XR, а также брандмауэры Cisco PIX. С помощью уязвимости злоумышленник способен удалённо и без аутентификации получить доступ к содержимому памяти, что может стать причиной утечки конфиденциальной информации. Суть проблемы лежит в недостаточной проверке условий в части кода, который отвечает за обработку запросов на согласование режима безопасности. IKEv1 используется в технологии VPN и других функциях, популярных в корпоративной среде.

Wonderhowto.com

Wonderhowto.com

Впервые об уязвимости заявила группа Shadow Brokers, но тогда речь шла только о продуктах Cisco PIX. Существование бага в множестве других устройств обнаружили с помощью внутреннего тестирования сами специалисты Cisco. На момент подготовки материала патчи, устраняющие дыру, ещё не были разработаны. Но Cisco уже обновила сигнатуры для систем обнаружения вторжений, что позволит администраторам вовремя отреагировать на подозрительную активность.

Интересно, что больше всего уязвимых устройств (согласно последнему сканированию) находится в США (255 606), а на втором месте — Россия (42 281). Далее следует Великобритания (42 138), также в десятку вошли Канада, Германия, Япония, Мексика, Франция, Австралия и Китай.

Google Project Zero: найди ошибки в Android за $200 тыс.

Компания Google запустила состязание для хакеров, целью которого является выявление слабых мест платформы Android и последующее усиление её безопасности. Конечно, старания участников будут вознаграждены в отдельных случаях, что оговорено в условиях программы. Лидер соревнований получит приз $200 тыс. За второе место полагается $100 тыс. Другие участники, нашедшие «дыры» и реализовавшие для них эксплоиты, могут получить до $50 тыс.

К участникам предъявляются определённые требования. Они должны быть старше 18 лет (от 13 лет только при условии письменного родительского соглашения), не являться резидентами Италии, Бразилии, Квебека, Кубы, Ирана, Сирии, Северной Кореи, Судана или Крыма, не иметь родственных связей с сотрудниками компании Google и её дочерних предприятий.

Под успешным выполнением задания подразумевается разработка работающего эксплоита, который позволяет удалённо запускать вредоносный код на устройствах Nexus 6P или Nexus 5X, а также прилагаемый к нему документ, детально описывающий его работу и каждый баг в цепочке. Также эксплоит должен быть практичным с точки зрения атакующего (например, для его проведения должно быть затрачено разумное время) и основываться лишь на неизвестных уязвимостях (по состоянию на 13 сентября 2016 года).

Состязание получило название Project Zero Security Contest. Оно продлится до 14 марта 2017 года.

«Лаборатория Касперского» выяснила, чем ещё «зарабатывали» авторы банковского троянца Lurk

В июне МВД и ФСБ России при экспертной поддержке «Лаборатории Касперского» ликвидировали преступную кибергруппировку Lurk, которая в течение пяти лет похищала денежные средства со счетов пользователей в России при помощи банковского троянца Lurk — за время своей активности злоумышленники похитили более 3 миллиардов рублей.

Расследование деятельности этой кибергруппировки продолжается и поныне. Недавно экспертам удалось установить, что прибыль злоумышленникам приносила не только кража денег с помощью банковского троянца, но и сдача в аренду другого вредоносного ПО — набора эксплойтов Angler.

Как отмечается в свежем отчёте «Лаборатории Касперского», в течение нескольких лет Angler был одним из самых эффективных наборов эксплойтов для уязвимостей в популярном ПО. Данное средство позволяло скрытно устанавливать на компьютеры жертв опасные вредоносные программы. Киберпреступники по всему миру эксплуатировали его с целью внедрения самых разных зловредов: от рекламного ПО до банковских троянцев и программ-вымогателей.

Первоначально этот набор эксплойтов создавался исключительно для обеспечения эффективного и надёжного распространения банковского троянца Lurk, однако с 2013 года его владельцы стали предлагать Angler в аренду и на подпольных форумах. Предположительно, решение продавать доступ к этому инструменту другим злоумышленникам было обусловлено необходимостью окупать высокие затраты авторов Lurk на огромную сетевую инфраструктуру и штат сотрудников. 

«Лаборатория Касперского» разработала технологию борьбы с эксплойтами под Adobe Flash Player

«Лаборатория Касперского» сообщила о получении очередного патента на разработки в сфере обеспечения компьютерной безопасности.

На этот раз речь идёт о технологии, которая выявляет эксплойты под Adobe Flash Player, часто успешно скрываемые с помощью переупаковки. Новая разработка позволяет детектировать вредоносные файлы вне зависимости от того, каким образом они пытаются этому противостоять, что значительно облегчает процесс обнаружения зловредов в том случае, когда традиционные методы, такие как сигнатурный или эвристический анализ, не работают.

«Лаборатория Касперского» создала универсальную свёртку, представляющую собой контрольную сумму от байт-кода анализируемых вредоносных файлов, с помощью которой можно выявить сразу целые их группы. На данный момент она работает для обнаружения разных видов вредоносного ПО, использующего стековые виртуальные машины: не только эксплойтов под Adobe Flash Player, написанных на ActionScript, но и зловредов, написанных на .NET.

Свёртки, покрывающие группы файлов, облегчают обнаружение эксплойтов благодаря тому, что легко встраиваются в системы автоматического распознавания и позволяют детектировать множество объектов за один раз. Запатентованная технология уже включена в решения Kaspersky Internet Security для всех устройств и Kaspersky Total Security для всех устройств. 

«Лаборатория Касперского» выяснила, какие опасности таит зарядка смартфона от компьютерного USB-порта

«Лаборатория Касперского» опытным путём доказала, что заряжать смартфоны через USB-порты компьютеров не так уж безопасно, как принято считать.

Протестировав ряд смартфонов на базе Android и iOS, эксперты установили, что при подключении к компьютеру с помощью стандартного USB-кабеля устройства начинают автоматически обмениваться специфическим набором данных. В зависимости от производителя это может быть имя и тип устройства, серийный номер, информация о прошивке, операционной и файловой системах и т. д.

Объем данных, передаваемых от смартфона к ПК в момент установки соединения по USB

Объём данных, передаваемых от смартфона к ПК в момент установки соединения по USB

Злоумышленники, заполучив эти данные, могут произвести идентификацию устройства, определить его уязвимости и в конечном итоге получить над ним полный контроль. Сделано это может быть посредством одной из команд модема, выполняющей перезагрузку смартфона в режиме обновления прошивки. В результате этих действий на устройство может быть незаметно установлено приложение для управления файловой системой, не поддающееся удалению стандартными средствами. Используя данный метод, киберпреступники могут устанавливать и удалять приложения, копировать сообщения, фото и видео, кеш приложений и файлов, шифровать и удалять данные и т. д.

Чтобы снизить риск заражения гаджета во время его зарядки от компьютерного USB-порта, эксперты «Лаборатория Касперского» рекомендуют использовать только доверенные зарядные станции и компьютеры, выключать смартфон, пока он заряжается, а также использовать технологии шифрования и зашифрованные хранилища.

«Лаборатория Касперского»: злоумышленники следят за переговорами пользователей через мобильные устройства

«Лаборатория Касперского» поделилась результатами исследования зловредных приложений для слежки за конфиденциальными переговорами на мобильных устройствах. Отмечается, что несмотря на то, что такое общение ведётся в специализированных мобильных мессенджерах, которые, как правило, имеют хорошую защиту и шифрование пересылаемых сообщений, киберпреступники применяют приложения-импланты, с помощью которых возможно получить контроль над устройством и видеть все сообщения и данные, получаемые его владельцем.

Как правило, такие шпионские программы используются при кибератаках на организации или высокопоставленных лиц. По результатам исследования выяснилось, что только за последние два года вредоносные приложения такого типа применялись в шести крупных атаках. Сейчас такие программы доступны для всех популярных мобильных платформ — Android, iOS, Windows Mobile и Blackberry. Возможности приложений сейчас достаточно широки — они могут отслеживать местоположение смартфона или планшета, при необходимости включают камеру и микрофон телефона для записи, запоминают замену SIM-карты, следят за состоянием батареи, запоминают точки доступа Wi-Fi, к которым подключался пользователь, а также могут получить доступ к текстовым сообщениям, файлам и изображениям, хранящимся на устройстве.

По заявлениям специалистов «Лаборатории Касперского», чаще заражению подвергаются мобильные устройства, на которых сделан джейлбрейк, либо смартфон может быть заражён при подключении через USB-порт к инфицированному компьютеру. Иногда злоумышленники применяют дорогостоящие и эффективные эксплойты, в случае, если телефон принадлежит человеку, занимающему высокую должность.

«Злоумышленники уже давно поняли, что заражение мобильного устройства может дать им гораздо больше, чем атака на традиционный ПК, — заявляет антивирусный эксперт «Лаборатории Касперского» Дмитрий Бестужев, —  Жертвы кибератак всегда имеют при себе мобильные телефоны, и зачастую на них хранится информация, которой нет на рабочем компьютере. Кроме того, мобильные устройства обычно хуже защищены, поэтому для их заражения злоумышленникам приходится прилагать меньше усилий. В случае же с программами-имплантами зараженное мобильное устройство никак не защищено от шпионских действий, даже несмотря на надежное шифрование информации в мессенджере — злоумышленники имеют возможность читать те же сообщения, что и сами пользователи. При этом нет необходимости взламывать протоколы шифрования или перехватывать данные на сетевом уровне. Они могут просто читать сообщения так, как это делает жертва».

Чтобы избежать заражения, специалисты «Лаборатории Касперского» рекомендуют поддерживать операционную систему своего мобильного устройства в актуальном состоянии, своевременно устанавливая все выходящие обновления, а также не заряжать телефон через USB-порт компьютера, не делать джейлбрейк, а при подключении к Интернету использовать VPN-соединение. Кроме того, рекомендуется контролировать все процессы, которые выполняются в памяти устройства, а также использовать качественное защитное программное обеспечение.

Отмечается, что в настоящее время антивирусные решения от «Лаборатории Касперского» могут обнаруживать и блокировать все мобильные импланты, известные на сегодняшний день.

Более подробно об исследовании «Лаборатории Касперского» данного типа вредоносных приложений можно прочитать на этой странице

window-new
Soft
Hard
Тренды 🔥
Видео: высокоуровневые сражения, киберпанковые локации и опасные враги в геймплейном ролике The Ascent 9 мин.
«Проснулся уже?»: в дополнении Greymoor к TES Online спародировали вступление из TES V: Skyrim 55 мин.
Steam теперь напрямую поддерживает GeForce Now — функция Steam Cloud Play вошла в «бету» 59 мин.
Какие функции Microsoft перестала развивать или удалила в майском обновлении Windows 10 (2004) 2 ч.
Количество интернет-пользователей в Китае превысило 900 млн 2 ч.
Бесплатные выходные на Xbox One: Jump Force, Hunt: Showdown и Stellaris: Console Edition 2 ч.
Worms, Overcooked!, Blasphemous и другие: в Steam началась распродажа игр Team17 со скидками до 80 % 2 ч.
Олдскульный шутер Wrath: Aeon of Ruin получил очередное обновление и дату выхода — 25 февраля 2021 года 2 ч.
Похоже, на следующей неделе EA Motive анонсирует Project Maverick — новую игру во вселенной «Звёздных войн» 3 ч.
Эмулятор Nintendo Switch уже получил поддержку ремастера Xenoblade Chronicles, но проблем хватает 4 ч.