Security for all - #24 - 14 сентября 2018

Не переключайтесь! - Выпуск новостей

Сегодня

Cisco исправила уязвимости в своих продуктах; утечка данных с сайта Британских Авиалиний; исправлены 3 уязвимости в Wireshark; банковские трояны в Google Play; взломано расширение Mega для Chrome; приложение из AppStore шпионит за пользователями macOS; а Google отслеживает покупки с помощью данных от MasterCard.

Вспомогательные темы

Диссектор - в переводе с латыни “тот, кто рассекает”. Этот термин в нашем случае связан с анализатором трафика Wireshark. Диссекторами называют компоненты, которые разбивают содержимое пакета на логические элементы: выделяют заголовки, флаги, служебные поля в теле пакета. Например, диссектор протокола TCP выделяет значения порта источника, порта назначения, флагов и других полей.

Radiotap - стандарт де-факто для обработки пакетов беспроводной связи. Помимо полезной нагрузки, при приеме и передаче надо знать некоторую дополнительную информацию. Например, какой беспроводной канал использовался при передаче, какой был уровень сигнала. Именно для передачи такой метаинформации между драйверами устройства и операционной системой и нужен radiotap.

стандарты IEEE 802.11 - это набор стандартов беспроводной связи в локальной сети. Нам он наиболее известен по названию Wi-Fi. Например, стандарт 802.11n.

Новости

Cisco исправила уязвимости в своих продуктах

Компания Cisco опубликовала рекомендации по обновлению, в которых описала 32 закрытые уязвимости. 3 из этих уязвимостей были помечены как критические. Среди уязвимых продуктов роутеры, софт для проведения вебинаров WebEx, система защиты от вредоносного сетевого трафика Umbrella и другие.

Первая критическая уязвимость связана с недавно озвученной проблемой в Apache Struts. Cisco пришлось выпускать обновления для своих продуктов, которые использовали уязвимую версию.

Вторая уязвимость позволяла неавторизованному атакующему просматривать и изменять данные в облачной системе защиты Umbrella. Проблема была связана с недостаточными настройками аутентификации. Cisco устранила данную проблему, от пользователей никаких дополнительных действий не требуется.

Третья уязвимость позволяет атакующему выполнить код на уязвимом роутере или вызвать отказ в обслуживании. Проблема связана с недостаточной проверкой граничных значений в веб интерфейсе управления устройством.

https://thehackernews.com/2018/09/cisco-patch-updates.html

Утечка данных с сайта Британских Авиалиний

Британские Авиалинии подтвердили утечку данных клиентов. Как сообщила компания скомпрометированы оказались данные клиентов, которые бронировали билеты через сайт и мобильное приложение в период с 21 августа по 5 сентября. Среди украденных данных - информация о примерно 380 000 платежных карт и персональные данные пользователей. При этом утверждается, что данные сохраненные в приложении и на сайте не пострадали. Получается, что проблема касается только введенных данных.

Также утверждается, что имел место факт кражи данных, а не взлом. Иными словами в утечке замешан кто-то, у кого был доступ к данным. Возможно, вскоре появится больше подробностей.

https://www.ndtv.com/world-news/british-airways-says-380-000-payment-cards-compromised-in-data-breach-1912656 https://thehackernews.com/2018/09/british-airways-data-breach.html

Исправлены 3 уязвимости в Wireshark

Специалисты компании Cisco обнаружили три уязвимости в анализаторе сетевого трафика WireShark. Все три уязвимости вызывают отказ в обслуживании. Две проблемы были найдены в диссекторах Blutooth протоколов Low Energy Attribute Protocol и Audio/Video Data Transport Protocol. Третья в диссекторе Radiotap-заголовков стандарта IEEE 802.11.

Проблемы найдены во всех трех актуальных версиях анализатора: 2.2, 2.4 и 2.6. Пользователям рекомендуется обновиться на 2.6.3, 2.4.9 или 2.2.17.

https://threatpost.ru/three-wireshark-vulnerabilites-patched/28005/

Банковские трояны в Google Play

И снова возвращаемся к вредоносным приложениям в Google Play. Специалист из компании ESET Лукаш Стефанко (Lukas Stefanko) обнаружил три приложения, которые воровали смс, журналы звонков и учетные данные от банковских аккаунтов, а также могли отсылать sms и устанавливать другие приложения без ведома пользователя. Замаскированы вредоносы были под астрологические приложения.

Одно из этих приложений использовало интересный способ маскировки. При запуске пользователю показывалось сообщение, что якобы приложение несовместимо с операционной системой телефона и будет удалено. На самом же деле оно продолжало работать в фоновом режиме. Интересен вопрос, каким образом такое приложение прошло модерацию.

Другую группу банковских троянов обнаружил специалист из компании Avast Николаос Крисайдос (Nikolaos Chrysaidos). Найденные приложения были активны с начала августа и маскировались под приложения для оптимизации производительности системы.

Также в Google Play можно встретить и приложения, которые следят за пользователями. Так популярное VPN приложение Protect Your Data собирало информацию о местоположении пользователя, установленных приложениях и посещаемых сайтах. А приложение Transparent clock & weather, которое, как можно понять из названия, показывает время и погоду, каждые 15 секунд шлет на внешний сервер информацию о местоположении устройства, и делает это по протоколу HTTP.

https://xakep.ru/2018/09/04/not-so-safe-google-play/

Взломано расширение Mega для Chrome

Очередной взлом учетки разработчиков. На этот раз пострадала команда облачного сервиса хранения Mega. 4 сентября, примерно в 14:30 по всемирному координированному времени (UTC) в гугл аккаунт компании залогинился злоумышленник и добавил новую версию Chrome расширения. Эта версия содержала функциональность, которая собирала логины и пароли, и отправляла на сервер атакующих. Собирались данные как от обычных сервисов, так и от сервисов связанных с криптовалютами. Получив учетные данные злоумышленники логинились в онлайн кошелек и переводили оттуда деньги.

На удивление подмену обнаружили достаточно быстро. Уже через полтора часа после подмены один из пользователей заметил, что расширение просит дополнительные права. Он полез смотреть исходный код и нашел там функциональность похожую на сборщик информации (или логгер). Чтобы другие пользователи смогли подтвердить его догадки, была создана тема на Reddit.

Еще чуть меньше чем через полтора часа покатилась волна предупреждений в Twitter. А практически через еще 2 часа Google уже удалил вредоносное расширение. В итоге, для обнаружения и удаления вредоносного расширения понадобилось чуть менее 5 часов.

https://serhack.me/articles/mega-chrome-extension-hacked https://thehackernews.com/2018/09/mega-file-upload-chrome-extension.html

Приложение из AppStore шпионит за пользователями macOS

Как выяснил исследователь с Twitter аккаунтом @privacyis1st, популярное платное приложение Adware Doctor, предназначенное для борьбы с рекламой и нежелательным контентом, отсылает историю посещенных в браузерах сайтов, список установленных приложений и запущенных процессов на сторонний сервер. В доказательство специалист выложил видео, показывающее процесс.

Для того, чтобы собрать историю, приложение обходит ограничение песочницы, что идет вразрез с правилами размещения приложений в AppStore. Apple никак не реагировала на отчет, но в конце концов, после того как история стала распространяться в СМИ, наконец удалила приложение.

https://thehackernews.com/2018/09/mac-adware-removal-tool.html

Google отслеживает покупки с помощью данных от MasterCard

Google заключил соглашение с MasterCard. Подумаешь, очередное соглашение об обмене данными. Именно так подумал я, но все-же решил почитать подробности. Я не очень много вниманию уделял вопросам приватности и отслеживания пользователей в сети. Но читая детали, мне стало понятнее, для чего Google и другие компании делают те вещи, которые делают. Надеюсь вы тоже откроете для себя что-то новое.

Но давайте к сути. По сообщениям bloomberg Google и MasterCard подписали соглашение, которое поможет поисковому гиганту отслеживать покупки пользователей в оффлайне. Ни одна из двух компаний не заявляли об этом соглашении публично.

Клиенты Google в течение года имели доступ к новому инструменту, с помощью которого они могли отслеживать, привела ли их онлайн реклама к покупкам в физических магазинах. По заверениям компаний для анализа передается лишь обобщенная информация о покупках: общее количество продаж, средняя цена покупки и тому подобные данные. Персональная информация отдельных пользователей не разглашается. Google также подтвердила, что отслеживание происходит только если в аккаунте не выключена таргетированная реклама.

В результате у поискового гиганта появился мощный инструмент. Компания знает, что пользователь кликнул на рекламу и теперь может сказать рекламодателю, что это привело к покупке оффлайн.

Рекламодатели ожидают от Google или любой другой рекламной сети, что они смогут оценить вложенные затраты по отношению к переходам на сайт или покупкам онлайн. Но в некоторых случаях есть особенности рынка. Например, одежду или домашнюю утварь люди смотрят онлайн, но покупать часто приходят в магазин.

Надо было что-то делать. И Google попробовала сделать Google Wallet - онлайн приложение для оплаты покупок с помощью смартфона. Но полноценно проект не пошел. Тогда примерно в 2014 стала использоваться история местоположений пользователя в Картах Google. С помощью карт видно, что человек посещал определенный магазин, но это не дает знание, была ли совершена покупка.

На следующем шаге стали использовать e-mail адреса покупателей. Магазины могли загружать информацию о покупателях в Google для дальнейшего анализа. Также могла анализироваться и другая информация - финансовая, демографическая. Но даже в этом случае для офлайн магазина проблематично было связать в статистике электронную почту и онлайн рекламу. А еще такая информация не была точной и иногда запаздывала. Решено было привлечь данные о платежных картах и в 2017 году был представлен инструмент для определения конверсии в результате посещения магазинов.

Приведенная информация - один из примеров того, как данные, которые по отдельности ничего из себя не представляют, вместе позволяют анализировать поведение человека и делать о нем какие-то выводы. А мощный сбор информации может нести угрозу приватности, если данные окажутся в открытом доступе по какой-либо причине. Google старается защищать и обезличивать данные, но абсолютной гарантии никто дать не сможет.

https://thehackernews.com/2018/09/google-mastercard-advertising.html


На сегодня все. Удачных покупок. До следующей недели.