Security for all - #29 - 19 октября 2018

Минус Google+ - Нововведения от Google

Сегодня

Уязвимость в WhatsApp позволяет скомпрометировать устройство при ответе на звонок; вторник патчей от Microsoft и Adobe; облачный бэкап Android устройств будет шифроваться; нововведения от Google для защиты данных пользователей.

Картинка недели

Login: admin, Password: admin

Новости

Уязвимость в WhatsApp

Исследовательница Натали Силванович (Natalie Silvanovich) из Google Project Zero опубликовала информацию об уязвимости в WhatsApp. Проблема связана с функциональностью видео звонков. В реализации протокола RTP в приложениях WhatsApp для Android и iOS есть ошибка переполнения памяти (кучи). С помощью специально сформированных данных при видеозвонке атакующий может повредить память приложения, что и происходит в опубликованном примере эксплуатации. По словам другого исследователя Тевиса Орманди (Tavis Ormandy) эта ошибка гораздо серьезнее и может привести к выполнению кода. В таком случае просто ответив на звонок, можно быть скомпрометированным.

https://thehackernews.com/2018/10/hack-whatsapp-account-chats.html

Вторник патчей от Microsoft и Adobe

В октябрьском вторнике патчей 9 октября microsoft выпуста исправления для 49 уязвимостей. Изменения коснулись операционной системы Windows, веб браузеров Edge и Internet Explorer, пакета Office, сервера Exchange и других продуктов компании.

Для одной из ошибок (CVE-2018-8453) выявлены факты эксплуатации. Эта проблема найдена в драйвере яда win32k. Из-за неправильной обработки объектов в памяти, атакующий может выполнить произвольный код в контексте ядра системы.

В рамках этого вторника патча закрыта одна уязвимость удаленного выполнения кода (CVE-2018-8494) в парсере сервиса обработки XML - Microsoft XML Core Services (MSXML).

3 исправленные уязвимости были раскрыты публично. Как минимум для одной из них опубликован пример эксплуатации.

Adobe также выпустила обновление, исправляющее 11 уязвимости в разных продуктах. Среди этих продуктов Adobe Flash, а также Adobe Acrobat и Reader. Некоторые из уязвимостей могут привести к выполнению кода.

Не забудьте обновить используемый софт.

https://thehackernews.com/2018/10/microsoft-windows-update.html https://thehackernews.com/2018/10/adobe-security-updates.html

Облачный бэкап Android будет шифроваться

В своем блоге компания Google объявила, что начиная с Android Pie устройства смогут воспользоваться новой функцией шифрования бэкапов. Схема шифрования сделана таким образом, что данные нельзя будет расшифровать на стороне сервера. Для этого на стороне клиента будет генерироваться ключ шифрования. Этот ключ в свою очередь будет зашифрован с помощью пин-кода или пароля блокировки устройства. Этот пароль не известен Google’у. Далее зашифрованный ключ будет помещен внутрь специального чипа Titan, размещенного внутри сервера. Чип сконфигурирован таким образом, что выдаст зашифрованный ключ бэкапа только при получении проверочных данных, основанных на пин-коде или пароле блокировки устройства.

Для проверки надежности данной схемы, Google нанимала компанию NCC Group. Подробности аудита можно найти в опубликованном отчете:

https://www.nccgroup.trust/us/our-research/android-cloud-backuprestore/?research=Public+Reports

https://thehackernews.com/2018/10/android-cloud-backup.html

Нововведения от Google

В начале этого года Google начала Project Strobe - проект, в рамках которого в очередной раз решено было провести массовый обзор функциональности и программных интерфейсов, связанных с доступом к данным. В результате были найдены несколько проблем и запланированы изменения, призванные их решить.

Google+

Первым делом стали смотреть на Google+ и связанные с ним интерфейсы. В результате Google еще раз получила подтверждение, что сервис не пользуется популярностью у обычных пользователей. Также при анализе программных интерфейсов была найдена ошибка, которая разрешала доступ не только к публичной информации пользователя, но и к некоторой приватной.

Google нашла эту проблему еще в марте. Логи сервиса хранились всего две недели, поэтому точных данных получить не удалось, но специалисты Google сделали выводы, что пострадать могли больше полумиллиона аккаунтов. Однако доказательств доступа к данным каких-либо приложений не нашли.

Google оценили затраты на разработку сервиса, приняли во внимание найденные ошибки и решили закрыть сервис Google+ для обычных пользователей в начале 2019 года, оставив доступ только бизнес подписчикам.

Гранулярные разрешения для приложений Android

Второе нововведение касается разрешений доступа к данным со стороны приложений. На текущий момент пользователь не имеет возможности задавать разрешения для отдельных элементов. Например, если приложение запрашивает доступ к календарю и документам в Google Drive, пользователь выбирает давать или нет сразу оба разрешения. В дальнейшем планируется, что можно будет дать доступ только к одной функции и запретить другую.

Gmail API

Третье нововведение - обновление политик для Gmail API. Теперь только приложения напрямую работающие с почтой, например, почтовые клиенты или софт для бэкапов, будут получать доступ к содержимому ящика. Более того, для таких приложений будут введены новые правила и их будут подвергать тщательному анализу и проверкам безопасности.

Журналы звонков и СМС сообщения

Четвертое изменение затронет приложения, которым нужны права на доступ к звонкам,их истории и СМС. Теперь такие права смогут получить только приложения, выбранные пользователем как приложения по умолчанию для соответствующих действий. Исключением станут приложения для бэкапа и голосовой почты.

https://thehackernews.com/2018/10/android-app-privacy.html https://thehackernews.com/2018/10/google-plus-shutdown.html https://www.blog.google/technology/safety-security/project-strobe/

Не забывайте, что вы можете проверить настройки безопасности аккаунта и доступ приложений в специальном разделе профиля:

https://myaccount.google.com/security

На сегодня все. До следующей недели.