Security for all - #35 - 6 марта 2020

Выпуск новостей - Бразуеры, Android, Tomcat и ультразвук

Сегодня

В сегодняшнем выпуске: исправлены уязвимости в Google Chrome; атаки на голосовых ассистентов через ультразвук; уязвимость в Apache Tomcat; рекомендации Google для Android разработчиков; DNS через HTTPS в Firefox.

Пользуясь случаем поздравляю всех представительниц прекрасной половины человечества с наступающим праздником.

Давненько не было выпусков. Чтобы разбавить молчание, я буду время от времени делать выпуски с новостями из мира информационной безопасности. Надеюсь такие выпуски будут интересны и полезны.

Обновите Google Chrome

На прошлой неделе Google выпустил обновление для браузера Chrome. Были исправлены три проблемы безопасности. Одна из которых активно эксплуатировалась злоумышленниками. Технические детали для этой уязвимости пока не раскрываются, чтобы у людей была возможность установить обновления, прежде чем информация станет доступна публично.

Самое время проверить, обновился ли ваш браузер, а если вы давно не обновляли операционную систему или другие программы, то, возможно, пора.

https://thehackernews.com/2020/02/google-chrome-zero-day.html

Ультразвуковой ассистент

Вы наверняка знаете, что человеческое ухо не способно слышать ультразвук. В то же время микрофоны в наших с вами телефонах могут воспринимать как слышимый нами диапазон, так и ультразвук. Именно на этой особенности основана атака, разработанная группой исследователей из нескольких американских и китайского институтов (Michigan State University, Washington University in St. Louis, Chinese Academy of Sciences, and the University of Nebraska-Lincoin - Университета Штата Мичиган, Вашингтонского Университета в Сэнт Луисе, Китайской Академии Наук и Университета Небраска-Линкольн).

Атакуемое устройство должно лежать на какой-нибудь твердой поверхности. Например, на столе. Передача голосовых команд будет происходить через материал стола.

Но передача команд через ультразвук это только пол дела. В одном из примеров эксплуатации данной уязвимости исследователи смогли получать данные от телефона. Для этого сначала голосовой командой уменьшили громкость до минимума, чтобы владелец не слышал голосового помощника, а затем послали команду на чтение СМС. В их случае это была СМС с кодом подтверждения двухфакторной аутентификации. Голосовой помощник прочитал текст письма, а через колебания поверхности стола атакующие смогли записать сообщение.

https://thehackernews.com/2020/03/voice-assistants-ultrasonic-waves.html

GhostCat - уязвимость в Tomcat

Tomcat - открытая реализация нескольких технологий (Java Servlet, JavaServer Pages, Java Expression Language and WebSocket), которые позволяют использовать Java для создания веб сайтов. Иногда он используется в связке с WEB сервером Apache, для взаимодействия с которым используется Apache JServ Protocol (AJP). До недавнего времени порт для этого протокола открывался на всех интерфейсах. Недавно в этом протоколе была найдена уязвимость, позволяющая читать любые файлы веб приложения и интерпретировать файлы как сервлеты, т.е. исполняемый код.

Для данной уязвимости уже есть несколько примеров эксплуатации. Если у вас где-нибудь используется Tomcat, рекомендуется обновить его, а также проверить, используется ли протокол AJP, и если используется, то на каких интерфейсах он доступен.

https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

Google рекомендует приложениям шифровать данные на внешних носителях

В аппаратах на платформе Android приложениям доступно два вида хранилища - внутренний накопитель и внешний. На внутреннем накопителе для каждого приложения используется изолированная песочница и одно приложение не может прочитать данные другого. Иная ситуация с внешним хранилищем - если приложению были выданы права на доступ, то оно может читать любые данные.

Поэтому Google рекомендует разработчикам шифровать данные приложения на внешней карте. Особенно если там есть какие-то приватные данные. Чтобы разработчикам было проще это делать, была представлена библиотека Jetpack Security, которая является частью набора Jetpack, в котором собраны различные библиотеки, утилиты и рекомендации для разработчиков.

В Android 10 данные приложений будут помещаться в отдельную песочницу на внешнем хранилище, так же как это сейчас сделано на внутреннем. Но дополнительная защита в виде шифрования даже в этом случае лишней не будет.

DNS через HTTPS в Firefox по-умолчанию (для пользователей из США)

Я начал выпуск новостью про браузер. Новостью про браузер и закончу. В этот раз речь про Firefox. С прошлой недели для всех пользователей из США по-умолчанию активируется функция DNS через HTTPS. При ее включении все запросы определения IP адреса сервера по доменному имени будут идти по защищенному каналу. Это значит, что просматривая трафик нельзя будет понять, какие доменные имена фигурируют в запросах. Также нельзя будет подменить ответ и направить подключение к другому серверу.

Для нас эта функция по-умолчанию не включена, но никто не мешает ее включить. Для этого надо зайти в настройки, перейти к пункту “Параметры сети”, который находится внизу блока основных настроек. В появившемся окне включаем пункт “Включить DNS через HTTPS” и жмем “OK”. Готово.

https://thehackernews.com/2020/02/firefox-dns-over-https.html

На сегодня все. До следующего выпуска.

Music by Powerrun from Fugue