Сентябрь 2015 года ознаменовался настолько большим количеством новых интересных багов, что их перечисление заслуживает целой статьи. Баги Google
Баг позволяющий снять блокировки в Андроид 5.X
В операционной системе Android 5.x обнаружена опасная уязвимость с повышением привилегий. Кто угодно способен без труда снять блокировку экрана, введя чрезмерно длинный пароль методом «копи- паст». Уязвимость CVE-2015-3860 присутствует во всех версиях Андроид 5.x, вплоть до 5.1.1. Хакеры огласили информацию через пару дней после того, как Google выпустила билд LMY48M с исправлением для Nexus 4, 5, 6, 7, 9 и 10. Но большинство людей не знают о билде, так что «Нексусы» и другие современные смартфоны Android останутся уязвимыми еще долгое время.
Серьезный вредонос в GOOGLE PLAY
Малварь, замаскированную под игру для тренировки мозга BrainTest, обнаружили специалисты компании Check Point. Приложение публиковалось в Google Play дважды: первый раз 24 августа текущего года (приложение было удалено), а затем 15 сентября. По статистике магазина, «игру» установили 100–500 тысяч раз. По данным Check Point, пострадать могли до миллиона пользователей. BrainTest умело определять, не используется ли там, где оно запущено, IP или домен, относящийся к Google Bouncer, и не проявляло никакой вредоносной активности, за счет чего и прошло все проверки магазина. Эксперты уверяют, что BrainTest — это выход на новый уровень изощренности среди мобильных угроз. Малварь использовала техники timebomb, reflection, загрузку динамического кода и инструмент для обфускации кода, созданный компанией Baidu (что заставило экспертов предположить, что за атакой снова стоят китайские хакеры). Для повышения привилегий в системе приложение использовало четыре эксплоита. Также злоумышленники применяли два системных приложения, неусыпно следивших за тем, чтобы BrainTest не удалили, — они попросту восстанавливали удаленные компоненты малвари в системе. В итоге избавиться от заразы окончательно можно, только перепрошив устройство.
Уязвимость CHROME возникала из-за нескольких символов в URL
В Google Chrome, а также других браузерах, работающих на его движке, обнаружили очень простую и эффективную уязвимость. Достаточно добавить всего несколько символов в конец любой ссылки, и это приведет к падению браузера или отдельной его вкладки. Простейший пример такой ссылки: http: //a/%%30%30. Всего 16 символов, и полный краш браузера. С тем же успехом добавить %%300 или %%30%30 можно к любому адресу. Например: https://planshet-info.ru /%%30%30. Если на такую ссылку не кликать, а просто провести по ней курсором, это не приведет к падению браузера, но работа вкладки завершится. Суть DOS-уязвимости и эксплоита очень проста. Если добавить в конец любой ссылки %%300, URL конвертируется в %00. 0х30 — это 0 на ASCII. Таким образом, %%300 превращается в оригинальный %, конвертированный 0 и оригинальный 0. Все вместе дает %00, то есть в конец ссылки добавляется NULL byte. Далее ссылка проходит через GURLToDatabaseURL() и ReplaceComponents(). Из-за NULL byte ссылка обрабатывается еще раз, браузер замечает, что с адресом что-то не так, и помечает URL как нерабочий. Далее происходит возврат к GURLToDatabaseURL(), который ожидает, что ссылка будет работать. Однако ссылка не работает, что вызывает DCHECK(), а вместе с ним и падение софта.
Баги Apple
IOS 9: технология AIRDROP имеет серъезный баг
Начиная с iOS 7 компания Apple стала интегрировать в свои мобильные устройства технологию передачи данных AirDrop, позволяющую делиться данными «по воздуху» (посредством Wi-Fi и Bluetooth). Австралийский исследователь Марк Дауд (Mark Dowd) сообщил изданию Forbes, что обнаружил в AirDrop критическую уязвимость, актуальную для iOS 7 и выше, а также для OS X начиная с версии 10.10. Баг позволяет любому, кто находится в радиусе действия AirDrop, по-тихому отправить на устройство файл и установить вредоносное приложение (потребуется перезагрузка устройства). Атака сработает даже в том случае, если на устройстве жертвы запрещен прием входящих файлов. После перезагрузки малварь получает доступ к Springboard, при помощи чего может ввести устройство в заблуждение, заставив систему поверить, что вредонос обладает обычными правами, как и любое другое приложение. На самом деле атакующий получает полный доступ к контактам, камере, геолокации, сообщениям и так далее. При желании хакер может пойти дальше и проникнуть в наиболее чувствительные области системы, нанеся ощутимый вред пользователю. Также атака может эффективно использоваться для обхода блокировки экрана.
IOS 9: Баг позволяющий получить доступ к фотографиям и контактем, не вводя пароль
В iOS 9 обнаружена уязвимость, которая при наличии физического доступа к устройству позволяет обойти защиту операционной системы и буквально за тридцать секунд получить доступ к чужим контактам и фотографиям. Уязвимо любое устройство, работающее под управлением iOS 9 (iPhone, iPad или iPod touch), даже защищенное Touch ID. Обойти пароль устройства злоумышленнику поможет персональный ассистент Siri. От бага можно защититься самостоятельно: для этого достаточно просто отключить использование Siri при активном экране блокировки (Settings -> Touch ID & Passcode).
XcodeGhost (на APP STORE) — очень опасный баг
Хакеры (предположительно, китайские) сумели подделать официальный инструмент Xсode, используемый разработчиками для создания приложений под iOS и OS X, и подменили его фальшивкой. В результате App Store наводнила малварь, созданная при помощи этого поддельного инструмента. Фальшивый Xcode получил название XcodeGhost и, по словам представителей фирмы Palo Alto Networks, был загружен в сеть через некий китайский сервер, так что следы атаки уводят в Поднебесную. Созданные с использованием XcodeGhost приложения получились крайне опасными. Фальшивый инструмент для разработчиков внедрил в легальные и безвредные программы возможность инициировать фишинговые запросы, возможность открывать URL, читать и записывать данные из буфера обмена и другие неприятные трюки. Также зараженное приложение собирает данные об устройстве: номер телефона, UUID, сведения о языке и стране использования, дату, время и так далее. Точный масштаб проблемы не совсем ясен. Так, китайская фирма Qihoo 360 Technology заявляет, что в App Store было обнаружено 344 вредоносных приложения, созданных с помощью XcodeGhost. В то же время представители Palo Alto Networks пишут лишь о 39 таких приложениях. Как бы то ни было, Apple все выходные занималась экстренной очисткой магазина.
Баг WORDPRESS
Масштабная атака на сайты на WordPress
Эпидемию, набирающую обороты в геометрической прогрессии, заметили специалисты компании Sucuri Labs. По данным экспертов, 95% зараженных в ходе атаки сайтов работают под управлением WordPress и только 17% из них уже попали в черные списки Google. Цель масштабной атаки — заставить максимальное количество пользователей перейти на страницу, зараженную популярным на черном рынке эксплоит-китом Nuclear. Внедренный на сайты код заставляет ресурс запу-стить вредоносный iframe, открыть инфицированную страницу и отправить туда ничего не подозревающего юзера. Исследователи пишут, что сейчас малварь отсылает пользователей на vovagandon.tk (193.169.244.159), но домены и содержание вредоносной страницы постоянно меняются. Только использование Nuclear неизменно. Конкретную «точку входа», которую хакеры используют для столь массового заражения сайтов, специалисты Sucuri Labs обнаружить не смогли. Судя по всему, атакующие подошли к делу креативно и заражают сайты, эксплуатируя самые разные уязвимые плагины для WordPress, коих насчитывается огромное количество.
ПРОБЛЕМА С COOKIE ВО ВСЕХ СОВРЕМЕННЫХ БРАУЗЕРАХ
Команда ученых из Computer Emergency Response Team (CERT) рассказала, что производители применяют стандарт RFC 6265, отвечающий за браузерные cookies, неверно. Проблема заключается в следующем: полученные через обычный HTTP-запрос cookie могут отмечаться как «защищенные», то есть имеют secure flag. По идее, такие cookie должны передаваться только через HTTPS-соединение. Однако исследователи выявили, что многие современные браузеры используют любые cookie-файлы в ходе HTTPS-соединения, не проверяя при этом их источник (так называемый cookie forcing). В том числе принимаются и «защищенные» cookie, подложенные в систему ранее. Это позволяет атакующему осуществить атаку man-in-the-middle, внедрив через HTTP-запрос фальшивые cookie, которые будут маскироваться под cookie-файлы других, легитимных сайтов, перезаписывая настоящие. Такую подмену будет сложно заметить даже тем, кто регулярно проверяет списки cookie в браузере и ищет в них подозрительное. Далее, при помощи такой подделки, можно легко перехватить приватную информацию пользователя в ходе HTTPS-сессии. Впервые о проблеме рассказали еще в августе 2015 года, на конференции USENIX 24, так что разработчики браузеров уже успели подготовиться и выпу- стить «заплатки». Проблеме были подвержены буквально все браузеры: Safari, Firefox, Chrome, Internet Explorer, Edge, Opera и Vivaldi. От бага избавлены лишь самые последние их версии.