Уязвимость в Telegram позволяла просматривать удаленные изображения
Для мобильного клиента кроссплатформенного мессенджера Telegram выпущена версия 5.11, исправляющая уязвимость, которая позволяет получателю просматривать изображения или файлы даже после того, как они были удалены отправителем.
В марте Telegram реализовала новую функцию, которая позволяет пользователю удалить отправленное сообщение со всех устройств получателя. Она была добавлена в качестве дополнительного уровня конфиденциальности в случае, если файл, изображение или сообщение было отправлено случайно, или отправитель позже решил удалить его.
Исследователь безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил ошибку в протоколе Telegram MTProto, связанную с функцией удаления сообщений. Когда отправитель удаляет сообщение, изображение или файл из Telegram, оно удаляется из диалога как отправителя, так и получателя, но все равно останется на устройстве. Пользователи Android-устройств в данном случае по-прежнему смогут просматривать удаленные файлы.
Уязвимость затрагивает не только удаление мультимедийных файлов из отдельных диалогов, но также отправку файлов в супергруппу Telegram. Если пользователь отправил файл по ошибке в группу, а затем удалил его, то каждый член группы все равно сможет получить доступ к нему из файловой системы устройства. Мишра протестировал уязвимость только на версии Telegram для Android, но полагает, что проблема также может затрагивать релиз для iOS.
После сообщения об ошибке Telegram наградила исследователя выплатой в размере €2500.
Исследователь опубликовал видео с демонстрацией процесса эксплуатации уязвимости.
Хакеры меняют настройки сети в Android-смартфонах
Мобильные телефоны Samsung, Sony, Huawei и LG уязвимы для фишинговой атаки, в ходе которой злоумышленники могут изменить настройки устройства и направить пользовательский трафик через свой прокси.
Об этом сообщили специалисты Check Point, которые выяснили, что версии Android на смартфонах и планшетах указанных производителей плохо проверяют подлинность входящих сообщений с управляющими командами. Часть вендоров уже выпустила заплатки для описанных недостатков.
Как выяснили ИБ-аналитики, проблема заключалась в инструкциях стандарта OMA CP, применяемых для передачи сетевых настроек на группу устройств. Киберпреступники могли подделать эти команды и распространить на целевые устройства, которые приняли бы их без надлежащей проверки. В частности, злоумышленники могли отправить параметры собственного прокси-сервера, предназначенного для перехвата и изменения трафика.
Злоумышленники могут изменить ключевые настройки сети на Android-устройствах:
Конфигурация ОС Android не поддерживает использование OMA CP по умолчанию, однако некоторые сотовые операторы применяют этот протокол для доставки сетевых настроек абонентам. Киберпреступникам достаточно приобрести недорогой GSM-модем и соответствующее ПО для формирования посланий OMA CP, чтобы передать на уязвимые устройства следующие параметры:
Адрес сервера MMS-сообщений.
Адрес прокси-сервера.
URL домашней страницы браузера и список закладок
Адрес почтового узла.
Серверы каталогов для синхронизации контактов и календаря.
Исследователи сообщили, что мобильные телефоны Samsung вообще не содержали проверок легитимности входящих сообщений с инструкциями. Для передачи вредоносных посланий на устройства Sony, Huawei и LG злоумышленникам необходим IMSI-идентификатор абонента. Как подчеркивают ИБ-специалисты, этот номер, привязанный к SIM-карте пользователя, легко выяснить через специализированные сервисы или из баз слитых данных.
Аналитики сообщили производителям о выявленной проблеме. Разработчики Samsung и LG уже выпустили патчи для своих версий Android, а Huawei пообещала закрыть баг в прошивке следующего поколения смартфонов. Представители Sony не планируют исправлять уязвимость, поскольку считают, что работа их продуктов полностью соответствует спецификациям OMA CP.
В мае этого года ИБ-специалисты сообщили, что фишеры размещают на своих сайтах скрипты, имитирующие push-уведомления Android. Злоумышленники маскируют вредоносные ссылки в посланиях о якобы пропущенных звонках, рассчитывая, что пользователь не заметит подвоха и перейдет на вредоносный ресурс.
Источник: https://threatpost.ru/four-horsemen-of-traffic-highjacking-on-android/34001/
Опубликован PoC-эксплоит для атак на Chrome
Исследователь безопасности компании Exodus Intelligence Иштван Куручай (Istvбn Kurucsai) обнаружил в одном из компонентов Chrome критическую уязвимость, позволяющую злоумышленникам выполнить вредоносный код непосредственно в браузере жертвы.
Проблема связана с JavaScript-движком V8 с открытым исходным кодом. Разработчики движка выпустили исправление еще в прошлом месяце, однако пользователи Chrome получат обновленную версию только сегодня, 10 сентября, с выходом Chrome 77. Подобные промежутки между выпуском патчей для компонентов с открытым исходным кодом и для ПО, где они используются, получили название «patch gap».
Такие «patch gap» представляют большую угрозу безопасности, поскольку дают злоумышленникам достаточно времени на подготовку эксплоита. По мнению Куручая, у киберпреступников было несколько недель на то, чтобы внимательно изучить журнал изменений V8, проанализировать патчи безопасности и разработать эксплоит, который можно применять в атаках на Chrome. Хотя создание эксплоитов для Chrome – задача не из самых легких, злоумышленник, обладающий хорошими навыками работы с JavaScript, вполне может с ней справиться.
Для того чтобы это доказать, Куручай опубликовал на GitHub PoC-эксплоит для уязвимости в V8, позволяющий запускать в браузере вредоносный код. Правда, для успешной атаки одного эксплоита недостаточно. Нужно также проэксплуатировать уязвимость обхода песочницы, но это не является проблемой, уверен исследователь. Злоумышленник может воспользоваться уже известной уязвимостью обхода песочницы в более старых версиях Chrome и атаковать пользователей, не обновляющих свой браузер.
Простой трюк позволяет обмениваться фото из закрытых страниц в Instagram и Facebook
Фото и видео в закрытых учетных записях в Instagram и Facebook оказались не такими уж закрытыми. Как сообщает BuzzFeed, с помощью простого трюка друзья и подписчики в соцсетях могут не только просматривать их, но также загружать и обмениваться ими с другими пользователями.
Для того чтобы воспользоваться вышеупомянутым способом, достаточно минимальных знаний о работе HTML и браузера. Злоумышленник может изучить исходный код web-страницы (например, прибегнув к инструменту Inspect Elements), добраться с помощью табуляции до раздела Img и найти URL-адрес любого изображения, на которое он кликал. Этот URL-адрес является открытым, и его можно отправить другим пользователям, в том числе не авторизованным в Instagram и не являющимся подписчикам данного закрытого аккаунта.
Как показали результаты тестирования, проведенные специалистами BuzzFeed Tech + News Working Group, представленный выше способ позволяет просматривать, загружать и обмениваться файлами в форматах JPEG и MP4, публикуемыми на закрытых страницах и в «Историях».
В Facebook проблему не считают опасной. «Описанные действия равнозначны созданию скриншота фотографии друга в Facebook или Instagram и обмену им с другими людьми. Они не позволяют получить доступ к закрытым учетным записям», — сообщили представители компании.
Шифровальщик Nemty маскируется под кешбек-приложение PayPal
Операторы шифровальщика Nemty создали для его распространения фальшивый сайт PayPal. По мнению ИБ-экспертов, злоумышленники экспериментируют с методами доставки зловреда, чтобы выбрать наиболее эффективный.
Специалисты обратили внимание на Nemty в середине августа, когда он атаковал компьютеры через незащищенные RDP-подключения. Позже эксперты обнаружили этот шифровальщик среди полезной нагрузки эксплойт-пака RIG. Вымогатель шифрует пользовательские файлы, удаляет теневые копии Windows и требует за возвращение данных 0,09981 BTC.
Фишинговая кампания Nemty:
Последняя находка ИБ-исследователей говорит о том, что операторы Nemty взяли на вооружение фишинговые приемы. Как рассказали специалисты, преступники раздают вымогатель под видом легитимного приложения с поддельной страницы PayPal, обещающей пользователям кешбек размером в 3–5%. Если жертва поддается на уловку и скачивает программу, через несколько минут ее файлы оказываются заблокированы.
Эксперты отмечают, что злоумышленники приложили немало усилий для создания правдоподобной подставной площадки. Благодаря использованию символов-омографов URL вредоносного сайта выглядит легитимным. Помимо посадочной страницы, где посетителям предлагается дистрибутив, мошенники подготовили несколько дополнительных разделов — «Помощь», «Расценки», «Безопасность».
Что нового в Nemty 1.4:
Аналитики обнаружили, что текущая версия зловреда получила порядковый номер 1.4. и обновления в коде за счет устранения мелких багов.
Ключевое изменение — проверка географического расположения зараженного компьютера. Эта функция присутствовала в коде Nemty с самого начала — зловред уточнял, не проживает ли его жертва в России, Беларуси, Казахстане, Таджикистане или Украине.
За этой проверкой не следовали какие-либо действия. Теперь же создатели шифровальщика добавили механизм, который останавливает работу зловреда, если целевая машина привязана к странам из этого списка.
Nemty уже добавили в базы большинства антивирусных программ. Ложная страница PayPal также обозначена в черных списках браузеров.
Исследователи отмечают, что вымогатель получил негативную оценку на подпольных форумах киберпреступников. Наибольшей популярностью у злоумышленников сейчас пользуется шифровальщик Sodinokibi, чьи операторы также применяют оригинальные методы доставки своего ПО.
Источник: https://threatpost.ru/nemty-ransomware-distributed-via-fake-paypal-website/34033/