Подцепить что-нибудь вредоносное на более-менее современной версии Android не так уж и просто. В большинстве случаев атака проводится с применением социальной инженерии, да такой лютой, что жертва сама разрешает в настройках системы установку приложений из левых источников, сама скачивает и сама же устанавливает троянца на свой смартфон. И нам вроде бы уже не страшно, потому что это не про нас. Но нашлись ребята с выдумкой и по нашу душу, которые начали продавать аппараты со встроенным зловредом, причем через солидные магазины.Строго говоря, тема не очень новая – предустановленное вредоносное ПО не раз находили в прошивках китаефонов, писали и о преступных группах, занимавшихся скупкой, заражением и продажей б/у телефонов (и последующей стрижкой потерпевших, естественно). Но в этот раз проблема помасштабнее: исследователи обнаружили 38 популярных моделей смартфонов, зараженных еще до поступления в магазин. Причем взяли их не на базаре, как можно было подумать, а в «большой телекоммуникационной компании» и «транснациональной технологической компании».
Среди указанных моделей есть всякие – и бюджетные, и флагманские, включая Google Nexus 5 и 5X, Samsung Galaxy S7, а также популярные в народе Xiaomi и Lenovo. Исследователи обнаружили в них несколько разных вредоносных штаммов: одни крадут данные пользователя, другие показывают рекламу из разных подозрительных баннерных сетей. А в одном телефоне потенциального хозяина поджидал вымогатель-шифровальщик Slocker.
Что интересно, на шести смартфонах троянец прятался в прошивке, и не мог быть удален простой очисткой флеш-памяти, в остальных случаях зловред поставили как стороннее приложение на официальную прошивку. Кто виноват – пока неясно. Специалисты только ищут точку входа в цепочку поставщиков. Однако разнообразие моделей и вредоносных штаммов уже говорит о неслабом размахе операции. Или о нескольких параллельных кампаниях, что ничуть не лучше.
ФБР жалуется на сильную криптографию
После разоблачений Сноудена жить стало страшно, но весело. Народу рассказали о «Призме», бэкдорах, закладках и имплантах, благодаря которым компетентные органы знают о нас примерно все, и начали учить основам информационной безопасности. На прекрасно увлажненной людскими страхами почве как грибы после дождя проросли защищенные мессенджеры с поддержкой сквозного шифрования. Но все равно в глубине души никто не верил, что от государственного надзора можно так просто защититься.И тут вдруг выясняется, что некоторые из доступных средств обеспечения конфиденциальности данных таки неплохо работают. Директор ФБР Джеймс Коми зажигательно выступил на Бостонской конференции по кибербезопасности, призвав сообщество к взрослой дискуссии о сильном шифровании, которое встало поперек горла его конторе.
Взрослая дискуссия со стороны Коми выглядела как поток жалоб и аргументов вида «мы не можем расследовать преступления без доступа к вашим данным» и «одними метаданными педофила в тюрьму не упрячешь». И, в силу того, что на разработку хакерских инструментов Бюро денег не дают, господин директор хочет, чтобы ИБ-сообщество не старалось так сильно, и агенты могли хоть немножечко попастись в пользовательских данных.
Проблема действительно серьезная: если верить Коми, с октября по декабрь 2016 года ФБР покопалось в 2800 мобильных устройствах, и не смогло взломать 1200 из них. А вдруг там детское порно и чертежи «грязной бомбы»? Современные криптографические технологии одинаково надежно защищают данные как добропорядочного пользователя, так закоренелого преступника – так что и постановление суда ничем не поможет – у сервис-провайдера просто нет ключей шифрования.
Конечно, само по себе сильное шифрование появилось довольно давно, загвоздка в том, что теперь это очень модная тема, спасибо Сноудену. Из-за него даже самые ярые неолуддиты зауважали информационную безопасность и общаются через Signal, Telegram и подобные приложения. Однако исследователи-безопасники все эти аргументы слышали уже не раз и в массе своей понимают, что слабое шифрование дает преступникам не меньше, а гораздо больше возможностей, чем правоохранителям – пока хорошие ребята привлекут к ответственности одного злодея, плохие обработают сотню ни в чем не повинных пользователей.
В Chrome 57 закрыты опасные уязвимости
На горящий огонь, текущую воду и закрытие уязвимостей в Chrome можно смотреть бесконечно. Казалось бы, код давно вылизан до блеска, но — нет, хорошо мотивированные наградой от Google исследователи каждый месяц приносят ворох новых дыр. В этот раз их 36, причем девять могут позволить злоумышленнику захватить управление системой. Вот, например, несколько:
– Нарушение целостности памяти (memory corruption) в движке JavaScript V8;
– Использование данных после освобождения памяти (use after free) в графическом API ANGLE;
– Запись вне границ буфера (out-of-bounds write) в PDFium;
– Переполнение целочисленной переменной (integer overflow) в libxslt.
Это обошлось папаше Брину в лишних 38 тысяч долларов, что для компании копейки, а для исследователей неплохой приработок. Мораль истории в том, что поддержание безопасности – непрерывный процесс, и пренебрегать им значит накапливать в своем продукте уязвимости и подвергать опасности пользователей.
Древности
«Estonia-1716»
Резидентный очень опасный вирус. Поражает запускаемые .COM- и EXE-файлы кроме COMMAND.COM, к COM-файлам дописывает 4 проверочных байта. Явный плагиат с вирусов «Yankee». По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст «Independent Estonia presents», затем играет «Собачий вальс» и перезагружает компьютер. Трассирует int 21h.
Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 67.
Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Комментарии (41)
xtala
17.03.2017 20:02Из-за него даже самые ярые неолуддиты зауважали информационную безопасность и общаются через Signal, Telegram и подобные приложения.
Телеграм хранит всю переписку пользователя на своих серверах, если мне не изменяет память. Еще помнится мне тут был смачный раздув ( https://habrahabr.ru/post/312722/ ), в котором чувак выкопал фичу телеграма по которой любой малолетний мудак или великовозрастный пубертат (типа Вольнова, который Никита Кувиков) может узнать ваш номер, а потом наяривать вам посреди ночи. Одно дело когда вы анонимус с авито, до которого особо дела никому нет. Совсем другое, если вы какой-нибудь условный Медведев, зарегались значит вы такие в телеграмчике, а потом вам товарищ Кувиков будет наяривать в три часа ночи с предложением купить кроссовки, футболку и корм для уточки.
Павлуша кричит надрывая горлышко: "КО! КО КО! Наш телеграм самый безопасный телеграм из всех телеграмов! КО! КО КО! "
Какого хрена ты вводишь привязку к номерам телефонов да еще и раздаешь их любым проходимцам по первому требованию? Ну, если ты за безопасность?
Знаете, я вам так скажу. Думаю эта вся телега с созданием телеграма и увольнением Павлуши из вконтача проект ФСБ, для сбора переписки теперь уже в мировом масштабе. Т.к. вконтач в мировом масштабе увы не взлетел.Carburn
18.03.2017 09:02СВР тогда уж.
Telegram это конкурент WhatsApp и Viber, в которых идентификация по номеру телефона.
stargazr
17.03.2017 20:19+2Ахаха, ну да, сильное сквозное шифрование.
Вот только через уязвимости ПО, установленного на компьютере, думаю, относительно легко можно вытащить данные в обход защищенного канала (например, в статье упомянута гора дыр в Chrome). Но хомячки будут продолжать верить в свободный интернет и в то, что они защищены, конечно же. А спецслужбы картинно заламывать руки, умоляя шифрование запретить, ну да.abyrkov
17.03.2017 22:21Все верно, но вы забыли об одном: обычные хомячки никому не сдались, а те, за кем охотится ФБР не вчера родились…
stargazr
18.03.2017 12:13Нет, именно что хомячки и сдались. Дата саенс, машин лернинг, все дела. На самом деле если не все, то большинство людей примерно одинаковые.
Плюс к этому, ведь опасность может исходить не только от спецслужб (которым действительно, полагаю, нет дела до каждого в отдельности), но и от всеразличных кибергопников, которым вполне можете быть интересны лично вы (или к которым могут обратиться люди, которым вы интересны).
ivaaaan
19.03.2017 02:20Ха-ха. После Сноудэна уже никто в свободный интернет не верит. А верить в то, что ты "защищен" можно. Для этого нужно всего лишь надежные методы шифрования, а не Telegram и пр. мессенеджеры.
stargazr
20.03.2017 17:49Так была еще история с HeartBleed.
Но вообще-то хомячки во что угодно будут верить, если им это подать через мемчики и смехуечки.
sumanai
17.03.2017 21:55исследователи каждый месяц приносят ворох новых дыр. В этот раз их 36
Это обошлось папаше Брину в лишних 38 тысяч долларов, что для компании копейки, а для исследователей неплохой приработок
Мне кажется, 1000 баксов в развитых странах- не сильно много.
mike_y_k
18.03.2017 11:13Процесс бесконечный (пока) и ещё долго все стороны будут заняты ;).
Одни будут латать дыры, вторые — их искать, третьи — использовать, четвёртые — плакать про сильное шифрование,…
Power
18.03.2017 18:26Уже не 38, а 36, и Nexus среди них больше нет — см. примечание в конце оригинальной статьи.
NaHCO3
18.03.2017 19:35> Проблема действительно серьезная: если верить Коми, с октября по декабрь 2016 года ФБР покопалось в 2800 мобильных устройствах, и не смогло взломать 1200 из них.
Да кто ему верить будет. Так он и признается, сколько на самом деле пытался взломать смартфонов, и насколько успешно работает его служба.
coramba
20.03.2017 10:57-1… господин директор хочет, чтобы ИБ-сообщество не старалось так сильно, и агенты могли...
Тогда уже "гражданин директор" или "гражданин начальник". По контексту подходит лучше
silico
20.03.2017 23:22и никого не заинтересовап список телефонов? половина — гнусмасы.
stargazr
21.03.2017 13:39Android — это же Linux, там вирусов нет и быть не может, ага…
Все руки не доходят сменить свой прыщефон (тоже гнус) на айфон.
Реквестирую секьюрити-новостей про айфоны.
silico
21.03.2017 13:57линуксовое ядро — линукслвым ядром, а джааа приложения другое.
ну и там мудрености с памятью, штоп защитить работающие процессы.
да на афонях те же приемы эксплойтов поди.
а если иметь доступ к фтп, с котор прошивки берут, так… )stargazr
21.03.2017 15:14Смотрите-ка, пригорело у линуксоида :)
Да у меня самого с ваших StageFright'ов и HeartBleed'ов горит, и сердце кровью обливается :D
Кстати, приложения там ни при чем, дело в C/C++-коде.
Да меня приемы-то не интересуют, они везде одинаковые, меня интересуют конкретные дыры такого же масштаба.
silico
21.03.2017 16:17ну так никто и не утверждает, что это дыры в андроид, и ьем более линукс (такшта с чего гореть то?)
и модели там со стоком от icsstargazr
21.03.2017 16:25Конечно, это дыры в Андроид.
Ведь эти библиотеки в него входят.
И Андроид-устройства были подвержены уязвимостям.
А уж часть чего компоненты, которые всему виной — это дело десятое, главное, что они часть прошивки девайса и создают проблемы.
silico
21.03.2017 16:47еще раз:
перечислены гнусмасы со стоковыми андоедами от ics до nougat.
4 от 7 как небо и земля.
для придания типа объективности разбавлены др брендами, опять таки произвольной выборки.
заявлено, что типа малварь (хз какая) якобы предустановлена. кем и когда зашита в тело? молчок.
это наброс.
уязвимости понятно были есть, но ни о них речь.
sumanai
21.03.2017 16:25Судя по скорости клепания новых моделей Samsung, половина всех моделей телефонов действительно являются гнусмасами.
silico
21.03.2017 16:50нк… я бы свой негнусмас на sgs7 обменял бы.
sumanai
21.03.2017 18:44А я своему SGS2 батарею с корпусом новые заказал, буду и дальше с ним ходить, пока плата не помрёт. А то сейчас или лопаты, или тормоза, или китай галимый, а к своему устройству я уже привык и настроил каждую мелочь под себя. Ну, почти каждую.
silico
21.03.2017 21:50ну за китай это вы зря.
у мну) номтом он же дуджи т6 я доволен как слон) вот что производитель подосрал — скомпилял 32ядро на 64 х камень и не дал исходников. а я тела делаю, м за год поменял уже штук 10, не считая тех, что пользовал 2-3 дня
Old_Chroft
Меня давно мучает вопрос: а почему все пишут «зловред»? Разве бывают «добровред» и «злопольза»?
alexkunin
Нет слов «добровредный» и «злополезный», но есть слово «зловредный»: http://dic.academic.ru/dic.nsf/ushakov/817178. Не знаю, правда, сколько ему лет — слову этому.
Old_Chroft
Не знал, спасибо что просветили. Хотя все равно как то корежит от этого слова, типа «маслянистый жЫр» или даже «сферический шар» :-)
Melkin1968
Ну это как посмотреть. Если предположить, что слово происходит от, например, сокращения фразы «злонамернное вредительство», то вполне не корежит. Синонимы — умышленное вредительство.
Old_Chroft
(Извиняюсь за лингвистический офф-топ, который образовался из за шутливого первого комментария)
Опять же, вредительство не может быть с добрыми намерениями :-). Или просто намеренное (умышленное), или нечаянное (неумышленное).Bronx
Ненамеренное вредительство: повреждение кабеля по незнанию.
Намеренное вредительство: повреждение кабеля для сдачи его на цветмет.
Злонамеренное вредительство: повреждение кабеля с целью диверсии. Здесь вред — это цель действия, а не побочный эффект.
Chilace
Зловредный = Зело вредный = Очень вредный
Areso
Потому что нельзя написать «начали продавать аппараты со встроенным вирусом», потому что это не вирус. Однако, это вредоносное или зловредное программное обеспечение.
nikitasius
Да, в начале 2000х был вирус, который в конце месяца открывал рандомный порносайт. Ничем не вредил.