Security Week 10: вымогатель для Mac OS X, обход пасскода iPhone, уязвимость в Facebook и польза Bug Bounty

В этом выпуске Константин Гончаров делится тремя историями о простых вещах: о небезопасных «Маках», о легкости обхода блокировки на iPhone и о возможности получить пароль любого пользователя Facebook

Security Week 10: вымогатель для OS X, обход пасскода iPhone, уязвимость в Facebook и польза bug bounty

Security Week 10: вымогатель для OS X, обход пасскода iPhone, уязвимость в Facebook и польза bug bountyВ очередном выпуске нашего сериала:

  • Хитрый вымогатель KeRanger для Mac OS X поразил всех не столько своими вредоносными свойствами, сколько четкой организацией атаки и необычным методом распространения. Но все закончилось хорошо — жертв не так много, как могло быть.
  • В то время как Apple и американские госорганы продолжают спорить о праве на взлом защиты айфона, выяснилось, что обойти пасскод можно и более тривиальными методами. Не первый раз, впрочем.
  • Серьезная уязвимость в Facebook хорошо объясняет сложность инфраструктуры современной компании — тривиальный и крайне опасный метод взлома любого аккаунта соцсети был невозможен на основном сайте, но оказался доступен на стороннем проекте.

Предыдущие серии можно посмотреть по тегу.

KeRanger — первый заметный троян-вымогатель для Mac OS X

Новость. Исследование Palo Alto.

Обнаружение KeRanger привлекло внимание многих СМИ, и часто в публикациях этот троян называли то «первым», то «первым реально опасным» вредоносным продуктом-вымогателем для Mac OS X. На самом деле он, естественно, не первый (одним из первых стал обнаруженный нами троян FileCoder, найденный летом 2014 года), да и особо серьезным его тоже нельзя назвать — об этом не преминули сообщить фанаты Apple. Дескать, да, шифрует данные, да, на макбуках, но посмотрите на Windows — вот где все действительно плохо.

И фанаты, в общем-то, правы, но дело не в этом. KeRanger после установки ждет три дня, после чего частично шифрует файлы на зараженной системе и требует выкуп в размере 1 биткойна (около $400). Это крайне неприятно, если вы стали жертвой такого вымогателя, но вообще троян не может похвастаться чем-то примечательным.

Интересна система распространения. Во-первых, троян подписан легитимным (до обнаружения, естественно) сертификатом разработчика, поэтому встроенная в Mac OS X система GateKeeper его не смогла бы заблокировать. Во-вторых, троян был внедрен в инсталлятор торрент-клиента Transmission и непродолжительное время распространялся с официального сайта проекта.

Security Week 10: вымогатель для OS X, обход пасскода iPhone, уязвимость в Facebook и польза bug bounty

А это немного меняет восприятие истории: утверждения о том, что Mac OS X более защищена от вредоносного ПО, чем Windows, теряют актуальность. И дело не в количестве багов. Дело в интересе киберкриминала. До KeRanger было ясно, что простые зловреды обходят Mac OS стороной, но, если потребуется взломать макбук в рамках таргетированной атаки, — взломают. А после стало ясно, что и обычные «пользовательские» трояны вполне успешно могут заражать незащищенные компьютеры Apple. Пользуясь уязвимостями не в системе, а в экосистеме — разработчиков ПО и сертификаты Apple не может контролировать так строго, как это происходит на iPhone.

Интересный момент: по мнению исследователей Palo Alto трехдневная задержка между загрузкой трояна и шифрованием данных была введена для того, чтобы максимально широко распространить зараженную версию Transmission — пока не заметили. Но заметили все же раньше, потому и пострадавших относительно немного. Совместная работа исследователей, разработчика программы и разработчика ОС помогла снизить ущерб.

Серьезный баг в Facebook позволял получить доступ к любому аккаунту

Новость. Пост в блоге исследователя.

Исследователь Ананд Пракаш недавно получил в рамках программы Bug Bounty $15 тыс. от Facebook, и по меркам программы «деньги в обмен на уязвимости» социальной сети это очень много. Уязвимость действительно была серьезной, в самом ответственном с точки зрения безопасности месте — в системе сброса паролей.

При попытке сбросить пароль Facebook дает возможность одобрить это действие на устройстве, которое уже залогинено, — с телефона или планшета. На телефоне выводится шестизначный код, который нужно ввести на сайте. Шестизначный код достаточно легко подобрать, если система это позволяет, то есть не блокирует попытки перебора.

Все системы безопасности, кроме самых дырявых, такие попытки блокируют, и Facebook — не исключение. Но только главный сайт. Ананд обнаружил, что альтернативные версии FB — beta.facebook.com и msbasic.facebook.com (последняя предназначена для старых устройств) не содержат проверки на перебор. Обычный Facebook блокирует перебор после примерно десятой попытки. На данных версиях FB, которые, скорее всего, разрабатываются отдельно от основной ветки, проверки не было, но доступ к базе пользователей был, то есть взломать можно было кого угодно. Схема атаки показана на proof of concept:

Обойти пароль в iOS 9.1 и более поздних можно с помощью Siri

Новость. Исследование.

Если судить по количеству новостей с судебного разбирательства между Apple и американскими госструктурами, главной функцией телефонов компании является парольная защита. Конечно, это не совсем так, но ведь пароль (а чаще всего — четырехзначный код) — это единственное, что мешает вашим данным попасть в руки злоумышленников, ревнивых родственников, следователей или разведчиков.

Уже не первый раз выясняется, что для обхода пароля не всегда обязательно заставлять саму Apple писать бэкдор к операционной системе. Достаточно воспользоваться одной из проблем «стыковки» разных функций между собой. Основная проблема Apple в том, что без пароля телефон вовсе не превращается в кирпич: какие-то функции доступны на нем и так.

Этим и пользуются. Исследователи из компании Vulnerability Lab утверждают, что обойти пароль можно с помощью Siri, причем проблема присутствует во всех устройствах с iOS 9.1 или выше и пока не решена. Исследователи описывают несколько способов обхода PIN-кода. Самый простой — попросить Siri открыть приложение, которое на телефон еще не установлено. После этого Siri откроет магазин приложений, а уже из него можно переключиться на домашний экран, так и не введя пароль для доступа. Остальные способы похожие, хотя и реализуются несколько сложнее.

Уязвимость была обнаружена в январе этого года, еще три месяца заняло общение с Apple, но немного странно, что информация была раскрыта до патча. В Vulnerability Lab утверждают, что Apple сообщила им о том, что информация принята к сведению, после чего перестала выходить на контакт. Proof of concept:

Что еще произошло:

Много патчей. Очень серьезные уязвимости в Adobe Flash. Не менее серьезные дыры в Google Chrome. И очень серьезные уязвимости в Microsoft IE и Edge.

Все очень серьезно.

Security Week 05: непростые числа в Socat, Virtustotal проверяет BIOS на закладки, тайная жизнь Wi-Fi модулей

Древности:

«Ping-pong»

Не опасен, имеет байт, содержащий номер версии вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то «обновляет» ее. Изменяет вектора int 8 и int 13h. Вызывает видеоэффект скачущего шарика (знак 7h ASCII), который перемещается по экрану, отражаясь от знаков и границ экрана.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страница 96.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.