Każdy z nas posiada cyberbliźniaka. Przywykliśmy jednak do tego, że mamy niejako sezon otwarty na nasze dane i niewiele w tym zakresie możemy zrobić. Ale wcale nie musi tak być. Pokazała to w ostatnim tygodniu Mozilla, która wycofała ze swojego sklepu cztery rozszerzenia należące do Avast i AVG. Powód – szpiegowanie użytkowników. Oczywiście wszystkie wtyczki robiły co do nich należało. Skutkiem ubocznym tych działań były jednak ogromne ilości danych przesyłane na serwery producenta. Więcej informacji znajdziecie w nowym zestawieniu. Zaczynamy.
1. Mozilla usuwa rozszerzenia Avast i AVG. Powód? Szpiegowanie użytkowników
Cztery wtyczki należące do Avast oraz AVG zniknęły z Mozilla Addons Site. Powód? Złamanie postanowień polityki add-ons. Według Mozilla wszystkie usunięte wtyczki zbierały w ukryciu dane o użytkownikach bez ich zgody.
Problematyczne rozszerzenia to Avast Online Security, AVG Online Security, Avast SafePrice oraz AVG SafePrice. Wtyczka Avast oraz AVG Online Security informuje użytkownika o potencjalnych zagrożeniach takich jak próba phishingu, cyber-scam czy też powstrzymuje otwarcie złośliwej witryny. SafePrice wyświetla informację o lepszych cenach produktu, który w danym momencie przegląda użytkownik. Jednak oprócz danych potrzebnych do tych operacji, wszystkie wtyczki zbierają sporo innych informacji – w tym historię przeglądarki. Podejrzliwość developerów wzbudziła właśnie ilość danych przesyłanych na adres: https://uib.ff.avast.com/v5/urlinfo.
Pełna lista informacji zbieranych przez Avast i AVG
Śledzenie identyfikatorów kart i okien, a także innej aktywności pozwala odtworzyć niemal w pełni zachowania użytkownika: ile kart ma otwartych, jakie witryny odwiedza i kiedy, ile czasu spędza na czytaniu / przeglądaniu zawartości, co klika i kiedy przełącza się na inną kartę.
Co dalej. Jeśli Avast i AVG dostosuje się do polityki prywatności, rozszerzenia wrócą do sklepu Firefox. W międzyczasie jednak rozszerzenia pozostaną aktywne dla użytkowników, którzy je już zainstalowali. Będą również gromadzić szczegółowe dane o ich aktywności…
2. Złośliwe biblioteki Python kradły klucze SSH i GPG
Zespół ds. bezpieczeństwa PyPI (Python Package Index) usunął właśnie ze swojego repozytorium dwie złośliwe biblioteki języka Python. Jedna z nich była dostępna przez zaledwie dwa dni. Druga, prawie rok.
Obie biblioteki wyszły spod pióra – lub klawiatury – tego samego developera. Hacker posłużył się dobrze znaną techniką typosquatting. Polega ona na wykorzystaniu błędów literowych przy tworzeniu nazwy i rejestracji witryny lub jak w tym przypadku – paczki. Żeby jednak mówić o sukcesie, nie można udawać „byle kogo”. Celem są zawsze dobrze znane i rozpoznawalne nazwy i narzędzia. Tak samo było i w tym przypadku. Biblioteka „python3-dateutil” udawała dobrze znaną bibliotekę „dateutil”. Drugi klon o nazwie „jeIlyfish” (pierwsze „L” w nazwie jest tak naprawdę literą „I”) naśladowało bibliotekę „jellyfish”. Oba zagrożenia wykryto 1 grudnia. Jednak o ile python3-dateutil zostało udostępnione 29 listopada, to druga biblioteka 11 grudnia ukończy rok.
Według specjalistów jedynie jeIlyfish posiada złośliwy kod. Ale nie liczcie teraz na dobrą wiadomość, ponieważ python3-dateutil także importuje bibliotekę jeIlyfish. Tak więc wpadasz z deszczu pod rynnę… Co się dzieje dalej? Plik o nazwie „hashsum” podejmuje próby wyodrębnienia kluczy SSH i GPG z komputera użytkownika i przesłania ich na adres IP http://[68.183.212.246:32258]. Plik wylistowuje również ścieżki: home directory, PyCharm Projects directory, itp. Wskazuje to na zainteresowanie przestępców aktualnie prowadzonymi projektami.
Z istotnych informacji… Obie biblioteki były identycznymi klonami, tak więc poza złośliwą naturą robiły co do nich należało. Programiści, którzy wykorzystują w pracy któreś z tych rozwiązań powinni niezwłocznie zweryfikować czy przypadkiem nie zaimportowali ich niebezpiecznej wersji. Jeśli okaże się, że jednak padli ofiarą oszustwa, specjaliści zalecają zmianę wszystkich kluczy SSH i GPG.
3. Wrogie przejęcie twoich pieniędzy, przed którym nie ma ratunku… na ten moment
Podatność o nazwie StrandHogg (tak w biznesie określa się wrogie przejęcie) umożliwia hackerom dostęp do danych na prawie każdym urządzeniu z systemem Android. Co więcej, została już praktycznie wykorzystana do przeprowadzenia ataków z pomocą kilku trojanów bankowych.
Samo zagrożenie jest znane specjalistom od 2015 roku (dotąd tylko w formie proof-of-concept). Jednak niedawno w zakamarkach dark web’u zadebiutowała uzbrojona wersja, ukryta w dobrze znanym malware. Exploit umożliwia atak za pomocą praktycznie każdej aplikacji na Androida.
Jak działa exploit?
Zagrożenie jest w stanie przechwycić niemal każdą aplikację. Użytkownik zamiast przejść do ekranu powitalnego lub strony logowania trafia na okno z żądaniem nadania programowi określonych uprawnień, jak dostęp do kontaktów, lokalizacji, przechowywanych danych itp. Jeśli użytkownik zatwierdzi zmiany… ma duży problem. Złośliwy program uzyskuje wszystkie zgody nadane legalnej aplikacji. A ona sama działa we właściwy sposób – więc początkowo nic nie wzbudza podejrzeń.
Specjaliści z Promon przetestowali już ponad 500 aplikacji – wszystkie okazały się podatne. Dodatkowo zagrożone są wszystkie wersje systemu Android – w tym także Android 10. Nawet aktualizowane na bieżąco urządzenia nie są bezpieczne.
Na ten moment specjaliści zidentyfikowali łącznie 36 złośliwych aplikacji, które korzystają z StrandHogg. Wśród nich znalazł się m.in. trojan BankBot, który wykorzystuje wspomniany exploit do nadania sobie odpowiednich uprawnień dzięki którym jest w stanie przychwytywać wiadomości SMS, rejestrować naciśnięcia klawiatury, przekierowywać połączenia, a nawet blokować telefon. Wszystko tak długo, dopóki użytkownik nie zapłaci okupu.
Google usunął już wszystkie niebezpieczne programy ze Sklepu Play. Jednak systemy Android są nadal podatne. Na ten moment nie wiadomo również kiedy może pojawić się odpowiednia łatka.
4. Clop Ransomware wyłączy Windows Defender i Malwarebytes
Eksperci odkryli nowe złośliwe oprogramowanie o nazwie Clop ransomware, które próbuje usunąć Malwarebytes i inne produkty zabezpieczające z Twojego komputera.
Zacieranie śladów. Tuż przed rozpoczęciem procesu szyfrowania, złośliwy kod uruchamia program, którego zadaniem jest wyłączenie zabezpieczeń działających w systemie mogących ujawnić jego operacje. Próbuje on wyłączyć program Windows Defender, konfigurując wartości rejestru związane z tą funkcją obrony. Próbuje również usunąć samodzielne programy antywirusowe Microsoft Security Essentials i Malwarebytes.
Clop to odmiana CryptoMix Ransomware, która korzysta z rozszerzenia Clop i podpisuje swoją notę okupu CIopReadMe.txt.
W komputerach z włączoną usługą Tamper Protection w Windows 10, po przeprowadzonym ataku, wartości rejestru zostaną przywrócone do domyślnej konfiguracji, a Windows Defender zostanie ponownie włączony.
Eksperci zauważyli, że grupa cyberprzestępcza TA505 używa ransomware CryptoMix w atakach takich jak Ryuk, BitPaymer i DoppelPaymer. Ransomware Clop został wykorzystany m.in. w serii ataków na francuski szpital w Rouen czy Uniwersytet w Antwerpii.
5. Luka w Microsoft OAuth 2.0. pozwoli przejąć konto Azure
W wybranych aplikacjach Microsoft OAuth 2.0 występuje luka, która może umożliwić osobie atakującej uzyskanie dostępu do konta Azure ofiary i przejęcie nad nim kontroli.
Wadę odkryli specjaliści Cyberark. Zauważyli, że wiele (co najmniej 54) aplikacji OAuth znajdujących się na białej liście domyślnie ufa domenom i subdomenom, które nie są zarejestrowane przez Google. Mają one status “zatwierdzony” i mogą prosić o token dostępu. Połączenie tych dwóch czynników umożliwia wykonanie akcji z uprawnieniami użytkownika – w tym uzyskanie dostępu do zasobów Azure, AD i innych. Metody są dwie – wystarczy, że ofiara kliknie w link lub odwiedzi złośliwą witrynę, aby zainicjować przejęcie kontroli nad kontem.
Metoda pierwsza
Opiera się ona na utworzeniu spreparowanego łącza dla Microsoft OAuth za pomocą wrażliwych aplikacji Microsoft. Następnie ustawiany jest id aplikacji, który pasuje do podatnej aplikacji OAuth. Kolejnym krokiem jest ustawienie parametru redirect_uri dla kontrolowanych domen z białej listy. Wystarczy, że atakujący zmieni ten zasób na taki, do którego chce uzyskać dostęp.
Gdy ofiara kliknie spreparowany link, microsoftonline.com przekieruje go do domeny atakującego za pomocą tokena dostępu, a JavaScript wyśle żądania interfejsu API ze skradzionym tokenem dostępu.
Drugi sposób
Czyli wykorzystanie złośliwej witryny. Obejmuje ono w zasadzie te same działania z kilkoma dodatkowymi krokami. Po ustawieniu parametru redirect_uri na kontrolowane domeny z białej listy, atakujący umieszcza ramkę iframe na stronie internetowej z atrybutem src ustawionym na spreparowany link. Gdy ofiara przegląda stronę, iframe przekierowuje ją do fałszywej strony z nowo utworzonym tokenem dostępu. Następnie, podobnie jak w przypadku metody z wykorzystaniem linka, JavaScript działający w domenie wyśle żądanie API ze skradzionym tokenem dostępu.
Specjaliści z Cyberark podkreślają, że choć OAuth 2.0 jest doskonałym rozwiązaniem do autoryzacji, jeśli zostanie niewłaściwie użyte lub źle skonfigurowane, może pozwolić nawet na przejęcie konta przez atakujących.
Jak ograniczyć podatność? Upewnij się, że wszystkie zaufane identyfikatory przekierowania URI skonfigurowane w aplikacji są Twoją własnością. Usuń te niepotrzebne. Sprawdź czy uprawnienia, o które prosi Cię OAuth są na tyle uprzywilejowane, na ile muszą być. Nieużywane aplikacje natychmiast wyłącz.
6. Pamiętasz “postarzające” selfie? FBI: FaceApp to narzędzie kontrwywiadu
FBI potwierdziło, że popularna w tym roku aplikacja FaceApp może stanowić ryzyko kontrwywiadu przez rosyjskich programistów.
Aplikacja wykorzystuje sztuczną inteligencję do przekształcania twarzy użytkowników – m.in. ich postarzania, zmiany płci itd. Zyskała sławę na początku tego roku wraz z akcją #FaceAppChallenge. Szacuje się, że tytuł ma dostęp do wizerunków twarzy i danych ponad 150 mln użytkowników na całym świecie.
Eksperci ds. Bezpieczeństwa ostrzegali wtedy, że aplikacja żąda dostępu do wszystkich zdjęć użytkownika, nie tylko tych, które chcą zmodyfikować. Wymaga również dostępu do wyników wyszukiwania, Siri czy odświeżania tła. Pojawiły się obawy, że taki zbiór danych mógłby być wykorzystany do procesu nadzoru, fałszowania danych czy technologii rozpoznawania twarzy. Inną obawą była sprzedaż adresów IP, plików cookie i dzienników aktywności firmom reklamowym. Czerwona lampka świeciła również ze względu na rosyjskie pochodzenie aplikacji.
Jeden z senatorów USA zgłosił sprawę FBI – które po jej przeanalizowaniu potwierdziło, że FaceApp jest potencjalnym zagrożeniem kontrwywiadowczym. Opinię wydało w oparciu o gromadzone dane o produkcie, jego zasady dotyczące prywatności i warunków użytkowania oraz mechanizmy prawne dostępne rządowi Rosji.