безопасность

Специалист компании IOActive, разрабатывающей решения в сфере информационной безопасности,  Рубен Сантамарта сообщил о возможности взлома систем спутниковой связи пассажирских самолетов при помощи бортовых Wi-Fi сетей и развлекательных систем.

29 июля сан-францисская компания Bluebox Security обнаружила уязвимость в Android. Дыра в безопасности эксплуатирует отсутствие проверки подлинности криптографических сертификатов устанавливаемых приложений. Она позволяет вредоносным программам получать доступ к личным данным пользователя, читать его почту и историю финансовых транзакций. Уязвимость окрестили Fake ID — по аналогии с фальшивым водительским удостоверением, позволяющим американским подросткам проникать в бары и покупать спиртное.

Приложение KeyMe для App Store позволяет сфотографировать оброненные соседом ключи, склонировать их в киоске KeyMe и получить доступ к соседской квартире! Страшную историю рассказало издание Wired. Хотя история типично нью-йоркская («Ключи я получил в будке KeyMe в ближайшей аптеке — а на следующее утро вломился к нему в дом и застал его за чтением книги о линкоре "Бисмарк"»), функциональность доступного лишь в американском App Store приложения не уникальна, а вместо специальной будки распечатанный на 3D-принтере ключ можно заказать по почте.

Четвертая бета iOS 8; клон от Дурова; Spotify про Beats; анонс Dungelot 3; MC 5 украли.

Мы уже писали об обнаруженной уязвимости iCloud, позволяющей обойти выключение потерянного или украденного смартфона через функцию Find my iPhone («Найти iPhone»). Но iCloud можно использовать и для прямых хакерских атак. 27 мая ряд австралийских пользователей iPhone и iPad обнаружил, что их устройства оказались удаленно заперты через Find my iPhone. За снятие замка злоумышленники требуют выкупа в $50 через PayPal.

Компания ESET, производящая антивирусные решения, сообщила о появлении вредоносной программы под названием Samsapo. Потенциальные объекты заражения — устройства с ОС Android. Samsapo обладает функциональностью червя; программа умеет распространять себя с инфицированных девайсов. Как именно? Очень просто: зараженный Android-аппарат рассылает всей адресной книге SMS с сообщением на чистом русском языке («Это твои фото?») и прикладывает ссылки на вредоносный файл.

В ближайшее время компании Apple, Google, Microsoft и Facebook начнут предупреждать пользователей о том, что ими заинтересовались американские правоохранительные органы. Об этом представители всех четырех компаний сообщили газете The Washington Post. Уведомления не будут отправляться лишь в том случае, если разглашать данные о расследовании будет запрещено конкретным судебным постановлением. Американские прокуроры очень недовольны решением компаний и предупреждают, что такая неосмотрительность с их стороны даст коварным преступникам шанс уничтожить вещественные электронные доказательства.

Мы уже писали о приложениях для Google Play, втайне от хозяев устройств добывавших криптовалюту Dogecoin. 24 апреля в Google Play были обнаружены приложения, промышлявшие майнингом криптовалюты Bitcoin. Об этом сообщила в своем блоге компания Lookout, занимающаяся вопросами мобильной безопасности. Вредоносная программа называется BadLepricon и маскируется под приложения для скачивания боев «с аниме-девушками, эпическим дымом и привлекательными мужчинами». По указке Lookout Google удалила из магазина «пять таких приложений».

В Android появилась постоянная проверка подлинности и безопасности приложений. Об этом инженер по безопасности Рич Каннингс сообщил 11 апреля в официальном блоге Android. В основе обновления лежит уже имеющийся в Android сервис верификации (Verify Apps), предупреждавший о вредоносных приложениях при их инсталляции.

Heartbleed — уязвимость в криптографической open-source-библиотеке OpenSSL, обнаруженная 7 апреля фирмой Codenomicon. Она позволяет индивидуальным злоумышленникам и целым спецслужбам получать доступ к ключу шифрования и читать трафик между клиентом и сервером. Мы уже писали об очень похожей уязвимости в SSL-протоколе, обнаруженной на iOS в феврале. Но в случае с Heartbleed это хорошая новость: так как iOS использует SSL (а не OpenSSL), Heartbleed-тревоги на iOS-устройства не распространяются. Об этом компания Apple сообщила в официальном заявлении сайту Re/Code.

Dogecoin — появившаяся в декабре 2013 года и подражающая Bitcoin криптовалюта для анонимных транзакций в интернете. Главная отличительная особенность Dogecoin — фас Кабосу на монетообразном логотипе валюты. Кабосу —  собака породы шиба-ину, породившая интернет-мем Doge (русск. Доге, польск. Piesel). Как и любая криптовалюта, Dogecoin позволяет зарабатывать виртуальные криптомонеты за операции по обслуживанию платежной системы (это называется майнингом). Обычно майнингом занимаются ботнеты на корпоративных компьютерах —  но 27 марта из Google Play были удалены два приложения, занимавшихся скрытым зарабатыванием доге-валюты.

26 марта в Москве (в пресс-центре медиахолдинга РБК на Профсоюзной) прошел круглый стол «Опасный мир контрафактного ПО: в 2014 году риски и потери российского бизнеса и частных пользователей возрастут». Участие в мероприятии приняли представители крупнейших IT-компаний (в том числе Microsoft) и ассоциации производителей программного обеспечения BSA (Business Software Alliance). Состоялась презентация результатов социологического исследования, проведенного в России и в других странах компанией IDC по заказу Microsoft. По оценке специалистов, в 2014 году россияне потратят $1,1 млрд и 80 млн человеко-часов на обнаружение и устранение проблем, возникших из-за пиратского ПО. (По данным IDC, 49% пользователей получают его с сайтов и из торрентов, 38% — покупают в магазинах, 21% — берут у знакомых. 76% контрафактного ПО в Сети заражено.)

Компания Google объявила о повышении мер безопасности своего почтового сервиса Gmail. При получении и отправке почты теперь будет использоваться безопасное HTTPS-соединение (неважно, в какой сети вы находитесь и какое устройство используете). Также будет шифроваться внутренний трафик. Gmail — популярная почта на мобильных устройствах, в App Store и Google Play есть бесплатные клиенты.

Android-сообщество всерьез обеспокоено: появилась вредоносная программа, которая, попав на ваше устройство, может не только открыть злоумышленникам доступ к вашим фотографиям, SMS, почте и истории браузера, но даже записать телефонные разговоры и считать информацию из аккаунтов социальных сетей. Вообще, практика разработки и продажи «крыс»* не нова, однако в этот раз хакерам удалось превзойти самих себя. Дело в том, что новый троян под названием Dendroid очень хитро обходит защитные механизмы Google и остается незамеченным в системе.

Бывший морской пехотинец и сотрудник Microsoft Брайан Сили вот уже шесть лет издевается в своем Twitter над Google Maps. Пользуясь уязвимостями системы верификации Google, он создает фальшивые учреждения со смешными (или непристойными) именами. 27 февраля Сили создал в Google Maps фальшивый офис американской Секретной службы, что позволило ему перехватывать звонки ФБР и собственно «Сикрет Сервис». Повторить эксперимент Сили до недавнего времени мог любой человек, вооруженный смартфоном.

С марта 2013 года вице-президент Google Сундар Пичаи является куратором платформы Android. На прошедшей в Барселоне выставке Mobile World Congress Пичаи заявил о том, что для Android свобода важнее безопасности, и что его ОС по определению оставляет своих пользователей уязвимыми для вредоносных программ.

Только Apple успела заткнуть дыру безопасности в iOS 7, как обнаружилась еще одна уязвимость. Она позволяет злоумышленникам считывать данные с виртуальных клавиш и физических кнопок вашего Apple-устройства. Об этом сообщает сайт Ars Technica со ссылкой на фирму FireEye, занимающуюся вопросами сетевой безопасности. Специалисты FireEye разработали действующую модель программы, перехватывающей данные, вводимые на виртуальной клавиатуре iOS-устройств и отправляющей эти данные на удаленный сервер. Об открытии сообщено Apple.

22 февраля операционная система iOS-устройств неожиданно была обновлена до версии iOS 7.0.6. Апдейт занимает 14 мегабайт. Его цель — заткнуть дыру в интерфейсе программирования приложений для безопасных SSL- и TLS-соединений. Уязвимость позволяет обойти проверку цифровых сертификатов, использующихся для подтверждения связи между сервером и клиентом. Другими словами: ставьте патч как можно быстрее! Инженер Google Адам Лэнгли пишет в своем блоге, что уязвимость присутствовала в iOS 7.0.4 и до сих пор зияет в десктопной и ноутбучной OS X (для «Макинтошей» пока апдейтов ОС не выходило).

Приближается открытие зимних Олимпийских игр в Сочи, на которых, как ожидается, будут предприняты беспрецедентные меры безопасности. Новые предложения по усилению безопасности поступают и от депутатов Госдумы.

99% вредоносных программ на мобильных платформах избирают своей мишенью Android-устройства. К такому выводу пришел американский разработчик сетевого оборудования Cisco Systems в ежегодном отчете о состоянии мер безопасности компьютерной индустрии.