L'année dernière, nous avions déjà un
résumé des attaques non triviales. Ensuite, nous parlions d'une attaque DoS sur un PC à travers l'impact acoustique sur le disque dur et le vol de données utilisateur via un hack avec des styles CSS. Et la semaine dernière, seulement deux études ont été publiées sur les vulnérabilités dans les endroits où personne ne les attend vraiment. Certes, cette fois, les nouvelles sont plus routinières: personne d'autre n'a encore fredonné dans le Winchester. Mais néanmoins.
Commençons par une vulnérabilité relativement simple du système d'exploitation Mac OS X que Bob Gendler a découverte (
actualités ,
recherche ). En étudiant le fonctionnement de l'assistant vocal de Siri sur les PC Apple traditionnels, Bob a trouvé une base de données de ses propres messages électroniques dans les fichiers système.
Une base de données distincte dans le fichier snippets.db est utilisée par le processus com.apple.suggestd. Il est chargé de s'assurer que non seulement les fichiers et les programmes apparaissent dans les résultats d'une recherche locale (traditionnelle ou «Siri, afficher les messages des supérieurs»), mais aussi les messages électroniques qui ont un sens. En fait, une partie de la base de données de messagerie du programme Apple Mail y est dupliquée. Et c'est tout à fait normal, à l'exception d'un point: Bob crypte la correspondance, et dans snippets.db, ces mêmes messages sont stockés en texte brut.
Le problème existe au moins depuis Mac OS X 10.12 Sierra et est présent dans la dernière version 10.15 Catalina. Selon le chercheur, il en parle depuis six mois avec Apple, mais la vulnérabilité n'est toujours pas corrigée. La désactivation de Siri n'affecte en rien la reconstitution de la base de données de mailing, mais vous pouvez désactiver la collecte d'informations sur la correspondance dans les paramètres de l'assistant vocal. Bob donne des captures d'écran montrant comment la suppression d'une clé privée rend les messages chiffrés par lui illisibles dans le client de messagerie, mais des copies de texte restent dans la base de données technique. Un tel bug est un cas classique de choix entre «pratique» et «sûr». Pour la plupart des utilisateurs, ce comportement n'est pas un problème. Mais si vous êtes
paranoïaque, vous voulez compliquer la vie d'un attaquant même après avoir accédé à votre ordinateur et à vos données, alors vous devrez refuser les indices.
Les chercheurs de deux universités américaines ont découvert tout un entrepôt de vulnérabilités dans les téléphones Android (
actualités ,
recherche ), plus précisément dans les méthodes d'interaction avec le module radio du smartphone. Un module radio est un tel état dans un état, avec son système d'exploitation et son appareil sophistiqué pour communiquer avec Android lui-même. Le début des travaux scientifiques a été posé par deux modes d'interaction non triviaux entre l'OS et le module. Dans une situation normale, seules les applications privilégiées communiquent avec lui, bien que dans les versions antérieures d'Android, tout programme puisse envoyer des commandes. Au fil du temps, la sécurité de la partie téléphonique a été améliorée, mais il y avait deux "portes dérobées" disponibles selon le modèle de l'appareil et le fabricant. Ce sont Bluetooth et USB: dans le premier cas, les commandes AT pour le module radio peuvent être envoyées par un casque sans fil, dans le second - depuis l'ordinateur, la possibilité (pas toujours) de travailler avec la partie téléphone comme avec un modem classique est ouverte.
Les auteurs de l'étude ont non seulement trié des ensembles bien connus de commandes AT, mais ont également écrit un flou qui, selon un algorithme complexe, envoie un non-sens qualitatif au module radio. En conséquence, un large éventail de méthodes d'attaque potentielles est apparu: du contrôle direct du téléphone (appeler un numéro payant, voir les derniers appels) au vol d'IMEI et diverses façons de suspendre partiellement ou complètement le smartphone. L'ampleur du problème est quelque peu limitée par la nécessité d'un accès physique au téléphone: il est nécessaire d'inventer un casque bluetooth malveillant et de le connecter à l'appareil de la victime, ou du moins de se connecter brièvement à l'aide d'un câble. Dans l'étude, Google Pixel 2, Nexus 6P, Samsung S8 + et quelques autres ont été utilisés. Dans le cas de S8 +, il a été possible d'écouter les appels et d'établir une redirection, ce qui est assez grave ... si ce vecteur d'attaque peut être complété pour être plus applicable dans la vie réelle.
Que s'est-il passé d'autre
Kaspersky Lab a
étudié les clients VNC populaires. Un examen des vulnérabilités (nouvelles et connues, avec des exemples de code) a été effectué en termes d'utilisation de VNC pour accéder aux systèmes de contrôle industriels. Conclusion: il existe de nombreuses vulnérabilités, briller directement sur Internet avec un tel accès n'est clairement pas la meilleure idée.
Étude de cinq sonnettes de porte avec surveillance vidéo d'AV-Test. Les résultats vont de «suffisamment protégé» (Amazon Ring) à «mal protégé» (Doorbird). Exemples de vulnérabilités: accessibilité depuis le réseau local sans autorisation, transmission vidéo vers Internet sans cryptage, faible autorisation dans le système cloud.
Vulnérabilités et correctifs: un
trou très grave dans le CMS pour les boutiques en ligne Magento - installation de scripts sans autorisation.
Zero-day dans Internet Explorer.
Mises à jour de la suite d'applications Adobe Creative Cloud, y compris celles couvrant les vulnérabilités critiques dans Illustrator et Media Encoder.
Le Financial Times parle de «graves vulnérabilités dans l'application du Home Office britannique pour obtenir des informations sur le Brexit». A en juger par la réaction sur Twitter, les vulnérabilités sont en fait triviales. La principale plainte des chercheurs norvégiens sur les applications est qu'en piratant ou en volant le téléphone de la victime, vous pouvez accéder aux données stockées dans l'application, y compris les photos de passeport.