Пользователи Apple могут столкнуться с проблемой при обновлении мессенджера

В связи со сбоем на стороне Apple, AppStore вместо обновления, может выдавать старую версию Telegram. Если вы столкнулись с такой проблемой — дождитесь фикса.

twitter.com/telegram/status/1091072313469140992

#iOS

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.


Мне это напомнило историю с "Троицей" уязвимостей в iOS, которые Apple срочно исправляла в iOS 9.3.5. Происходило это во второй половине 2016 года, и вызывает вопросы, не связаны ли эти истории, или же не использовались ли похожие уязвимости в Trident и Karma (например, для того же джейлбрейка "втихаря" и последующей доставки вредоносного ПО). На данный момент неизвестно, применяется ли Karma, и были ли исправлены в iOS уязвимости, которые этим ПО эксплуатировались. В статье отмечается, что к концу 2017 года обновления в iOS сделали Karma гораздо менее эффективным. Apple никак не прокомментировала информацию, изложенную в материале Reuters. Все же не зря за уязвимости в iOS платят по 2 млн долларов, чтобы потом можно было их использовать в том числе и для такой активности.

PS Кроме того, в статье упоминается, что "Karma не работало на устройствах с Android", что вообще-то очевидно, учитывая, что для взлома использовалась уязвимость в iMessage, которого на Android нет.

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.
Про бан https://alexmak.net/2019/01/30/payback-facebook/
Программа Google https://support.google.com/audiencemeasurement/answer/7573812?hl=en&ref_topic=7574346
И об этой программе https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей.
https://www.wired.com/story/collection-leak-usernames-passwords-billions/

HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)
Про багу https://alexmak.net/2019/01/28/facetime/
Про disclosure https://en.wikipedia.org/wiki/Responsible_disclosure
Про прокуратуру https://www.theverge.com/2019/1/30/18204213/apple-facetime-bug-new-york-state-investigation

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

PS WTF, нормально же все было!

Челендж 10 лет России

Не беря в расчет Apple, сильнее всего выросли цены на лечение кариеса и почту

Павел Дуров у себя на канале рассказал о начале второго конкурса шаблонов Instant View

Список участвующих сайтов на данный момент — instantview.telegram.org/contest#target-domains

Целью конкурса является создание шаблонов, которые используются для создания красивых быстрых просмотров «Instant View». Все желающие, знающие HTML/CSS могут участвовать в конкурсе. Участники получают $100 за каждый корректный шаблон. Двое лучших участников получат $10 000 и $5 000 соответственно.

Правила находятся по ссылке — instantview.telegram.org/contest

Кроме этого, Дуров пообещал, что в скором времени будут запущены похожие конкурсы для разработчиков. В конце концов, будут запущены всевозможные конкурсы (для Android разработчиков, C++ разработчиков, разработчиков голосовых звонков и др). Победителей ждут отличные призы и шанс попасть в команду Telegram.

Следующий конкурс будет анонсирован в течение 10 дней, будьте готовы.

1. Огромный материал от Motherboard об отрасли "разблокировки" ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из "Связки Ключей" в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.



3. Google запустила свой собственный сервис проверки утекших паролей, и для этого опубликовала свое расширение для Chrome:
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
Google утверждает, что передача всех данных зашифрована, и Google не видит ваши данные, которые передает расширение. А пароли в самой базе данных Google хешированы и зашифрованы.

4. Военно-морским силам США нужна помощь в удалении данных. У них там скопилось 2 тонны оборудования, которые нужно сжечь в пыль, чтобы убедиться, что секретная информация, хранящаяся на устройствах, была полностью уничтожена. Вот это, я понимаю, OpSec.
https://www.nextgov.com/cybersecurity/2019/02/navy-needs-2-tons-storage-devices-burned-ash/154629/

5. Одной строкой
ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007

Google Patches Critical .PNG Image Bug
https://threatpost.com/google-patches-critical-png-image-bug/141524/

Reverse RDP Attack: Code Execution on RDP Clients
https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Popular South Korean Bus App Series in Google Play Found Dropping Malware After 5 Years of Development
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users