Tervetuloa SSL.com Security Roundupin helmikuun versioon!
Helmikuu saattaa olla lyhin kuukausi, mutta et tiedä sitä katsomalla kaikkia nousevia uutisia digitaalisesta turvallisuudesta. Olemme koonneet ne yhteen kätevään paikkaan lukemiseen, joten pidä hauskaa kiinni viimeisten 28 päivän aikana.
Apple piilottaa Googlen selaussuojapyynnöt
Applen uusimmalla mobiilikäyttöjärjestelmällä, iOS 14.5, on uusi selainominaisuus, joka varoittaa käyttäjiä vaarallisista verkkosivustoista ja estää IP-osoitteiden luovuttamisen Googlelle. Safari-ominaisuutta kutsutaan "petolliseksi verkkosivustovaroitukseksi", ja vaikka se käyttää Googlen selaussuojaa haitallisten verkkosivustojen tunnistamiseen, Apple ohjaa Google-selauspyynnöt uudelleen välityspalvelimen kautta välttääkseen IP-osoitteiden vuotamisen Googlelle. Ravie Lakshmananina raportit Hacker News, Apple ryhtyy myös muihin yksityisyyden suojaan liittyviin varotoimiin, koska ne pyrkivät lisäämään käyttäjiensä yksityisyyttä muilla tavoilla:
Uusi muutos iOS: ssä ja iPadOS: ssa on osa useita yksityisyyden suojaamiseen tähtääviä toimenpiteitä, joita Apple on toteuttanut viime aikoina, mukaan lukien sovellusten kehittäjien velvoittaminen ilmoittamaan tietojen keräämiskäytäntönsä App Storen luetteloissa käyttämällä yksityisyyden ravitsemustarroja.
Lisäksi iOS 14.5 vaatii myös sovelluksia pyytämään käyttäjien lupaa ennen niiden seuraamista muissa sovelluksissa ja verkkosivustoissa käyttämällä laitteen mainostunnistetta osana uutta kehystä, joka on nimeltään App Tracking Transparency.
Uusi iOS 14.5 on tällä hetkellä beta-versiossa, ja odotusten mukaan se julkaistaan tänä keväänä.
Salaperäinen haittaohjelma, jonka tarkoitus on tuntematon, löydetty 30,000 Macista
Kuten jotain modernista vakoojaelokuvasta, Red Canaryn turvallisuustutkijat ovat löytäneet uuden haittaohjelman nimeltä ”Silver Sparrow”. Vaikka se on löydetty lähes 30,000 Macista, kukaan ei todellakaan tiedä mitä se tekee, lukuun ottamatta tilausten tarkistamista. Kuten Ars Technica Dan Goodin raportoi:
Tartunnan saaneet Mac-tietokoneet tarkistavat kerran tunnissa ohjauspalvelimen tarkistaakseen, onko haittaohjelman suorittamia uusia komentoja tai suoritettavia binäärejä. Toistaiseksi tutkijat eivät kuitenkaan ole vielä havainneet minkään tartunnan saaneiden 30,000 koneen hyötykuorman toimittamista, joten haittaohjelman perimmäinen tavoite on tuntematon. Lopullisen hyötykuorman puuttuminen viittaa siihen, että haittaohjelma saattaa toimia, kun tuntematon ehto täyttyy.
Myös utelias, haittaohjelmien mukana tulee mekanismi itsensä täydelliseksi poistamiseksi, ominaisuus, joka on tyypillisesti varattu varkain tehtäviin. Toistaiseksi ei kuitenkaan ole merkkejä siitä, että itse tuhoavaa ominaisuutta on käytetty, mikä herättää kysymyksen siitä, miksi mekanismi on olemassa.
Ilmeisen juonittelun lisäksi Silver Sparrow on myös huomionarvoista, koska se on vasta toinen haittaohjelma, joka toimii luonnollisesti Applen uudella M1-sirulla. Ja vaikka yksikään tutkija ei ole vielä nähnyt sitä toiminnassa, Punainen Kanariansaari on tunnistanut se on "kohtuullisen vakava uhka, jolla on ainutlaatuinen asema toimittaa mahdollisesti vaikuttava hyötykuorma hetkellisesti."
Mozilla ja Apple Frown Upon Advanced Hardware Features in Chrome 89
Googlen Chrome 89 beta sisältää joitain uusia laitteisto-vuorovaikutussovellusliittymiä, joista Mozilla ja Apple eivät ole innoissaan. Sovellusliittymien avulla kehittäjät voivat kommunikoida peliohjainten ja näppäimistöjen kanssa laitekohtaisen logiikan avulla, antaa verkkosovellusten lukea ja kirjoittaa tunnisteita, ja WebSerial APO mahdollistaa suoran viestinnän verkkosovellusten ja sarjaportteja käyttävien laitteiden välillä. Kuten Tim Anderson klo Rekisteri raportit, Mozilla ja Apple pitävät tätä vaarallisena:
Mozillan nykyinen standardointiasema… on sanonut, että "koska monia USB-laitteita ei ole suunniteltu käsittelemään mahdollisesti haitallisia vuorovaikutuksia USB-protokollien kautta ja koska näillä laitteilla voi olla merkittäviä vaikutuksia tietokoneeseen, johon ne ovat yhteydessä, uskomme, että altistamisen turvallisuusriskit USB-laitteet verkkoon ovat liian laajoja, jotta voidaan altistaa käyttäjät heille tai selittää asianmukaisesti loppukäyttäjille saadakseen mielekkään tietoisen suostumuksen. "
Lisäksi, koska Google, Mozilla ja Apple eivät ole yhdenmukaisia näiden sovellusliittymien turvallisuuden kanssa, jos vain yksi niistä (Google) toteuttaa ne, se saattaa tehdä Firefoxin ja Safarin kaltaisista selaimista rikki, koska nämä selaimet eivät.
Tutkija paljastaa laajalle levinneen riippuvuushäiriön
Toimitusketjuhyökkäykset ovat olleet viime aikoina paljon uutisissa. (Saatat muistaa tämän edellisestä kattavuudestamme esimerkiksi SolarWinds ja Malwarebytes.) Tässä kuussa tutkija Alex Birsan näytti meille uuden, pelottavan version hyökkäyksestä, joka kohdistuu kehittäjiin, jotka sekoittavat julkisia ja yksityisiä riippuvuuksia pakettien hallintaohjelmien, kuten NPM: n tai RubyGemsin, käytössä. Birsan yksityiskohtaisesti tiedot Mediumin haavoittuvuudesta. Se on tietysti hieman monimutkainen, mutta lähinnä hän huomasi, että hyökkääjät etsivät sisäisten pakettien nimiä, jotka yritykset vahingossa paljastavat esimerkiksi githubin tai javascriptin kautta. Hyökkääjä luo sitten kyseisen paketin näyttävän korkeamman versionumeron julkiseen arkistoon ja odottaa sitten, onko kohde ladannut ja käyttänyt sitä.
Artikkelissaan Birsan sanoi, että he ovat havainneet tämän haavoittuvuuden, jota hän kutsuu "riippuvuushäiriöksi" yli 35 organisaatiossa. Suosittelemme lukemaan hänen Keskikokoinen pala jos olet kiinnostunut erityisistä komennoista ja työkaluista, jotka voivat tehdä haavoittuvaisista tämän tyyppisille hyökkäyksille, ja kuinka vähentää riippuvuuden sekaannuksen riskiä.