Bienvenue dans l'édition de février de SSL.com Security Roundup!
Février est peut-être notre mois le plus court, mais vous ne le sauriez pas en regardant toutes les nouvelles émergentes sur la sécurité numérique. Nous les avons rassemblés dans un seul endroit pratique pour les lire, alors amusez-vous à retrouver les 28 derniers jours environ.
Apple va masquer les demandes de navigation sécurisée de Google
Le dernier système d'exploitation mobile d'Apple, iOS 14.5, est livré avec une nouvelle fonctionnalité de navigateur qui alerte les utilisateurs sur les sites Web dangereux et empêche la transmission d'adresses IP à Google. La fonctionnalité Safari s'appelle «Avertissement de site Web frauduleux» et bien qu'elle utilise la navigation sécurisée de Google pour identifier les sites Web nuisibles, Apple redirigera les demandes de navigation sécurisée de Google via un serveur proxy pour éviter de divulguer des adresses IP à Google. Comme Ravie Lakshmanan rapports pour Les nouvelles de Hacker, Apple prendra également d'autres précautions en matière de confidentialité, car ils s'efforcent de renforcer la confidentialité de leurs utilisateurs par d'autres moyens:
La nouvelle modification d'iOS et d'iPadOS fait partie d'un certain nombre de mesures axées sur la confidentialité qu'Apple a déployées récemment, notamment en obligeant les développeurs d'applications à divulguer leurs pratiques de collecte de données dans les listes de l'App Store en utilisant des «étiquettes nutritionnelles de confidentialité».
En outre, iOS 14.5 exigera également que les applications demandent l'autorisation des utilisateurs avant de les suivre sur d'autres applications et sites Web à l'aide de l'identifiant publicitaire de l'appareil dans le cadre d'un nouveau cadre appelé App Tracking Transparency.
Le nouvel iOS 14.5 est actuellement disponible en version bêta, et on s'attend à ce qu'il soit publié ce printemps.
Mystery Malware avec un but inconnu trouvé sur 30,000 Mac
Comme quelque chose d'un film d'espionnage moderne, un nouveau morceau de malware connu sous le nom de «Silver Sparrow» a été découvert par des chercheurs en sécurité de Red Canary. Bien qu'il ait été trouvé sur près de 30,000 Mac, personne ne sait vraiment ce qu'il fait, à part vérifier les commandes. Comme Ars Technica Rapports de Dan Goodin:
Une fois par heure, les Mac infectés vérifient un serveur de contrôle pour voir s'il existe de nouvelles commandes que le logiciel malveillant doit exécuter ou des binaires à exécuter. Jusqu'à présent, cependant, les chercheurs n'ont pas encore observé la livraison d'une charge utile sur l'une des 30,000 XNUMX machines infectées, laissant le but ultime du malware inconnu. L'absence de charge utile finale suggère que le malware peut entrer en action une fois qu'une condition inconnue est remplie.
Également curieux, le malware est livré avec un mécanisme pour se supprimer complètement, une capacité généralement réservée aux opérations ultra-furtives. Jusqu'à présent, cependant, il n'y a aucun signe que la fonction d'autodestruction a été utilisée, ce qui soulève la question de savoir pourquoi le mécanisme existe.
Mis à part l'intrigue évidente, Silver Sparrow est également remarquable car ce n'est que le deuxième malware à s'exécuter en natif sur la nouvelle puce M1 d'Apple. Et, bien qu'aucun chercheur ne l'ait encore vu en action, Red Canary a identifié il s'agit d'une «menace raisonnablement sérieuse, positionnée de manière unique pour fournir une charge utile potentiellement impactante à tout moment».
Mozilla et Apple désapprouvent les fonctionnalités matérielles avancées de Chrome 89
La version bêta de Google Chrome 89 comprend de nouvelles API d'interaction matérielle dont Mozilla et Apple ne sont pas ravis. Les API permettent aux développeurs de communiquer avec les manettes de jeu et les claviers à l'aide d'une logique spécifique à l'appareil, permettent aux applications Web de lire et d'écrire des balises, et un APO WebSerial permet une communication directe entre les applications Web et les appareils dotés de ports série. Comme Tim Anderson à Le registre rapports, Mozilla et Apple considèrent cela comme dangereux:
La position actuelle des normes de Mozilla… a déclaré que «parce que de nombreux périphériques USB ne sont pas conçus pour gérer des interactions potentiellement malveillantes sur les protocoles USB et parce que ces périphériques peuvent avoir des effets importants sur l'ordinateur auquel ils sont connectés, nous pensons que les risques de sécurité liés à l'exposition Les périphériques USB sur le Web sont trop larges pour risquer d’y exposer les utilisateurs ou de s’expliquer correctement aux utilisateurs finaux afin d’obtenir un consentement éclairé significatif. »
De plus, comme Google, Mozilla et Apple ne sont pas alignés sur la sécurité de ces API, si une seule d'entre elles (Google) les implémente, cela pourrait faire apparaître des navigateurs comme Firefox et Safari défectueux parce que ces navigateurs ne l'ont pas fait.
Un chercheur expose une «confusion de dépendance» généralisée
Les attaques de la chaîne d'approvisionnement ont beaucoup fait l'actualité récemment. (Vous vous en souvenez peut-être de notre couverture précédente de choses comme SolarWinds et Malwarebytes.) Ce mois-ci, le chercheur Alex Birsan nous a montré une nouvelle version effrayante de l'attaque contre les développeurs qui mélangent les dépendances publiques et privées lors de l'utilisation de gestionnaires de paquets comme NPM ou RubyGems. Birsan détaille la vulnérabilité sur Medium. C'est un peu compliqué, bien sûr, mais essentiellement, il a constaté que les attaquants recherchent les noms des packages internes qui sont accidentellement exposés par des entreprises via des éléments tels que github ou javascript. L'attaquant crée alors ce qui semble être un numéro de version plus élevé de ce package dans un référentiel public, puis attend de voir s'il est téléchargé et utilisé par sa cible.
Dans son article, Birsan a déclaré avoir détecté cette vulnérabilité, qu'il appelle «confusion de dépendance» dans plus de 35 organisations. Nous vous recommandons de lire son moyenne pièce si vous êtes intéressé par les commandes et les outils spécifiques qui peuvent rendre une personne vulnérable à ce type d'attaque, et comment atténuer le risque de confusion de dépendance.
