Riassunto della sicurezza di febbraio 2021

Benvenuti all'edizione di febbraio del riepilogo sulla sicurezza di SSL.com!

Febbraio potrebbe essere il nostro mese più breve, ma non lo sapresti guardando tutte le notizie emergenti sulla sicurezza digitale. Li abbiamo raccolti in un posto comodo per leggerli, quindi divertiti a recuperare gli ultimi 28 giorni circa.

Apple per nascondere le richieste di navigazione sicura da Google

L'ultimo sistema operativo mobile di Apple, iOS 14.5, è dotato di una nuova funzionalità del browser che avvisa gli utenti di siti Web pericolosi e impedisce la consegna di indirizzi IP a Google. La funzione Safari è chiamata "Avviso di sito web fraudolento" e sebbene utilizzi la Navigazione sicura di Google per identificare i siti web dannosi, Apple reindirizzerà le richieste di Navigazione sicura di Google attraverso un server proxy per evitare di far trapelare gli indirizzi IP a Google. Come Ravie Lakshmanan rapporti per The Hacker News, Apple adotterà anche altre precauzioni per la privacy, poiché tende a rafforzare la privacy per i propri utenti in altri modi:

Il nuovo cambiamento in iOS e iPadOS fa parte di una serie di misure orientate alla privacy che Apple ha implementato di recente, tra cui l'obbligo per gli sviluppatori di app di divulgare le loro pratiche di raccolta dati negli elenchi di App Store utilizzando "etichette nutrizionali per la privacy".
Inoltre, iOS 14.5 richiederà anche alle app di chiedere l'autorizzazione degli utenti prima di rintracciarle su altre app e siti Web utilizzando l'identificatore pubblicitario del dispositivo come parte di un nuovo framework denominato App Tracking Transparency.

Il nuovo iOS 14.5 è attualmente in versione beta, con le aspettative che verrà rilasciato questa primavera.

Da asporto di SSL.com: Sebbene abbia senso utilizzare la Navigazione sicura di Google, che ha compilato un elenco straordinariamente completo di URL che contengono malware o altri pericoli, siamo lieti che Apple stia tenendo a mente la sicurezza e la privacy dei suoi utenti con questi aggiornamenti.

Malware misterioso con scopo sconosciuto trovato su 30,000 Mac

Come qualcosa uscito da un moderno film di spionaggio, un nuovo malware noto come "Silver Sparrow" è stato trovato dai ricercatori di sicurezza di Red Canary. Sebbene sia stato trovato su quasi 30,000 Mac, nessuno sa davvero cosa fa, a parte il controllo degli ordini. Come Ars Technica's Rapporti di Dan Goodin:

Una volta ogni ora, i Mac infetti controllano un server di controllo per vedere se ci sono nuovi comandi che il malware dovrebbe eseguire o binari da eseguire. Finora, tuttavia, i ricercatori devono ancora osservare la consegna di alcun payload su nessuna delle 30,000 macchine infette, lasciando sconosciuto l'obiettivo finale del malware. La mancanza di un payload finale suggerisce che il malware potrebbe entrare in azione una volta soddisfatta una condizione sconosciuta.
Altrettanto curioso, il malware viene fornito con un meccanismo per rimuovere completamente se stesso, una capacità che è tipicamente riservata alle operazioni di alto livello. Finora, tuttavia, non ci sono segni che la funzione di autodistruzione sia stata utilizzata, sollevando la questione del perché il meccanismo esista.

A parte l'ovvio intrigo, anche Silver Sparrow è degno di nota perché è solo il secondo malware a funzionare in modo nativo sul nuovo chip M1 di Apple. E, sebbene nessun ricercatore lo abbia ancora visto in azione, Red Canary ha identificato come "una minaccia ragionevolmente seria, posizionata in modo univoco per fornire un carico utile potenzialmente impattante in un attimo".

Da asporto di SSL.com: Amiamo un bel mistero, ma odiamo la minaccia che Silver Sparrow potrebbe rappresentare per gli utenti. Il rapporto di Red Canary fornisce indicatori che gli utenti Mac possono utilizzare per autodiagnosticare se sono stati infettati e ti consigliamo di controllare questa risorsa ora.

Mozilla e Apple disapprovano le funzionalità hardware avanzate in Chrome 89

La versione beta di Chrome 89 di Google include alcune nuove API di interazione hardware di cui Mozilla e Apple non sono entusiasti. Le API consentono agli sviluppatori di comunicare con gamepad e tastiere utilizzando la logica specifica del dispositivo, consentono alle applicazioni Web di leggere e scrivere tag e un APO WebSerial consente la comunicazione diretta tra applicazioni Web e dispositivi con porte seriali. Come Tim Anderson in Il registro rapporti, Mozilla e Apple lo considerano pericoloso:

L'attuale posizione sugli standard di Mozilla ... ha affermato che "poiché molti dispositivi USB non sono progettati per gestire interazioni potenzialmente dannose sui protocolli USB e poiché tali dispositivi possono avere effetti significativi sul computer a cui sono collegati, riteniamo che i rischi per la sicurezza di esporre I dispositivi USB per il Web sono troppo ampi per rischiare di esporli agli utenti o per spiegare adeguatamente agli utenti finali per ottenere un consenso informato significativo ".

Inoltre, poiché Google, Mozilla e Apple non sono allineati sulla sicurezza di queste API, se solo uno di loro (Google) le implementa, potrebbe far sembrare che browser come Firefox e Safari non funzionino perché quei browser non lo hanno fatto.

Da asporto di SSL.com: Possiamo vedere il fascino del supporto avanzato dei dispositivi per i browser. Tuttavia, alla fine siamo d'accordo con Mozilla e Apple sul fatto che la continua espansione dei browser in aree normalmente limitate alle app native dovrebbe essere affrontata con cautela.

Il ricercatore denuncia una diffusa "confusione sulle dipendenze"

Gli attacchi alla catena di approvvigionamento sono stati molto di moda negli ultimi tempi. (Potresti ricordarlo dalla nostra precedente copertura di cose come SolarWinds ed Malwarebytes.) Questo mese, il ricercatore Alex Birsan ci ha mostrato una nuova versione spaventosa dell'attacco contro sviluppatori che mescolano dipendenze pubbliche e private quando utilizzano gestori di pacchetti come NPM o RubyGems. Birsan dettaglia la vulnerabilità su Medium. È un po 'complicato, ovviamente, ma essenzialmente ha scoperto che gli aggressori cercano nomi di pacchetti interni che vengono accidentalmente esposti dalle aziende attraverso cose come github o javascript. L'autore dell'attacco crea quindi quello che sembra essere un numero di versione più alto di quel pacchetto in un repository pubblico e quindi attende di vedere se viene scaricato e utilizzato dal bersaglio.

Nel suo articolo, Birsan ha affermato di aver rilevato questa vulnerabilità, che chiama "confusione di dipendenza" in più di 35 organizzazioni. Consigliamo di leggere il suo pezzo medio se sei interessato ai comandi e agli strumenti specifici che possono renderti vulnerabile a questo tipo di attacco e a come mitigare il rischio di confusione delle dipendenze.

Da asporto di SSL.com: Questo è un chiaro messaggio che gli sviluppatori che utilizzano un mix di dipendenze pubbliche e private dovrebbero esaminare attentamente i comandi o il software che utilizzano per gestire le dipendenze.

 

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.