Welkom bij de februari-editie van de SSL.com Security Roundup!
Februari is misschien wel onze kortste maand, maar je zou het niet weten door naar al het opkomende nieuws over digitale veiligheid te kijken. We hebben ze verzameld op één handige plek om te lezen, dus veel plezier met het inhalen van de afgelopen 28 dagen of zo.
Apple om Safe Browsing-verzoeken van Google te verbergen
Het nieuwste mobiele besturingssysteem van Apple, iOS 14.5, wordt geleverd met een nieuwe browserfunctie die gebruikers waarschuwt voor gevaarlijke websites en voorkomt dat IP-adressen aan Google worden overgedragen. De Safari-functie heet "Fraudulent Website Warning" en hoewel het Google Safe Browsing gebruikt om schadelijke websites te identificeren, zal Apple Google Safe Browsing-verzoeken omleiden via een proxyserver om te voorkomen dat IP-adressen naar Google lekken. Zoals Ravie Lakshmanan rapporten voor The Hacker News, Zal Apple ook andere privacyvoorzorgsmaatregelen nemen, aangezien ze de privacy voor hun gebruikers op andere manieren willen versterken:
De nieuwe verandering in iOS en iPadOS maakt deel uit van een aantal privacygeoriënteerde maatregelen die Apple de laatste tijd heeft geïmplementeerd, waaronder het verplicht stellen van app-ontwikkelaars om hun praktijken voor gegevensverzameling bekend te maken in App Store-vermeldingen met behulp van 'privacyvoedingsetiketten'.
Bovendien vereist iOS 14.5 ook dat apps om toestemming van gebruikers vragen voordat ze ze volgen via andere apps en websites met behulp van de advertentie-ID van het apparaat als onderdeel van een nieuw raamwerk genaamd App Tracking Transparency.
De nieuwe iOS 14.5 is momenteel in bèta, met de verwachting dat deze dit voorjaar zal worden uitgebracht.
Mystery Malware met onbekend doel gevonden op 30,000 Macs
Net als iets uit een moderne spionagefilm, is een nieuw stukje malware, bekend als "Silver Sparrow", gevonden door beveiligingsonderzoekers van Red Canary. Hoewel het op bijna 30,000 Macs is aangetroffen, weet niemand echt wat het doet, afgezien van het controleren op bestellingen. Zoals Ars Technica's Dan Goodin meldt:
Een keer per uur controleren geïnfecteerde Macs een controleserver om te zien of er nieuwe opdrachten zijn die de malware zou moeten uitvoeren of binaire bestanden om uit te voeren. Tot nu toe hebben onderzoekers echter nog geen enkele lading op een van de geïnfecteerde 30,000 machines kunnen zien, waardoor het uiteindelijke doel van de malware onbekend is. Het ontbreken van een uiteindelijke payload suggereert dat de malware in actie kan komen zodra aan een onbekende voorwaarde is voldaan.
Ook merkwaardig is dat de malware wordt geleverd met een mechanisme om zichzelf volledig te verwijderen, een mogelijkheid die doorgaans is gereserveerd voor high-stealth-operaties. Tot dusver zijn er echter geen tekenen dat de zelfvernietigingsfunctie is gebruikt, wat de vraag doet rijzen waarom het mechanisme bestaat.
Afgezien van de voor de hand liggende intriges, valt Silver Sparrow ook op omdat het pas de tweede malware is die native op de nieuwe M1-chip van Apple draait. En hoewel nog geen onderzoekers het in actie hebben gezien, Red Canary heeft geïdentificeerd het als "een redelijk ernstige bedreiging, in een unieke positie om in een oogwenk een potentieel impactvolle lading te leveren."
Mozilla en Apple fronsen hun wenkbrauwen bij geavanceerde hardwarefuncties in Chrome 89
De bètaversie van Chrome 89 van Google bevat enkele nieuwe API's voor hardware-interactie waar Mozilla en Apple niet enthousiast over zijn. Met de API's kunnen ontwikkelaars communiceren met gamepads en toetsenborden met behulp van apparaatspecifieke logica, webtoepassingen tags laten lezen en schrijven, en een WebSerial APO maakt directe communicatie mogelijk tussen webtoepassingen en apparaten met seriële poorten. Zoals Tim Anderson bij Het register meldt, Mozilla en Apple zien dit als gevaarlijk:
Mozilla's huidige standaardenpositie ... heeft gezegd dat "omdat veel USB-apparaten niet zijn ontworpen om potentieel schadelijke interacties via de USB-protocollen af te handelen en omdat die apparaten aanzienlijke effecten kunnen hebben op de computer waarmee ze zijn verbonden, we geloven dat de veiligheidsrisico's van blootstelling USB-apparaten op het web zijn te breed om het risico te lopen gebruikers eraan bloot te stellen of om goed uit te leggen aan eindgebruikers om zinvolle geïnformeerde toestemming te verkrijgen. "
Bovendien, omdat Google, Mozilla en Apple niet zijn afgestemd op de veiligheid van deze API's, als slechts één van hen (Google) ze implementeert, kan het ervoor zorgen dat browsers zoals Firefox en Safari kapot lijken omdat die browsers dat niet deden.
Onderzoeker legt wijdverspreide "afhankelijkheidsverwarring" bloot
Supply chain-aanvallen zijn de laatste tijd veel in het nieuws geweest. (Misschien herinner je je dit van onze eerdere berichtgeving over zaken als SolarWinds en Malwarebytes.) Deze maand liet onderzoeker Alex Birsan ons een nieuwe, enge versie zien van de aanval die gericht is tegen ontwikkelaars die publieke en private afhankelijkheden combineren bij het gebruik van pakketbeheerders zoals NPM of RubyGems. Birsan beschrijft de kwetsbaarheid op Medium Het is natuurlijk een beetje ingewikkeld, maar in wezen ontdekte hij dat aanvallers zoeken naar namen van interne pakketten die per ongeluk door bedrijven worden blootgesteld via zaken als github of javascript. De aanvaller maakt vervolgens wat lijkt op een hoger versienummer van dat pakket in een openbare opslagplaats en wacht vervolgens om te zien of het wordt gedownload en gebruikt door het doelwit.
In zijn artikel zei Birsan dat ze deze kwetsbaarheid hebben ontdekt, die hij "afhankelijkheidsverwarring" noemt in meer dan 35 organisaties. We raden aan om zijn medium stuk als je geïnteresseerd bent in de specifieke commando's en tools die iemand kwetsbaar kunnen maken voor dit type aanval, en hoe je het risico van afhankelijkheidsverwarring kunt verkleinen.
