Witamy w lutowym wydaniu podsumowania dotyczącego bezpieczeństwa SSL.com!
Luty może być naszym najkrótszym miesiącem, ale nie znałbyś tego, patrząc na wszystkie pojawiające się wiadomości o bezpieczeństwie cyfrowym. Zebraliśmy je w jednym wygodnym miejscu do czytania, więc baw się dobrze, nadrabiając zaległości z ostatnich 28 dni.
Apple ukrywa żądania bezpiecznego przeglądania od Google
Najnowszy mobilny system operacyjny Apple, iOS 14.5, zawiera nową funkcję przeglądarki, która ostrzega użytkowników o niebezpiecznych witrynach internetowych i zapobiega przekazywaniu adresów IP do Google. Funkcja Safari nosi nazwę „Ostrzeżenie o fałszywych witrynach internetowych” i chociaż wykorzystuje Google Safe Browsing do identyfikowania szkodliwych witryn, Apple przekierowuje żądania Google Safe Browsing przez serwer proxy, aby uniknąć wycieku adresów IP do Google. Jak Ravie Lakshmanan raporty dla Wiadomości Hackera, Apple podejmie również inne środki ostrożności dotyczące prywatności, ponieważ skłania się ku zwiększeniu prywatności swoich użytkowników na inne sposoby:
Nowa zmiana w iOS i iPadOS jest częścią szeregu środków zorientowanych na prywatność, które Apple wprowadził ostatnio, w tym upoważnienia twórców aplikacji do ujawniania swoich praktyk gromadzenia danych na listach App Store za pomocą „etykiet o wartości odżywczej prywatności”.
Ponadto iOS 14.5 będzie również wymagał od aplikacji, aby prosiły o zgodę użytkowników przed śledzeniem ich w innych aplikacjach i witrynach internetowych przy użyciu identyfikatora reklamowego urządzenia w ramach nowej struktury o nazwie Przejrzystość śledzenia aplikacji.
Nowy iOS 14.5 jest obecnie w fazie beta i oczekuje się, że zostanie wydany wiosną tego roku.
Tajemnicze złośliwe oprogramowanie o nieznanym celu znalezione na 30,000 XNUMX komputerów Mac
Jak coś ze współczesnego filmu szpiegowskiego, badacze bezpieczeństwa z Czerwonych Kanarów znaleźli nowy szkodliwy program znany jako „Srebrny Wróbel”. Chociaż znaleziono go na prawie 30,000 XNUMX komputerów Mac, nikt tak naprawdę nie wie, co robi, poza sprawdzaniem zamówień. Tak jak Ars Technica's Dan Goodin donosi:
Raz na godzinę zainfekowane komputery Mac sprawdzają serwer kontrolny, aby sprawdzić, czy są jakieś nowe polecenia, które złośliwe oprogramowanie powinno uruchomić, lub pliki binarne do wykonania. Jak dotąd jednak badacze nie zaobserwowali jeszcze dostarczenia jakiegokolwiek ładunku na żadnej z 30,000 XNUMX zainfekowanych maszyn, co nie oznacza, że ostateczny cel szkodliwego oprogramowania jest nieznany. Brak końcowego ładunku sugeruje, że złośliwe oprogramowanie może zacząć działać, gdy zostanie spełniony nieznany warunek.
Co ciekawe, złośliwe oprogramowanie jest wyposażone w mechanizm umożliwiający całkowite usunięcie samego siebie, co jest zwykle zarezerwowane dla operacji o wysokim stopniu ukrycia. Jak dotąd jednak nic nie wskazuje na to, że zastosowano funkcję autodestrukcji, co nasuwa pytanie, dlaczego ten mechanizm istnieje.
Oprócz oczywistej intrygi, Silver Sparrow jest również godny uwagi, ponieważ jest to dopiero drugie złośliwe oprogramowanie, które działa natywnie na nowym chipie M1 firmy Apple. I chociaż żaden badacz nie widział go jeszcze w akcji, Zidentyfikowano Red Canary jest to „dość poważne zagrożenie, mające wyjątkową możliwość dostarczenia potencjalnie potężnego ładunku w jednej chwili”.
Mozilla i Apple patrzą na zaawansowane funkcje sprzętowe w Chrome 89
Wersja beta przeglądarki Google Chrome 89 zawiera kilka nowych interfejsów API interakcji sprzętowych, którymi Mozilla i Apple nie są zachwyceni. Interfejsy API umożliwiają programistom komunikację z gamepadami i klawiaturami przy użyciu logiki specyficznej dla urządzenia, pozwalają aplikacjom internetowym na odczytywanie i zapisywanie tagów, a WebSerial APO umożliwia bezpośrednią komunikację między aplikacjami internetowymi i urządzeniami z portami szeregowymi. Jak Tim Anderson w Rejestr Raporty, Mozilla i Apple uważają to za niebezpieczne:
Obecne stanowisko Mozilli w zakresie standardów… mówi, że „ponieważ wiele urządzeń USB nie jest zaprojektowanych do obsługi potencjalnie złośliwych interakcji za pośrednictwem protokołów USB i ponieważ te urządzenia mogą mieć znaczący wpływ na komputer, do którego są podłączone, uważamy, że ryzyko bezpieczeństwa związane z ujawnieniem Urządzenia USB w Internecie są zbyt szerokie, aby narażać użytkowników na ich kontakt lub odpowiednio wyjaśniać użytkownikom końcowym, aby uzyskać sensowną świadomą zgodę ”.
Ponadto, ponieważ Google, Mozilla i Apple nie są dostosowane do bezpieczeństwa tych interfejsów API, jeśli tylko jeden z nich (Google) je zaimplementuje, może to spowodować, że przeglądarki takie jak Firefox i Safari będą wyglądać na zepsute, ponieważ te przeglądarki nie.
Badacz ujawnia powszechne „zamieszanie w zależności od zależności”
Ataki na łańcuch dostaw były ostatnio bardzo popularne. (Być może pamiętasz to z naszych poprzednich relacji, takich jak SolarWinds i Malwarebytes.) W tym miesiącu badacz Alex Birsan pokazał nam nową, przerażającą wersję ataku skierowanego przeciwko programistom, którzy mieszają zależności publiczne i prywatne podczas korzystania z menedżerów pakietów, takich jak NPM lub RubyGems. Birsan szczegółowo opisuje lukę na Medium. Jest to oczywiście trochę skomplikowane, ale zasadniczo odkrył, że osoby atakujące szukają nazw wewnętrznych pakietów, które są przypadkowo ujawniane przez firmy za pośrednictwem takich rzeczy, jak github lub javascript. Atakujący tworzy następnie coś, co wydaje się być wyższym numerem wersji tego pakietu w repozytorium publicznym, a następnie czeka, aby sprawdzić, czy jest on pobierany i używany przez cel.
W swoim artykule Birsan powiedział, że wykryli tę lukę, którą nazywa „zamieszaniem w zależności” w ponad 35 organizacjach. Zalecamy przeczytanie jego Średni kawałek jeśli interesują Cię konkretne polecenia i narzędzia, które mogą narazić użytkownika na tego typu atak, oraz sposoby ograniczenia ryzyka pomyłki związanej z zależnością.
