Bem-vindo à edição de fevereiro do SSL.com Security Roundup!
Fevereiro pode ser o nosso mês mais curto, mas você não saberia olhando para todas as notícias emergentes sobre segurança digital. Nós os reunimos em um lugar conveniente para ler, então divirta-se atualizando-os sobre os últimos 28 dias ou mais.
Apple para ocultar solicitações de navegação segura do Google
O mais recente sistema operacional móvel da Apple, iOS 14.5, vem com um novo recurso de navegador que alerta os usuários sobre sites perigosos e impede a entrega de endereços IP ao Google. O recurso Safari é chamado de “Aviso de site fraudulento” e, embora use a Navegação segura do Google para identificar sites prejudiciais, a Apple redirecionará as solicitações de Navegação segura do Google por meio de um servidor proxy para evitar o vazamento de endereços IP para o Google. Como Ravie Lakshmanan relatórios para The Hacker News, A Apple também tomará outras precauções de privacidade, já que se inclina para aumentar a privacidade de seus usuários de outras maneiras:
A nova mudança no iOS e no iPadOS é parte de uma série de medidas orientadas para a privacidade que a Apple tem implementado recentemente, incluindo obrigar os desenvolvedores de aplicativos a divulgar suas práticas de coleta de dados nas listagens da App Store usando "rótulos nutricionais de privacidade".
Além disso, o iOS 14.5 também exigirá que os aplicativos solicitem permissão dos usuários antes de rastreá-los em outros aplicativos e sites usando o identificador de publicidade do dispositivo como parte de uma nova estrutura chamada Transparência de rastreamento de aplicativos.
O novo iOS 14.5 está atualmente em beta, com expectativas de que será lançado nesta primavera.
Malware misterioso com finalidade desconhecida encontrado em 30,000 Macs
Como algo saído de um filme de espionagem moderno, um novo malware conhecido como “Silver Sparrow” foi encontrado por pesquisadores de segurança do Red Canary. Embora tenha sido encontrado em quase 30,000 Macs, ninguém sabe realmente o que ele faz, além de verificar se há pedidos. Como Ars Technica's Relatórios Dan Goodin:
Uma vez por hora, os Macs infectados verificam um servidor de controle para ver se há novos comandos que o malware deve executar ou binários para executar. Até agora, no entanto, os pesquisadores ainda não observaram a entrega de qualquer carga em qualquer uma das 30,000 máquinas infectadas, deixando o objetivo final do malware desconhecido. A falta de uma carga final sugere que o malware pode entrar em ação assim que uma condição desconhecida for atendida.
Também curioso, o malware vem com um mecanismo para se remover completamente, um recurso normalmente reservado para operações de alta furtividade. Até agora, porém, não há sinais de que o recurso de autodestruição tenha sido usado, levantando a questão de por que o mecanismo existe.
Além da intriga óbvia, o Silver Sparrow também é digno de nota porque é apenas o segundo malware a ser executado nativamente no novo chip M1 da Apple. E, embora nenhum pesquisador o tenha visto em ação ainda, Red Canary identificou como "uma ameaça razoavelmente séria, posicionada de maneira única para entregar uma carga útil potencialmente impactante a qualquer momento".
Mozilla e Apple desaprovam recursos avançados de hardware no Chrome 89
O Chrome 89 beta do Google inclui algumas novas APIs de interação de hardware com as quais a Mozilla e a Apple não estão entusiasmadas. As APIs permitem que os desenvolvedores se comuniquem com gamepads e teclados usando lógica específica do dispositivo, permitem que aplicativos da web leiam e gravem tags e um APO WebSerial permite a comunicação direta entre aplicativos da web e dispositivos com portas seriais. Como Tim Anderson em O registro relatórios, Mozilla e Apple consideram isso perigoso:
A posição atual dos padrões da Mozilla ... disse que “porque muitos dispositivos USB não são projetados para lidar com interações potencialmente maliciosas nos protocolos USB e porque esses dispositivos podem ter efeitos significativos no computador ao qual estão conectados, acreditamos que os riscos de segurança de expor Os dispositivos USB para a Web são muito amplos para expor os usuários a eles ou para explicar adequadamente aos usuários finais para obter consentimento informado significativo. ”
Além disso, como Google, Mozilla e Apple não estão alinhados quanto à segurança dessas APIs, se apenas um deles (Google) as implementar, navegadores como Firefox e Safari podem parecer corrompidos porque esses navegadores não o fizeram.
Pesquisador expõe "confusão de dependência" generalizada
Ataques à cadeia de suprimentos têm sido muito notícia recentemente. (Você deve se lembrar disso de nossa cobertura anterior de coisas como SolarWinds e Malwarebytes.) Este mês, o pesquisador Alex Birsan nos mostrou uma versão nova e assustadora do ataque que é contra desenvolvedores que misturam dependências públicas e privadas ao usar gerenciadores de pacotes como NPM ou RubyGems. Birsan detalha a vulnerabilidade no Medium. É um pouco complicado, é claro, mas essencialmente ele descobriu que os invasores procuram nomes de pacotes internos que são acidentalmente expostos por empresas por meio de coisas como github ou javascript. O invasor então cria o que parece ser um número de versão superior desse pacote em um repositório público e, em seguida, espera para ver se ele foi baixado e usado por seu destino.
Em seu artigo, Birsan disse que eles detectaram essa vulnerabilidade, que ele chama de “confusão de dependência” em mais de 35 organizações. Recomendamos a leitura dele pedaço médio se você estiver interessado nos comandos e ferramentas específicos que podem tornar alguém vulnerável a esse tipo de ataque e como reduzir o risco de confusão de dependência.
