Добро пожаловать в февральский выпуск обзора безопасности SSL.com!
Февраль может быть нашим самым коротким месяцем, но вы не узнаете его, просматривая все появляющиеся новости о цифровой безопасности. Мы собрали их в одном удобном месте для чтения, так что получайте удовольствие, узнавая последние 28 дней или около того.
Apple, чтобы скрыть запросы безопасного просмотра от Google
Последняя мобильная операционная система Apple, iOS 14.5, поставляется с новой функцией браузера, которая предупреждает пользователей об опасных веб-сайтах и предотвращает передачу IP-адресов в Google. Функция Safari называется «Предупреждение о мошеннических веб-сайтах», и хотя она использует безопасный просмотр Google для выявления вредоносных веб-сайтов, Apple будет перенаправлять запросы безопасного просмотра Google через прокси-сервер, чтобы избежать утечки IP-адресов в Google. Как Рави Лакшманан отчеты для Новости Хакер, Apple примет и другие меры предосторожности в отношении конфиденциальности, поскольку они склоняются к повышению конфиденциальности для своих пользователей другими способами:
Новое изменение в iOS и iPadOS является частью ряда ориентированных на конфиденциальность мер, которые Apple внедряет в последнее время, включая требование к разработчикам приложений раскрывать свои методы сбора данных в списках App Store с помощью «этикеток для обеспечения конфиденциальности».
Кроме того, iOS 14.5 также потребует, чтобы приложения запрашивали разрешение у пользователей, прежде чем отслеживать их в других приложениях и на веб-сайтах с использованием рекламного идентификатора устройства в рамках новой структуры, получившей название «Прозрачность отслеживания приложений».
Новая iOS 14.5 в настоящее время находится в стадии бета-тестирования, и ожидается, что она будет выпущена этой весной.
На 30,000 XNUMX компьютеров Mac обнаружено загадочное вредоносное ПО с неизвестной целью
Подобно чему-то из современного шпионского фильма, исследователи из Red Canary обнаружили новое вредоносное ПО, известное как Silver Sparrow. Хотя он был обнаружен почти на 30,000 XNUMX Mac, никто толком не знает, что он делает, кроме проверки заказов. В качестве Арс Техника Дэн Гудин сообщает:
Раз в час зараженные Mac проверяют сервер управления, чтобы узнать, есть ли какие-либо новые команды, которые вредоносная программа должна запускать, или исполняемые файлы. Однако до сих пор исследователи не наблюдали доставки какой-либо полезной нагрузки на какую-либо из зараженных 30,000 XNUMX машин, поэтому конечная цель вредоносного ПО остается неизвестной. Отсутствие окончательной полезной нагрузки предполагает, что вредоносная программа может начать действовать при выполнении неизвестного условия.
Также любопытно, что вредоносная программа имеет механизм полного удаления, который обычно зарезервирован для операций с высокой степенью скрытности. Однако пока нет никаких признаков того, что функция самоуничтожения использовалась, что поднимает вопрос о том, почему этот механизм существует.
Помимо очевидной интриги, Silver Sparrow заслуживает внимания еще и потому, что это лишь вторая вредоносная программа, изначально работающая на новом чипе M1 от Apple. И хотя исследователи еще не видели его в действии, Красная Канарейка определила это как «достаточно серьезная угроза, имеющая уникальные возможности доставить потенциально опасную полезную нагрузку в любой момент».
Mozilla и Apple осуждают расширенные аппаратные функции в Chrome 89
Бета-версия Google Chrome 89 включает в себя несколько новых API взаимодействия с оборудованием, которые не в восторге от Mozilla и Apple. API-интерфейсы позволяют разработчикам взаимодействовать с геймпадами и клавиатурами с использованием логики, зависящей от устройства, позволяют веб-приложениям читать и записывать теги, а WebSerial APO обеспечивает прямую связь между веб-приложениями и устройствами с последовательными портами. Как Тим Андерсон в Регистр отчеты, Mozilla и Apple считают это опасным:
Текущая позиция Mozilla в отношении стандартов ... гласит, что «поскольку многие USB-устройства не предназначены для обработки потенциально вредоносных взаимодействий по протоколам USB и поскольку эти устройства могут оказывать значительное влияние на компьютер, к которому они подключены, мы считаем, что риски безопасности, связанные с раскрытием USB-устройства, подключенные к Интернету, слишком широки, чтобы подвергать их риску подвергнуть пользователей к ним или должным образом объяснить конечным пользователям, чтобы получить значимое информированное согласие ».
Кроме того, поскольку Google, Mozilla и Apple не согласованы в вопросах безопасности этих API, если только один из них (Google) реализует их, это может привести к тому, что браузеры, такие как Firefox и Safari, будут казаться сломанными, потому что эти браузеры этого не сделали.
Исследователь выявляет широко распространенную «путаницу в зависимости»
В последнее время атаки на цепочки поставок часто упоминаются в новостях. (Возможно, вы помните это из нашего предыдущего обзора таких вещей, как SolarWinds и Malwarebytes.) В этом месяце исследователь Алекс Бирсан показал нам новую, пугающую версию атаки, направленную против разработчиков, которые смешивают публичные и частные зависимости при использовании менеджеров пакетов, таких как NPM или RubyGems. Бирсан подробно описывает уязвимость на Medium. Конечно, это немного сложно, но, по сути, он обнаружил, что злоумышленники ищут имена внутренних пакетов, которые случайно раскрываются компаниями через такие вещи, как github или javascript. Затем злоумышленник создает версию этого пакета с более высоким номером в общедоступном репозитории, а затем ждет, чтобы увидеть, будет ли он загружен и использован его целью.
В своей статье Бирсан сказал, что они обнаружили эту уязвимость, которую он называет «путаницей зависимостей» в более чем 35 организациях. Рекомендуем прочитать его Средняя часть если вас интересуют конкретные команды и инструменты, которые могут сделать человека уязвимым для этого типа атак, и как снизить риск путаницы с зависимостями.
