Välkommen till februariupplagan av SSL.com Security Roundup!
Februari kan vara vår kortaste månad, men du skulle inte veta det genom att titta på alla nya nyheter om digital säkerhet. Vi har sammanställt dem på ett bekvämt ställe att läsa, så ha kul att komma ikapp de senaste 28 dagarna.
Apple att dölja begäran om säker surfning från Google
Apples senaste mobiloperativsystem, iOS 14.5, kommer med en ny webbläsarfunktion som varnar användare för farliga webbplatser och förhindrar överlämnande av IP-adresser till Google. Safari-funktionen kallas "Bedräglig webbplatsvarning" och även om den använder Googles säkra webbsidor för att identifiera skadliga webbplatser kommer Apple att omdirigera Googles begäran om säker surfning via en proxyserver för att undvika att läcka IP-adresser till Google. Som Ravie Lakshmanan rapporter för Hacker NewsKommer Apple också att vidta andra sekretessåtgärder eftersom de lutar till att öka integriteten för sina användare på andra sätt:
Den nya förändringen i iOS och iPadOS är en del av ett antal integritetsinriktade åtgärder som Apple har lanserat på senare tid, inklusive att ålägga apputvecklare att avslöja sin praxis för datainsamling i App Store-listor med hjälp av "sekretessnäringsetiketter."
Dessutom kommer iOS 14.5 också att kräva att appar ber om användarnas tillstånd innan de spåras över andra appar och webbplatser med hjälp av enhetens annonseringsidentifierare som en del av ett nytt ramverk som kallas App Tracking Transparency.
Den nya iOS 14.5 är för närvarande ute i beta, med förväntningar på att den kommer att släppas i våras.
Mystery Malware med okänt ändamål hittades på 30,000 XNUMX Mac-datorer
Som något av en modern spionfilm har en ny bit av skadlig kod som kallas "Silver Sparrow" hittats av säkerhetsforskare från Red Canary. Även om det har hittats på nästan 30,000 Mac-datorer, vet ingen riktigt vad det gör, förutom att leta efter beställningar. Som Ars Technica's Dan Goodin rapporterar:
En gång i timmen kontrollerar infekterade Mac-datorer en kontrollserver för att se om det finns några nya kommandon som skadlig programvara ska köras eller binära filer att utföra. Hittills har dock forskare ännu inte observerat leveransen av någon nyttolast på någon av de infekterade 30,000 XNUMX maskinerna, vilket gör att skadlig programvaras slutliga mål är okänt. Avsaknaden av en slutlig nyttolast tyder på att skadlig kod kan komma till handling när ett okänt villkor är uppfyllt.
Också nyfiken, skadlig programvara kommer med en mekanism för att helt ta bort sig själv, en förmåga som vanligtvis är reserverad för high-stealth-operationer. Hittills finns det dock inga tecken på att självförstöringsfunktionen har använts, vilket väcker frågan om varför mekanismen finns.
Bortsett från den uppenbara intriger är Silver Sparrow också anmärkningsvärt eftersom det bara är den andra skadliga programvaran som körs på det nya M1-chipet från Apple. Och även om inga forskare har sett det i aktion ännu, Red Canary har identifierat det som "ett ganska allvarligt hot, unikt positionerat för att leverera en potentiellt påverkande nyttolast med ett ögonblicks varsel."
Mozilla och Apple rynkar pannan på avancerade maskinvarufunktioner i Chrome 89
Googles Chrome 89 beta innehåller några nya maskinvaruinteraktions-API: er som Mozilla och Apple inte är glada över. API: erna tillåter utvecklare att kommunicera med gamepads och tangentbord med hjälp av enhetsspecifik logik, låta webbapplikationer läsa och skriva taggar, och en WebSerial APO möjliggör direkt kommunikation mellan webbapplikationer och enheter med seriella portar. Som Tim Anderson på Registret rapporter, Mozilla och Apple ser detta som farligt:
Mozillas nuvarande standardposition ... har sagt att ”eftersom många USB-enheter inte är utformade för att hantera potentiellt skadliga interaktioner över USB-protokollen och eftersom dessa enheter kan ha betydande effekter på den dator de är anslutna till, tror vi att säkerhetsriskerna med att exponera USB-enheter till Internet är för breda för att riskera att användare utsätts för dem eller för att förklara för slutanvändare ordentligt för att få meningsfullt informerat samtycke. ”
Dessutom, eftersom Google, Mozilla och Apple inte är anpassade till säkerheten för dessa API: er, om bara en av dem (Google) implementerar dem, kan det göra att webbläsare som Firefox och Safari verkar trasiga eftersom dessa webbläsare inte gjorde det.
Forskare exponerar utbredd "Beroendeförvirring"
Supply chain attacker har varit i nyheterna mycket nyligen. (Du kanske kommer ihåg detta från vår tidigare täckning av saker som Solarwinds och Malware.) Denna månad visade forskaren Alex Birsan oss en ny, läskig version av attacken som är mot utvecklare som blandar offentliga och privata beroenden när de använder pakethanterare som NPM eller RubyGems. Birsan beskriver sårbarheten på Medium. Det är naturligtvis lite komplicerat, men i grunden fann han att angripare letar efter namn på interna paket som av misstag exponeras av företag genom saker som github eller javascript. Angriparen skapar sedan det som verkar vara ett högre versionsnummer för det paketet i ett offentligt arkiv och väntar sedan för att se om det laddas ner och används av deras mål.
I sin artikel sa Birsan att de har upptäckt denna sårbarhet, som han kallar ”beroendeförvirring” i mer än 35 organisationer. Vi rekommenderar att du läser hans Mellanstycke om du är intresserad av specifika kommandon och verktyg som kan göra en sårbar för denna typ av attack, och hur du kan minska risken för beroendeförvirring.
