Уязвимости - новости по уязвимостям

Медицинские приложения раскрывают данные миллионов пользователей

Результаты анализа 30 популярных приложений мобильного здравоохранения показали, что они дают доступ к истории болезней миллионов людей.

Исследование, проведенное партнером маркетингового агентства Knight Ink А. Найт от имени компании Approov по защите мобильных API-интерфейсов, показало, что приложения мобильного здравоохранения уязвимы к API-атакам. В рамках подобных атак неавторизованный злоумышленник может получить доступ к защищенной медицинской информации и персональным данным жертвы.

В ходе исследования был проведен анализ 30 популярных приложений мобильного здравоохранения со средним числом загрузок около 772 тыс. Ни в одном из проанализированных приложений не было реализовано закрепление сертификатов, подвергая пользователей угрозам MitM-атак, а 77% из них содержали встроенные API-ключи, токены и учетные данные. Половина API не аутентифицировала запросы с помощью токенов, а четверть приложений (27%) не были защищены от обратной разработки.

Половина записей, предоставляемых приложениями мобильного здравоохранения, содержала имена, адреса, даты рождения, номера социального страхования, данные об аллергиях, лекарствах и другую конфиденциальную информацию пользователей.

По словам эксперта, все протестированные конечные точки API были уязвимы к BOLA-атакам (broken object level authorization), обеспечивающим доступ к конфиденциальным медицинским данным даже пациентов, не привязанных к учетной записи врача. Половина протестированных API обеспечивала доступ к информации о патологиях, рентгеновским снимкам и клиническим результатам других пациентов.

Полицейские задержали торговца персональными данными россиян

Российские правоохранители задержали торговца персональными данными россиян. Об этом сообщает источник в правоохранительных органах.

Сотрудниками правоохранительных органов, а также специалистами в области компьютерной безопасности был установлен Федоров Ален Евгеньевич, который, по данным следствия, занимался продажей личных персональных данных россиян: копиями их паспортов, выписками из банков и другими документами потерпевших.

Ему предъявлено обвинение в совершении преступления, предусмотренного частью 4 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации, причинивший крупный ущерб, совершенный организованной группой и создавший угрозу наступления тяжких последствий»).

Если вина Фёдорова будет доказана, то ему грозит до семи лет лишения свободы. Мужчина согласился с предъявленными обвинениями и уже дал признательные показания.

Android-приложение с миллиардом установок и проблемами безопасности три месяца не получает обновление

Популярное Android-приложение, загруженное более миллиарда раз, содержит уязвимость, угрожающую безопасности мобильных устройств, пишет издание ZDNet. Сообщается, что разработчик уже более трёх месяцев не может закрыть обнаруженную брешь. Речь идёт об Android-версии программы SHAREit, которая позволяет пользователям обмениваться файлами с друзьями и другими устройствами.

Выявленные в приложении уязвимости позволяют удалённо выполнить вредоносный код на мобильных устройствах с установленной программой. Об этом сообщили специалисты из компании Trend Micro, посвятившие проблеме отдельный отчёт, опубликованный в понедельник. Эксперты поясняют, что корни проблемы кроются в отсутствии необходимых ограничений на использование кода приложения. Благодаря этому злоумышленник сможет не только выполнить свой код, но и перезаписать файлы приложения, хранящиеся локально, а также установить сторонние программы без ведома владельца устройства.

В отчёте также указывается, что приложение SHAREit уязвимо к так называемой атаке Man-in-the-Disk, которую эксперты по безопасности из Check Point описали ещё в 2018 году. Суть уязвимости заключается в незащищённом хранении конфиденциальных данных мобильного приложения во внешнем хранилище (SD-карты или USB-накопителя), где любое приложение имеет доступ к данным других приложений хранилища, благодаря чему данные можно удалить или переписать.

Эксперты Trend Micro попытались связаться к разработчикам приложения SHAREit, но те так и не вышли на связь. Попытки связаться с разработчиками программы продолжались в течение трёх месяцев, однако все обращения экспертов остались без ответа. Специалисты также поделились своими исследованиями с Google, но не стали вдаваться в детали ответа владельца платформы Play Маркет.

Разработчики приложения SHAREit на своём официальном веб-сайте заявляют, что их программным обеспечением пользовались 1,8 миллиарда человек из 200 стран мира. Уязвимость приложения не охватывает iOS-версию SHAREit, поскольку она написана с использованием другой кодовой базы, отмечают специалисты по цифровой безопасности.

Самые популярные пароли 2020 года

Хотя на дворе XXI век, заставить людей мыть руки смогла только эпидемия COVID-19. Вероятно, нечто подобное должно произойти в мире цифровой безопасности, чтобы люди перестали массово использовать очевидные пароли типа «пароль» или «123». Но пока этого не происходит. Аналитика показывает, что год за годом подавляющее большинство людей использует одни и те же простейшие пароли, на взлом которых бот-хакер тратит менее секунды.

Компания North Pass по разработке приложений по безопасности опубликовала список самых популярных 200 паролей 2020 года. Все представленные в перечне секретные слова выявлены в процессе анализа утечек и взломов в прошлом году. В списке против каждого пароля можно увидеть, сколько людей его используют одновременно, время, которое необходимо боту на взлом пароля и частота взломов этого пароля в течение года.

Самым массовым остаётся пароль «123456» или один из множества его вариантов. Такой пароль взламывается менее чем за секунду. На второе место вышел новый пароль «picture1», который сменил популярный в 2019 году пароль «test1». На взлом этого «сложного» пароля боту требуется около трёх часов и случаев его взлома пока немного. Годами продолжают лидировать два других пароля: «qwerty» и «password» либо их незначительные модификации. Все они также взламываются менее секунды. В прошлом году в топ вырвалось слово «senha», что означает «пароль» по-португальски. На его взлом ушло целых 10 секунд, что погоды не делает.

Загадочный вирус Silver Sparrow заразил 30 тыс. компьютеров Apple Mac

Принято считать, что компьютеры Apple в значительной степени менее восприимчивы к вредоносным программам по сравнению с устройствами на базе Windows. Однако это не означает, что компьютеры Mac полностью защищены от вирусов. Это подтверждают исследователи из Malwarebytes и Red Canary, которые обнаружили загадочный вредонос примерно на 30 тыс. машинах Mac.

Загадочность вредоносной программы, которая получила название Silver Sparrow, заключается в том, что исследователи не смогли до конца понять её предназначение, а также оценить уровень проблем, которые она может принести владельцам заражённых устройств.

В процессе изучения вредоносной программы исследователи обнаружили встроенный механизм самоуничтожения, позволяющий скрыть любые следы присутствия Silver Sparrow на компьютере. Также было установлено, что вирус распространяется не только на компьютерах Mac с чипами Intel, но и на новых моделях, основой которых стал собственный процессор Apple M1. На данный момент нет свидетельств того, что ПО Silver Sparrow использовалось в реальных кибератаках.

Стоит отметить, что вредоносная программа Silver Sparrow была обнаружена всего через неделю после того, как исследователи из Objective-See выявили первый вирус, ориентированный на новые компьютеры Mac на базе чипа Apple M1. Это говорит о том, что злоумышленники осуществляют разработку вредоносного программного обеспечения, которое предназначено для совершения атак на новые компьютеры Apple Mac.

«Киберпреступление как услуга» — правительства разных стран начали нанимать хакерские группировки

Современные хакерские атаки стали настолько квалифицированными и хорошо подготовленными, что власти некоторых стран прибегают к услугам киберпреступников, чтобы скрыть своё участие. К такому выводу пришли специалисты компании BlackBerry, работающей в сфере информационной безопасности.

В своём отчёте специалисты предупреждают о появлении схем «киберпреступление как услуга» (cybercrime-as-a-service), благодаря которым правительственные хакеры могут работать со сторонними группировками в рамках реализации разного рода кампаний. Такие кампании, как правило, включают в себя фишинг и внедрение вредоносного программного обеспечения в целевые сети.

В результате хакеры получают финансовое вознаграждение, а власти страны-заказчика интересующие данные или доступ во взломанные сети. Поскольку хакеры используют для проведения вредоносной кампании собственную инфраструктуру и методы, связать такую атаку со страной-заказчиком крайне затруднительно.

Исследователи отмечают, что используемые в масштабных хакерских атаках методы и география жертв слишком разнообразны, чтобы соответствовать интересам только одного злоумышленника.«Идентификация злоумышленников может быть сложной задачей для исследователей в сфере информационной безопасности из-за нескольких факторов, таких как перекрывающаяся инфраструктура, несопоставимые цели и необычная тактика. Это утверждение особенно точно характеризует случаи, когда на аутсорсинг передаётся выполнение только части задач вредоносной кампании», — сказано в отчёте BlackBerry.

Исследователи считают, что защита сетей от хорошо продуманных и подготовленных атак является сложной задачей. Для предотвращения вторжения организациям необходимо организовывать постоянную проверку сетей на предмет необычной активности, которая может классифицироваться как подозрительная. Кроме того, удалённый доступ к конфиденциальной информации должны иметь только те сотрудники, которым она действительно нужна для выполнения своих обязанностей.

Добавлено спустя 17 секунд:

В Google Play появился троян, вымогающий у пользователей деньги

«Лаборатория Касперского» обнаружила в Google Play мошенническое приложение. Оно обещает пользователям бонусную карту магазина одной из крупнейших торговых сетей, однако на самом деле пытается получить доступ к данным карты.

Как пишет сегодня «РИА Новости», эксперты выявили в популярном мессенджере сообщения об акции в магазинах. Когда пользователи переходят по ссылке, они попадают на страницу в Google Play.После скачивания приложение просит оформить платную подписку, но затем появляется лишь пустая страница с логотипом магазина.

«У пользователя снимались деньги, но никакой бонусной карты он не получал», – прокомментировали в «Лаборатории Касперского». Троян выдает себя за цифровые дисконтные, бонусные и подарочные карты различных популярных в России магазинов. «Подписка» на приложение стоит 600 руб. в неделю, на данный момент мошенническую программу скачали около 10 тыс. пользователей.

«Злоумышленники усыпляют бдительность пользователей не только c помощью логотипов и узнаваемых цветов брендов, но и накрученных оценок и комментариев. У найденных поддельных приложений были высокие оценки и много положительных откликов», – предупредил исследователь мобильных угроз в «Лаборатории Касперского» Игорь Головин.

Хакерская атака через уязвимость в Microsoft Exchange Server грозит обернуться новым кризисом кибербезопасности

Уязвимость в программном обеспечении Microsoft Exchange Server позволила хакерам взломать не менее 60 тыс. организаций по всему миру. По мнению специалистов в сфере информационной безопасности, злоумышленники пытаются заразить как можно больше устройств до того, как Microsoft сумеет обезопасить своих клиентов. Источник считает, что дальнейшее развитие сложившейся ситуации может обернуться «глобальным кризисом кибербезопасности».

В сообщении сказано, что за атакой предположительно стоят китайские хакеры из группировки Hafnium, а их целями являются государственные и коммерческие предприятия, в том числе банки, электростанции, образовательные учреждения и др. Предполагается, что на заключительных этапах вредоносной кампании хакерам удалось автоматизировать процесс, за счёт чего в кратчайшие сроки были взломаны тысячи других компаний по всему миру.

«Мы предпринимаем ответные меры для оценки и устранения последствий. Угроза сохраняется и развивается, поэтому мы призываем операторов интернет-сетей отнестись к ней очень серьёзно», — прокомментировал данный вопрос представитель Белого дома, подтвердив тем самым озабоченность американских властей сложившейся ситуацией.

Представитель компании Volexity, работающей в сфере информационной безопасности, сообщил о том, что хакерская группировка Hafnium несколько месяцев использовала уязвимость в Exchange Server для взлома разных организаций и компаний. Первоначально количество жертв было небольшим, поскольку злоумышленники не хотели привлекать к себе внимание, но позднее кампания приобрела иные масштабы.

Стоит отметить, что так называемый кризис кибербезопасности случился всего через несколько месяцев после другой масштабной кампании, когда хакеры внедрили вредоносное ПО в обновления для продуктов компании SolarWinds. В результате той атаки злоумышленникам удалось взломать девять федеральных агентств США и не менее 100 компаний.

Десятки тысяч приложений для Android и iOS ставят под угрозу пользовательские данные

Специалисты компании Zimperium, работающей в сфере информационной безопасности, проанализировали более 1,3 млн приложений для устройств на базе Android и iOS и пришли к неутешительному выводу. Дело в том, что они обнаружили около 84 тыс. Android-приложений и 47 тыс. приложений для iOS, которые используют в работе общедоступные серверы вместо частных, что является потенциальной угрозой конфиденциальности пользовательских данных.

Ещё одна проблема заключается в том, что в ряде случаев приложения неверно сконфигурированы, что также может привести к утечке данных. Источник отмечает, что часто разработчики вместо создания собственных серверов для маршрутизации конфиденциальных данных используют общедоступные службы, такие как Amazon Web Services, Google Cloud и Microsoft Azure.

Опасность использования таких приложений ещё и в том, что с их помощью могут извлекаться не только данные для дальнейшего показа персонализированной рекламы, но и конфиденциальная информация, в том числе финансовые и платёжные реквизиты, пароли и др. Кроме того, некоторые приложения позволяют удалённо перезаписывать конфиденциальные данные, что может использоваться злоумышленниками для разного рода мошенничества.

Сотрудники Zimperium сообщили некоторым разработчикам проблемных приложений о существующей угрозе безопасности конфиденциальных данных пользователей, но неизвестно, будут ли они работать над её устранением. Также отмечается, что для компании Zimperium задача по оповещению десятков тысяч разработчиков практически недостижима. Поэтому какие-то конкретные названия компаний и софтверных продуктов в отчёте не упоминаются.

Провайдер MSP создаст собственную команду для защиты от хакеров

Компания NinjaRMM, предоставляющая программное обеспечение для управления конечными точками поставщикам управляемых услуг (MSP), намерена создать собственную «красную команду» специалистов (Red Team) для повышения кибербезопасности. Решение было принято в связи с многочисленными атаками за последние годы на MSP.

В то время как организация из 200 человек уже работает с круглосуточным поставщиком услуг безопасности и фирмой по оценке рисков, чтобы обнаруживать проблемы, команда станет следующим логическим шагом к повышению безопасности, принимая на себя роль злоумышленника, пояснил ИБ-директор Льюис Хьюнь.

Вместо того чтобы заменять функции обеспечения безопасности существующих поставщиков, внутренняя команда предоставит NinjaRMM возможность проверять меры безопасности и выявлять угрозы. Компания планирует нанять до трех человек в красную команду.

Команда NinjaRMM сосредоточится на трех областях безопасности — атаках на сеть, атаках на код и атаках на сотрудников компании. Ее цель — убедиться, что средства управления безопасностью работают должным образом и выяснить, могут ли необнаруженные уязвимости сделать компанию уязвимой ко взлому.

Атаки на MSP побудили Агентство по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США предупредить и проинформировать поставщиков управляемых услуг о злоумышленниках, нацеленных на отрасль.

Использование MSP значительно увеличивает площадь инфраструктуры виртуального предприятия и количество привилегированных учетных записей, создавая большую поверхность атаки для киберпреступников.

Google: Северокорейские хакеры атакуют исследователей в сфере информационной безопасности

Специалисты подразделения Google Threat Analysis Group предупреждают о том, что группа хакеров предположительно при поддержке правительства Северной Кореи продолжает атаковать исследователей в сфере информационной безопасности. Они предлагают им сотрудничество от имени поддельной компании по кибербезопасности, а в процессе взаимодействия внедряют вредоносное программное обеспечение на компьютеры жертв.

Деятельность этой группировки впервые привлекла внимание исследователей из Google TAG в январе этого года. В сообщении говорится о том, что для организации своей деятельности хакеры создали сеть профилей в разных социальных сетях, в том числе Twitter, LinkedIn и Keybase. Злоумышленники от имени несуществующей компании по кибербезопасности связываются с исследователями и предлагают сотрудничество, в процессе которого отправляют им файлы, содержащие вредоносный код.

«Чтобы связаться с исследователями в сфере информационной безопасности и завоевать их доверие, злоумышленники создали исследовательский блог и несколько профилей в Twitter для взаимодействия с потенциальными жертвами. Они используют созданные в Twitter профили для размещения ссылок на свой блог, публикации видео и ретвита сообщений из других учётных записей, находящихся под их контролем», — говорится в сообщении специалистов TAG.

После установления контакта с потенциальными жертвами злоумышленники отправляют им вредоносный проект Visual Studio, содержащий бэкдор. Кроме того, они могут попросить посетить свой блог, наполненный вредоносным кодом, в том числе эксплойтами браузера. Исследователи говорят о том, что с момента первого обнаружения хакеры изменили тактику, создав 17 марта поддельную компанию SecureElite, которая якобы базируется в Турции и работает в сфере информационной безопасности.

В результате в сети появился ещё один вредоносный сайт, а в социальных сетях были созданы новые профили, ссылающиеся на него. Согласно имеющимся данным, исследователи из TAG уведомили социальные сети о всех выявленных профилях, которые принадлежат злоумышленникам. Вероятно, в ближайшее время они будут заблокированы.

DigitalOcean уведомила своих клиентов об утечке платёжных данных

Стало известно о том, что американский провайдер облачной инфраструктуры DigitalOcean подвергся хакерской атаке, в результате которой злоумышленники получили доступ к платёжным данным части клиентов сервиса. Об этом пишет TechCrunch, ссылаясь на соответствующие уведомления, которые получили клиенты платформы на этой неделе.

В сообщении DigitalOcean подтверждается несанкционированное раскрытие деталей, связанных с платёжными данными профилей пользователей, а также говорится, что киберпреступники «получили доступ к некоторым платёжным данным аккаунтов, используя баг, который к настоящему моменту исправлен». Согласно имеющимся данным, злоумышленники имели доступ к данным пользователей сервиса в период с 9 по 22 апреля. Что касается похищенных данных, то речь идёт о ФИО клиентов, адресах почтовых ящиков, а также последних четырёх цифрах привязанных к аккаунтам платёжных карт и названиях банков, которые эти карты выпустили. В DigitalOcean заверили, что инцидент не затронул аккаунты пользователей и соответствующие им пароли.

DigitalOcean заявила о том, что уязвимость, которая использовалась злоумышленниками, была устранена, и компания своевременно уведомила об инциденте соответствующие органы. Однако более подробная информация о выявленной уязвимости не была раскрыта. Представитель компании подчеркнул, что инцидент затрагивает около 1 % платёжных профилей клиентов сервиса, но более детально говорить о причинах возникновения проблемы он отказался.

Названа опасность смартфонов с возможностью бесконтактной оплаты

Старший преподаватель кафедры «Банковское дело» университета «Синергия» Антон Рогачевский рассказал о том, чем могут быть опасны смартфоны с функцией бесконтактной оплаты. Оказалось, что такие устройства легко могут стать причиной потери определённой суммы денег.

Работает схема достаточно просто — злоумышленники прикладывают сумку с терминалом к месту, где вероятнее всего находится смартфон. Заблаговременно, разумеется, ими выставляется определённая сумма, которую телефон и оплачивает, рассказал эксперт.

Провернуть подобную схему можно в большинстве общественных видов транспорта: метро, автобус, троллейбус и т.д. Для того, чтобы усложнить кражу ваших же денег, Рогачевский посоветовал устанавливать блокировку в смартфоне. При этом в приложении для бесконтактной оплаты стоит задать лимит.

Двое россиян признали вину в кибератаках на американские организации

Россияне Александр Гричишкин (34 года), его ровесник Андрей Скворцов, а также 33-летний уроженец Литвы Александр Скородумов и 30-летний гражданин Эстонии Павел Стасси в американском суде будут отвечать за помощь в организации хакерских атак. Каждому из них грозит до 20 лет колонии.

По версии следствия, с 2008 по 2015 год обвиняемые предоставляли услуги хостинга, использовавшегося киберпреступниками для распространения вредоносных программ и атак на финансовые учреждения и граждан США. Таким образом, обвиняемые помогали своим клиентам избежать обнаружения правоохранительными органами.

В расследовании этих преступлений принимали участие ФБР и правоохранительные органы Великобритании, Эстонии и Германии. Злоумышленники признали свою вину в феврале и марте 2021 года.Приговоры им будут вынесены 3 июня, 29 июня, 8 июля и 16 сентября. По этому обвинению преступникам грозит максимальный срок заключения в 20 лет. Ранее Российский гражданин Сергей Медведев приговорен судом в Неваде к 10 годам лишения свободы за совершение киберпреступлений в составе группы, ущерб от которых составил $568 млн.

Минюст США назвал Сергея Медведева одним из лидеров интернет-площадки с девизом «в мошенничество мы верим» (In Fraud We Trust): организации, которая занималась покупкой, продажей и распространением похищенных идентификационных данных, скомпрометированных банковских карт, личной, финансовой и банковской информации, а также вредоносных компьютерных программ.