Security Week 39: безопасность и банальные ошибки

Security Week 39: безопасность и банальные ошибки
На прошлой неделе специалист по безопасности Авинаш Джайн обнаружил ( новость , оригинальный блогпост ) в общем доступе сотни пользовательских календарей в сервисе Google Calendar. Такие календари индексируются поисковыми сервисами, и в самом Гугле доступны по простому запросу типа inurl: https://calendar.google.com/calendar?cid= .
Информация о встречах, конференц-звонках и важных переговорах оказалась публичной из-за элементарной ошибки пользователей в настройках календаря: вместо того чтобы делиться данными с конкретными пользователями, они делали календарь доступным для всех. В Google прокомментировали историю, заявив, что они не при чем, а действия пользователей — добровольные. Однако через неделю большинство результатов из поиска все же исчезли.

Далеко не первый раз при обсуждении подобных проблем происходят попытки найти крайнего: то ли разработчики интерфейса вводят пользователей в заблуждение, то ли сами пользователи не ведают, что творят. А дело вовсе не в том, кто виноват, а в том, что даже простые ошибки при защите данных нужно исправлять. Хотя они и не так интересны, как сложносочиненные уязвимости. За прошедшую неделю накопилось сразу несколько примеров элементарных просчетов: в менеджере паролей LastPass, в локскрине iPhone (опять!), а также в магазине расширений Google Chrome, допускающем появление вредоносных блокировщиков рекламы.

3fdfe1a457054f7e0aa54b7d9ab03448.png
Начнем с локскрина в айфонах. Исследователь Хосе Родригес (Jose Rodriguez) обнаружил ( новость ) прореху в системе блокировки устройств на базе iOS 13 еще летом, когда самая свежая версия мобильной ОС Apple проходила бета-тестирование. Тогда же он сообщил о проблеме в Apple, но iOS 13 так и ушла в продакшн на прошлой неделе без заплатки. Уязвимость позволяет увидеть только контакты на телефоне и требует физического доступа к устройству. Процесс обхода экрана блокировки показан на видео. Если коротко, то на телефон нужно позвонить, выбрать опцию ответа на звонок сообщением, включить функцию VoiceOver, выключить функцию VoiceOver, после чего появится возможность добавить к сообщению еще одного адресата. А дальше вы получаете полный список контактов на чужом телефоне.

За всю историю существования iOS таких ошибок было найдено много. Тот же Родригес обнаружил как минимум три подобных проблемы в iOS 12.1 (переводите входящий звонок в видеорежим, после чего можно добавить других участников, что дает доступ к адресной книге), 12 (тот же VoiceOver дает доступ к фотографиям на телефоне) и 9.0-9.1 (полный доступ к телефону через команды к голосовому помощнику Siri). По данным исследователя, новая проблема будет закрыта в iOS 13.1, которую выпустят в конце месяца.

faa3e397f403b948eacbaec1d9b50c5c.png
Чуть более сложная проблема была обнаружена и закрыта в менеджере паролей LastPass ( новость , багрепорт ). Исследователь из команды Google Project Zero Тавис Орманди (Tavis Ormandy) нашел способ кражи последних введенных в браузере логина и пароля. Проблема простая, но ее эксплуатация достаточно сложная: нужно не только заманить пользователя на подготовленную веб-страницу, но и заставить его кликнуть несколько раз, чтобы в форму злоумышленника был автоматически подставлен пароль. В нестандартном (но используемом) сценарии открытия страницы в новом окне расширение LastPass для браузера не проводило проверку URL страницы и подставляло последние использованные данные. 13 сентября уязвимость была закрыта .

В бюллетене LastPass дается полезная рекомендация: установка какой-либо системы защиты — не повод расслабляться. В частности, совершить ошибку можно, установив в браузере Chrome не то расширение для браузера. 18 сентября компания Google удалила из каталога расширений Chrome два плагина, мимикрирующих под официальные блокировщики рекламы Adblock Plus и uBlock Origin. Поддельные блокировщики подробно описываются в блоге компании AdGuard .

Поддельные расширения полностью копируют функциональность оригиналов, но добавляют технику cookie stuffing. Пользователь, установивший такое расширение, для ряда интернет-магазинов идентифицировался как пришедший по реферальной ссылке. Если в магазине совершалась покупка, комиссия за «привод клиента» отправлялась авторам расширения. В поддельных блокировщиках также были сделаны попытки скрыть вредоносную активность: рекламная деятельность начиналась только через 55 часов после установки расширения и прекращалась при открытии консоли разработчика. Оба расширения были удалены из каталога Google Chrome, но до этого ими воспользовались более полутора миллионов пользователей. Та же компания AdGuard в прошлом году сообщила о пяти поддельных расширениях с возможностью слежки за пользователем, в совокупности установленных более 10 миллионов раз.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text