Конкурс под названием Project Zero Prize, объявленный компанией Google, отличается как от соревнований по взлому систем, проходящих в течение одного-двух дней, так и от программ выплаты вознаграждений за найденные уязвимости. Сведения об ошибках в системе Android на Project Zero Prize можно присылать до 14 марта 2017 года, но публиковаться они будут еще до завершения конкурса. При этом участник, первым приславший информацию об ошибке, имеет право воспользоваться ей для создания цепочки — последовательной эксплуатации нескольких ошибок, приводящей в итоге ко взлому системы.

Цель конкурса — поиск возможности дистанционного запуска на устройствах с Android программ при наличии только телефонного номера и адреса электронной почты. Метод должен работать на смартфонах Nexus 6P и Nexus 5X с самыми новыми версиями Android. В компании считают, что конкурс позволит не только выявить ошибки в системе, но и получить новую информацию о том, как работает «черный рынок» уязвимостей.

Неделю назад компания Trend Micro объявила условия традиционного конкурса по поиску уязвимостей Pwn2Own 2016 для мобильных устройств. Он пройдет в Токио с 26 по 27 октября.

Анализируя вредонос Mal/Miner-C, специалисты Sophos выяснили, что тысячи общедоступных FTP-серверов, многие из которых работают на NAS-накопителях Seagate Central, используются злоумышленниками для размещения вредоносного майнера криптовалюты Monero, созданной по образцу биткойнов.

Оказалось, что у Mal/Miner-C нет механизма автоматического инфицирования компьютеров с Windows, чьи графические и центральные процессоры он использует для добычи Monero. Но пиктограмма вредоноса выглядит, как папка с файлами, и если попытаться в нее «зайти», вредонос запустится и заразит систему.

Распространяется он через скомпрометированные сайты, а также через общедоступные FTP-серверы. Атакующие сканируют Интернет и, обнаружив такой сервер, пытаются зайти на него с помощью стандартных и слабых верительных данных либо посредством анонимного входа. Если это удается, и FTP-сервер разрешает запись, на нем размещают Mal/Miner-C.

Большое количество зараженных накопителей Seagate Central объясняется особенностями конфигурации NAS-устройства: на нем по умолчанию есть неотключаемая общедоступная папка, и если активировать удаленный доступ, в нее сможет записывать файлы кто угодно, выяснили в Sophos.

Признак компрометации FTP-сервера — наличие на нем двух файлов под названиями Photo.scr и info.zip.

24 августа стало известно, что хакеры, воспользовавшись уязвимостью в программном обеспечении форумов vBullettin, похитили личные данные по 25 млн аккаунтам на игровых форумах cfire.mail.ru, parapa.mail.ru и tanks.mail.ru, в том числе никнеймы, адреса электронной почты и пароли, защищенные хэшированием. Теоретически по хэшам можно определить сами пароли.

Полная копия украденной информации была передана сайту LeakedSource, занимающемуся мониторингом утечек данных в Интернете.

В Mail.Ru на сообщение о взломе отреагировали заявлением, что безопасность пользователей онлайн-сервисов компании скомпрометирована не была, так как похищенные данные — старые и не имеют отношения к нынешним аккаунтам электронной почты mail.ru.

Уязвимость, из-за которой данные удалось украсть методом SQL-инъекции, была устранена разработчиками vBullettin еще в июне, однако не все владельцы форумов обновили ПО.

Сайт LeakedSource сообщил, что до этого аналогичным образом были похищены личные данные пользователей форумов игровой компании Funcom, в которой подтвердили утечку, призвав менять пароли. Еще раньше тем же способом взломали форумы компании Epic Games. На LeakedSource сообщили, что специалистам сайта удалось расшифровать около 13 млн паролей из всех полученных от хакеров.

Исследователи из Бирмингемского университета и компании Kasper & Oswald представили на конференции USENIX Security Simposium доклад об уязвимости системы дистанционного открывания дверей Volkswagen. Утверждается, что взлому подвержены большинство моделей автомобилей, выпущенных с 1995 года.

Исследователи нашли способ извлечения мастер-ключей дистанционного отпирания дверей путем обратной инженерии прошивки системы. Но этого недостаточно для взлома — авторы также выяснили метод генерации дополнительного кода, который должен быть уникальным для каждого брелка. Исследователи собрали радиоустройство дистанционного взлома Volkswagen, потратив на это около 40 долл. Они удостоверились в его работоспособности на моделях VW Getta, Golf и Passat, а также на Audi A1. Злоумышленник может отпереть автомобиль, находясь на расстоянии до 100 м.

Авторы отмечают, что полученные ими результаты, возможно, объясняют случаи обращения за страховым возмещением в связи с кражами из запертых автомобилей. Volkswagen исследователи предупредили еще в ноябре. С согласия компании доклад опубликован без детализации способа извлечения мастер-ключей.

По оценке исследователей, процесс обновления прошивки на столь огромном числе машин может занять немало времени и обойтись недешево.

Ошибка в реализации протокола TCP для Linux, существующая с 2012 года, создает серьезную угрозу для пользователей Интернета, заявили специалисты Калифорнийского университета в Риверсайде в ходе доклада на USENIX Security Simposium.

По их сведениям, брешь позволяет дистанционно вмешиваться в трафик Интернета, следить за онлайн-активностью пользователей, разрывать соединения, в том числе защищенные по HTTPS, и снижать гарантии анонимности в сетях наподобие Tor — путем принудительной переадресации соединений через заданные ретрансляторы.

При сборке сообщений на приемнике составляющие его пакеты идентифицируются по уникальному номеру последовательности TCP. В обычном случае угадать его невозможно, так как число вариантов слишком велико. Но как выяснили исследователи, из-за ошибки в Linux вывести номер последовательности с использованием неких «побочных каналов» можно, зная лишь IP-адреса сторон, обменивающихся данными. Исследователи отметили предельную простоту атаки — по их словам, провести ее может любой, чей компьютер находится в сети, разрешающей фальсификацию IP-адресов.

Разработчики Linux предупреждены, и в новой версии ядра ошибка уже исправлена. Исследователи также описывают временное защитное решение для клиентских и серверных систем.

На конференции DEF CON специалист компании Check Point Software Technologies Адам Доненфельд рассказал об обнаружении в драйверах различных компонентов процессоров Qualcomm для системы Android четырех уязвимостей, позволяющих обычным приложениям, запущенным на устройстве, получить права администратора.

Сведения о них были переданы компании Qualcomm в феврале-апреле этого года. Компания уже выпустила исправления, и относит их к классу высокой серьезности. Но получат их далеко не все из сотен миллионов устройств, подверженных уязвимостям. Даже Google, выпускающая обновления системы Android для устройств семейства Nexus ежемесячно, устранила пока только три уязвимости из четырех. Серьезность четвертой в Google, в отличие от Qualcomm, считают низкой, так как имеющаяся в Android начиная с версии 4.3 (JellyBen) система защиты SELinux может предотвратить ее использование. Однако Доненфельд в докладе на конференции DEF CON продемонстрировал способ отключения с помощью данной уязвимости защиты SELinux.

Check Point опубликовала в магазине Google Play приложение под названием QuadRooter Scanner, с помощью которого можно определить, присутствуют ли эти уязвимости в конкретном устройстве.