Мобильное приложение NissanConnect, программный интерфейс которого давал возможность доступа к некоторым системам электромобилей Nissan Leaf при знании всего лишь его номера шасси (VIN), теперь отключено. Компания принесла извинения за неудобства, доставленные пользователям приложения.

Информацию об уязвимости опубликовал австралийский специалист по компьютерной безопасности Трой Хант. Вместе с коллегами (один из них, обнаруживший уязвимость, пожелал остаться анонимным) он убедился в том, что при некоторых запросах сервер, с которым связывается приложение NissanConnect, не требует аутентификации пользователя. Впоследствии выяснилось, что данную уязвимость отдельные пользователи обсуждали на форумах еще в декабре прошлого года. Знание VIN давало возможность отдавать команды на включение и выключение климат-контроля и получать сведения о всех предыдущих поездках. К счастью, пишут специалисты, в Nissan Leaf нет встроенных средств дистанционного запуска двигателя или отпирания дверей, но и работа климат-контроля может привести к разрядке аккумулятора.

В компании Nissan утверждают, что обнаруженная проблема никак не отражалась на безопасности и функционировании автомобиля.

Все пользователи браузера Internet Explorer версий 7 и 8, а также те, кто пользуется версией IE9 на любой системе, кроме Windows Vista и версией IE10 на любой системе, кроме Windows Server 2012, не получили исправлений ошибок в безопасности, разосланных 9 февраля компанией Microsoft пользователям более новых браузеров IE11 и Edge.

В пакете содержались исправления 13 уязвимостей. Девять из них присутствовали во всех поддерживаемых версиях IE, в том числе в IE9 и в IE10, говорится в сопроводительной документации. По-видимому, они имеются и в старых, неподдерживаемых версиях.

Опасность, которую представляют ставшие известными, но не исправленные уязвимости, велика. Авторы вредоносных программ могут получить информацию о характере уязвимости, проанализировав исправления в разосланном пакете, и создать инструменты для атаки на неисправленные версии браузера. Между тем, по данным Net Applications, примерно треть пользователей IE до сих пор работает с версиями, выпуск исправлений для которых прекращен.

Microsoft объявила о сроках полного прекращения поддержки IE7 и IE8 и частичного — IE9 и IE10 — еще в августе 2014 года.

Примерно через год в Oracle закончат выпускать браузерный плагин Java, нередко становящийся объектом использования веб-эксплойтами. В JDK 9, базовой реализации девятой версии платформы Java SE, плагина уже не будет.

Выход JDK 9 ожидается в марте 2017 года, но к этому времени большинство браузеров уже и так перестанут поддерживать плагин Java, основанный на устаревшем стандарте Netscape Plugin Application Programming Interface. После 2016 года плагины на основе NPAPI будут поддерживаться только в Internet Explorer и Safari.

В Oracle отметили, что не собираются выпускать индивидуальные плагины для разных браузеров, поскольку тогда разработчикам пришлось бы создавать для них различные версии апплетов. В корпорации предлагают совсем отказаться от апплетов и перейти на приложения Java Web Start, которые можно запускать и без плагина. Правда, они как и апплеты, могут стать вектором атаки, пользующейся уязвимостями в среде исполнения Java.

Плагин Java, вероятно, будет еще долго использоваться несмотря на прекращение выпуска, особенно в компаниях, применяющих веб-приложения на Java, которые нельзя быстро заменить или переписать. По похожим причинам в корпоративных средах сейчас немало ПК с Java 6 и 7, версиями, для которых уже не выходят обновления безопасности.

Умные телевизоры открывают киберпреступникам новое окно возможностей для совершения атак. По темпам укрепления безопасности эти устройства заметно отстают от смартфонов и настольных компьютеров.

Умные телевизоры, работающие под управлением мобильных операционных систем (например, Android), представляют собой легкую цель для хакеров, поскольку производители зачастую приносят безопасность в жертву пользовательскому удобству. И этот компромисс может иметь весьма серьезные последствия.

Следует учитывать, что умные телевизоры выпускаются не только в расчете на индивидуальных потребителей. Довольно часто подобные устройства можно встретить и в зале заседаний совета директоров. По прогнозам аналитиков Research and Markets, в период до 2019 года продажи умных телевизоров будут расти более чем на 20% в год.

Пока атаки на умные телевизоры еще не получили достаточно широкого распространения, однако, по мнению экспертов по безопасности, это всего лишь вопрос времени.

«Во многих таких продуктах лучшие решения, уже известные в мире ИТ, не используются, – отметил директор компании Tolaga Research по исследованиям Фил Маршалл. – Экосистема фрагментирована, а производители в первую очередь озабочены тем, как максимально быстро вывести новые предложения на рынок».

По сути, умные телевизоры представляют собой компьютеры, оснащенные портами USB, операционными системами и сетевыми интерфейсами. И в этом смысле они ничем не отличаются от смартфонов. Но, в отличие от компьютеров и мобильных устройств, подключение к умным телевизорам не требует аутентификации.

«Некоторые модели умных телевизоров не требуют подтверждения команд, рассылаемых по сети, человеком, который физически управляет телевизором», – заметил Крейг Янг, исследователь вопросов компьютерной безопасности из компании Tripwire.

А это означает, что во время совещания на экране телевизора вполне может появиться нечто гораздо более фривольное, чем последние цифры продаж.

«Когда в зале заседаний совета директоров проводится презентация, возможны самые разные неожиданности и неловкие ситуации», – подчеркнул Янг.

Многие крупные производители – Samsung, LG и Sony – уже открыли магазины приложений для умных телевизоров и продолжают придерживаться модели, предложенной Apple для своих смартфонов. Но пользователи могут поддаться соблазну загружать программы (в том числе и вредоносные) из магазинов, не контролируемых поставщиками. Такой способ атак уже применяется против смартфонов и вполне может быть использован против умных телевизоров.

Исследователь угроз из Symantec Кандид Вуист в процессе испытаний намеренно заразил свой телевизор Android программой, которая шифрует файлы и требует выкупа в биткойнах.

В ходе эксперимента Вуист изменил настройки своего маршрутизатора, имитируя атаку типа «человек посередине», после чего установил на телевизор вредоносный код, полученный из сомнительного источника. Такая ситуация вполне возможна и отнюдь не выходит за рамки возможностей хакеров.

Многие из существующих уязвимостей связаны с процедурой обновления программного обеспечения умных телевизоров. Шифрование SSL/TLS (Secure Sockets Layer/Transport Layer Security) при загрузке обновлений зачастую вообще не используется.

В результате в телевизор проникают вредоносные прошивки – низкоуровневый код, устанавливающий связь между компьютерным оборудованием и операционной системой при ее запуске. Некоторые модели умных телевизоров не проверяют даже целостность загружаемых прошивок.

«Вопросам безопасности умных телевизоров не уделяется сегодня должного внимания, и решаются они в самую последнюю очередь», – признал Вуист.

Число проблем растет по мере того, как умные телевизоры интегрируются с системами электронной коммерции, а люди все чаще вводят в телевизор информацию своих платежных карт.

«В 'черную пятницу' моя жена любит совершать покупки прямо по телевизору, – сообщил Скотт Ву, основатель компании 0xID, специализирующейся на безопасности мобильных устройств. – Сегодня нередко в телевизоре присутствует конфиденциальная финансовая информация его владельца».

На умных телевизорах нет антивирусных программ, и, даже если они появятся, его потенциальная эффективность вызывает вопросы.

«Как ни крути, а антивирусы всегда снижают общую производительность системы, – подчеркнул Янг. – Готовы ли вы смириться с тем, что при трансляциях с Netflix картинка будет отображаться рывками?»

В среде Android существующая модель разграничения доступа не позволяет приложениям делать все, что они захотят, без явного разрешения пользователя. Впрочем, многие беспечные пользователи попросту игнорируют предупреждения.

По словам Янга, умным телевизорам сегодня приходится сталкиваться с проблемами, которые касаются широкого круга других интеллектуальных цифровых устройств, подключенных к сети и образующих Интернет вещей.

Некоторые разработчики пытаются предложить выход из положения с помощью специализированных продуктов, выявляющих аномалии в сети, и не прибегают к помощи полнофункционального антивирусного программного обеспечения. К примеру, инструментарий F-Secure Sense, как и аналогичный продукт Dojo-Labs, осуществляет мониторинг трафика домашней сети в поисках признаков несанкционированных действий.

«Мы видим, что специалисты не сидят сложа руки и ищут пути уменьшения возникновения рисков», – отметил Янг.

Специалисты фирмы Perception Point обнаружили в ядре операционной системы Linux уязвимость, позволяющую приложениям, запущенным с полномочиями обычного пользователя, получить административные права. Уязвимость имеется во всех версиях ядра Linux, начиная с версии 3.8, официально выпущенной в феврале 2013 года. На них работают десятки миллионов серверов и персональных компьютеров, а также порядка 66% всех смартфонов и планшетов на базе системы Android 4.4 (KitKat) и более поздних версий.

Ошибка была обнаружена в подсистеме, предназначенной для хранения в памяти ядра ключей шифрования и других данных, и была связана с некорректным освобождением памяти и переполнением счетчика ссылок. В Perception Point пока не наблюдали атак, использующих эту уязвимость, но рекомендуют как можно скорее закрыть ее. Однако рассылка исправлений ядра системы должна осуществляться производителями устройств на базе Android, и, как правило, занимает много времени. Кроме того, поддержка большинства устройств заканчивается всего через полтора года после выпуска, и им исправление не будет выслано. В таком же положении могут оказаться бытовые маршрутизаторы и другие встраиваемые устройства на базе Linux.

Обнаружение шпионского кода, глубоко запрятанного в программной начинке сетевого оборудования Juniper, стало еще одним примером столкновения крупного производителя ИТ-систем с разрушительной кибератакой и вызвало немало вопросов.

В Juniper сообщили, что одна из операционных систем компании, предназначенная для управления межсетевыми экранами, была модифицирована злоумышленниками с целью получения скрытого доступа к ним. Это представляет серьезную угрозу для организаций, использующих данное оборудование.

Специалисты по безопасности недоумевают, почему об изменениях, внесенных в один из самых чувствительных компонентов программного обеспечения Juniper, стало известно лишь совсем недавно. Ведь разработчики всегда стараются надежно защищать свой исходный код, который является ключевой интеллектуальной собственностью ИТ-компании.

Как бы то ни было, решение Juniper сообщить о случившемся было встречено с пониманием. Возможно, позднее появится более подробная информация. Пока же пресс-служба Juniper известила всех, что поделиться ей больше нечем.

«Думаю, в Juniper поступили правильно, сообщив о случившемся, – считает директор компании Rapid7 по исследованиям Эйч Ди Мур. – Я полагаю, что этот инцидент заставит все компании отрасли провести внутренний аудит безопасности, а Juniper пересмотрит свое отношение к контролю за программным кодом».

«Реакция Juniper напоминает ту, которую мы наблюдали у RSA Security, дочерней компании EMC, – указал директор Facebook по безопасности Алекс Стамос. – В марте 2011 года в RSA сообщили, что хакеры похитили критически важную информацию о технологии двухфакторной аутентификации SecurID. Полагаю, с крупными клиентами вопросы компенсации потенциального ущерба Juniper будет обсуждать в индивидуальном порядке. Точно так же все происходило и в RSA».

В операционной системе Juniper NetScreen выявлены две серьезные уязвимости. Во-первых, речь идет о жестко запрограммированном пароле, который позволяет любому атакующему, знающему соответствующую последовательность символов, подключаться к межсетевым экранам с NetScreen через telnet или SSH.

В блоге Rapid7 Мур отметил, что его компании удалось выявить этот пароль, несмотря на то, что он был весьма искусно замаскирован.

Поскольку теперь доступ к паролю может получить любой желающий, организации, еще не установившие на устройства Juniper необходимые обновления, подвергаются серьезному риску. По словам Мура, специализированный поисковик Shodan выявил 26 тыс. подключенных к Интернету устройств с операционной системой NetScreen.

Вторая уязвимость позволяет осуществлять мониторинг и дешифровку трафика виртуальных частных сетей. В сетях VPN между пользовательским устройством и другим компьютером устанавливается шифрованное соединение, которое зачастую используется компаниями для обеспечения безопасного доступа удаленных сотрудников к своим системам.

Есть много вопросов, на которые Juniper в ближайшие дни придется искать ответы: как атакующим удалось незамеченными так глубоко проникнуть в продукты компании и что нужно делать, для того чтобы не допустить такого в дальнейшем.

Доцент факультета вычислительной техники университета Пенсильвании Мэтт Блэйз написал в Twitter, что Juniper следует информировать сообщество о подробностях произошедшего.

«Понятно, что корпоративные инстинкты будут побуждать компанию умалчивать об этом, но в данной ситуации такая тактика кажется мне неправильной», – подчеркнул он.

Опубликованные компанией BlueBOX данные свидетельствуют об уязвимости в новой Барби (Hello Barbie) — интерактивной игрушке, подключаемой к Интернету и умеющей распознавать речь и отвечать на вопросы ребенка.

Как предупредили эксперты по безопасности, хакеры могут взломать облачное хранилище и таким образом получить доступ к записям детских разговоров, которые там хранятся.

Это не единственная угроза, которую таит в себе пользование «умной куклой». На прошлой неделе исследователь в области информационной безопасности Мэтт Якубовский заявил, что обнаружил уязвимость, которая позволяет хакерам определить домашние адреса владельцев таких кукол.

В компании Mattel в свою очередь заявили, что работают над устранением обнаруженных уязвимостей в программном обеспечении.