Получившие в последнее время широкое распространение фитнес-браслеты, собирающие информацию о физической активности пользователя, могут передавать данные не только своему непосредственному владельцу. Такая особенность спортивных браслетов была обнаружена «Лабораторией Касперского» в ходе изучения способов их взаимодействия со смартфонами.

Выяснилось, что метод аутентификации подключаемого устройства, реализованный в нескольких популярных фитнес-браслетах, дает сторонним людям возможность незаметно подсоединиться к смартфону, выполнить ряд команд и даже извлечь хранимые в гаджете данные. Все это возможно в том случае, если смартфон работает на базе операционной системы Android версии 4.3 и выше, а также имеет неавторизованное приложение для синхронизации со спортивным браслетом.

Для установления соединения между фитнес-трекером и смартфоном пользователь должен подтвердить это действие, нажав соответствующую кнопку на браслете. А поскольку большинство этих гаджетов сегодня не имеет экранов, злоумышленники могут легко обходить это необходимое условие: когда фитнес-браслет вибрирует, запрашивая подтверждение соединения со смартфоном, пользователь не может знать, идет ли речь о его собственном телефоне или о каком-то другом.

Спортивные браслеты, которые изучала «Лаборатория Касперского», при синхронизации со смартфоном передавали лишь информацию о количестве шагов, сделанных пользователем. Однако трекеры следующего поколения будут собирать гораздо больше данных о физическом состоянии человека, а значит риск утечки конфиденциальной информации может заметно увеличиться.

Пользователям фитнес-браслетов, которые хотят удостовериться в безопасности своих устройств, рекомендуется обратиться к компании-разработчику и выяснить, возможны ли подобные сценарии атаки в случае с их трекерами.

Исследователи из Королевского колледжа Холлоуэй Лондонского университета с помощью пакета ZMap просканировали все адресное пространство IPv4 в поисках серверов и сетевых устройств, страдающих от обнаруженной недавно уязвимости FREAK. Эта уязвимость связана с использованием в процессе шифрования данных, передающихся по протоколу SSL/TLS, ключей шифрования RSA длиной в 512 бит. Ключи такой длины можно легко подобрать на современных компьютерах, и уже более 15 лет их использование считается небезопасным.

Сведения об уязвимости были опубликованы еще 3 марта. На тот момент около четверти серверов в Интернете можно было заставить шифровать данные короткими ключами. Сейчас из 23 млн обследованных систем короткие ключи принимало 9,7%. Но больше всего исследователей удивило то, что многие системы используют одинаковые 512-битные открытые ключи. Один из таких ключей был найден на 28 тысячах маршрутизаторов с модулем SSL VPN. По-видимому, их изготовитель вместо того, чтобы случайным образом генерировать ключи отдельно для каждого устройства, установил на все один ключ. Таким образом, один раз подобрав по открытому ключу закрытый, можно перехватывать данные, передаваемые десятками тысяч устройств, отмечают исследователи.

Эксперты Trend Micro уже выявили атаки на платформу Microsoft Windows с использованием вредоносных рекламных объявлений. Специалисты Adobe подтвердили эту уязвимость, и обе компании совместно работают над проблемой, говорится также в сообщении компании. Соответствующее исправление планируется выпустить в течение недели. Trend Micro рекомендует пользователям отказаться от использования технологии Flash Player до получения исправления.

Атаки с использованием рекламных объявлений нацелены не на отдельные веб-сайты, а на целые баннерообменные сети. Это позволяет легко распространять вредоносный код среди множества веб-сайтов с хорошей репутацией, при этом не компрометируя ни один сайт напрямую, предупреждают эксперты.

Согласно докладу компании Secunia, из всех программных технологий наибольший риск для персональных компьютеров создает Java. По данным Secunia, у 48% пользователей этой платформы в США не установлены самые новые заплаты, притом что за последний год в Java было найдено 119 уязвимостей, а присутствует технология на 65% всех ПК.

Второе место по уровню риска занял медиаплеер Apple QuickTime 7.x — 44% копий без заплат, 14 уязвимостей за последний год, установлен на 57% ПК. В десятку также попали Adobe Reader 10.x и 11.x, Microsoft  .NET 2.x, 3.x, и 4.x, VLC Media Player 2.x, Internet Explorer 11.x и Microsoft XML Core Services 3.x. IE — лидер по уязвимостям за год, 248.

Согласно докладу, 47% всех уязвимостей за прошедший год были в программах Microsoft, 47% — в сторонних, остальные в операционной системе. В среднем на компьютерах было по 76 программ от 27 разработчиков, в том числе 31 программа Microsoft. На сторонние программы не устанавливали свежие заплаты в 11,6% случаев, на программное обеспечение Microsoft — в 5,2% случаев. У 12,9% пользователей операционные системы без заплат, у 5,7% пользователей есть приложения, для которых уже не выходят обновления (пример — Adobe Flash Player 15, установленный на 73% ПК).

Наибольшее число уязвимостей, закрытых Microsoft в своих продуктах, пришлось на браузер Internet Explorer  — 243 уязвимости, сообщает пресс-служба антивирусной компании Eset. Это почти в два раза больше, чем в 2013 году. Закрытые уязвимости принадлежат к типу «удаленное исполнение кода» и использовались злоумышленниками для скрытой установки вредоносного ПО на компьютеры пользователей.

Ряд закрытых уязвимостей в продуктах Microsoft эксплуатировался во вредоносных кампаниях. В частности троян BlackEnergy использовался для кражи данных корпоративных пользователей из стран Восточной Европы и распространялся с помощью 0day-уязвимости CVE-2014-4114 в операционных системах Windows Vista, Windows 7, Windows 8 и 8.1, а также RT.

Заметную роль в ландшафте угроз информационной безопасности в 2014 году играли атаки, происходящие при посещении пользователем взломанных киберпреступниками веб-сайтов или при попытке открыть зараженное HTML-сообщение в электронной почте, которые используются злоумышленниками для скрытой установки вредоносных программ через эксплойты, а также атаки с последующим повышением своих привилегий в системе.

Хотя в 2014 году Microsoft внедрила в IE и другие продукты ряд нововведений с целью повышения безопасности, тем не менее, существует необходимость использования режима Enhanced Protected Mode в IE, особенно в связке с 64-битной версией Windows 8.1.

11 января группа Google Project Zero опубликовала информацию об уязвимости в операционной системе Windows 8.1 — уже второй за последние две недели. Группа публикует сведения об уязвимостях через 90 дней после отправки уведомления авторам, вне зависимости от того, успели ли те выпустить исправление. В Microsoft критически относятся к этой политике. Как пишет старший директор Центра реагирования на проблемы в области безопасности корпорации Microsoft Крис Бетц, в Google опубликовали информацию всего за два дня до хорошо известной ей даты выпуска исправления, невзирая на просьбы Microsoft отложить публикацию. Такое решение больше похоже на желание подловить конкурента и в результате его могут пострадать клиенты, пишет Бетц. В Microsoft не считают корректным публиковать сведения об уязвимостях в продуктах конкурентов, добавляет он.

Microsoft выступает за политику «скоординированной публикации сведений об уязвимостях». В соответствии с ней, исследователи, обнаружившие уязвимость, должны дожидаться выпуска исправлений. В Google считают, что в современных условиях время на подготовку исправлений должно сокращаться.

В начале января в открытом доступе появилась программа под названием iDict, разработанная пользователем GitHub под псевдонимом Pr0x13. Программа осуществляла подбор пароля к учетным записям Apple iCloud с помощью перебора сочетаний из заданного словаря. К iDict прилагался словарь из 500 наиболее часто используемых паролей.

Как правило, сетевые сервисы предотвращают возможность подобных атак, ограничивая количество неудачных попыток ввода пароля. Однако автору iDict удалось найти простой способ обхода защиты iCloud. Ошибка, как заявил он, была донельзя очевидной, и использование ее злоумышленниками было лишь вопросом времени. После публикации программы Apple быстро исправила ошибку. Pr0x13 сообщил об этом уже на следующий день.

В сентябре в сети появилось большое количество частных фотографий знаменитостей, похищенных из iCloud. В Apple утверждали, что взломать их учетные записи удалось с помощью целевых атак с подбором паролей и ответов на контрольные вопросы. После взлома Apple реализовала в iCloud двухфакторную аутентификацию и рекомендовала пользователям включить ее.

Основным преимуществом использования аппаратной виртуализации считается возможность работы на более низком уровне, чем само ядро операционной системы. Это позволяет антивирусному ПО прозрачно контролировать все, что происходит в ОС. Основной целью проведенного недавно исследования было выяснить, насколько применение технологии аппаратной виртуализации способствует повышению уровня безопасности, говорится в сообщении Digital Security.

В ходе анализа этих решений исследователи сфокусировались на возможностях реализации различных сценариев атак, эксплуатации архитектурных уязвимостей, их причинах и следствиях. Экспертами Digital Security в перечисленных продуктах были найдены различные проблемы, вплоть до возможности полного отключения антивирусного продукта.

В частности, используя некоторые уязвимости и цепочки уязвимостей, возможно реализовать атаки на отказ в обслуживании, обход механизмов самозащиты (в ситуации, когда антивирусное обеспечение не детектирует вредоносную активность, хотя она производится). Кроме того, исследователи определили возможность злонамеренного использования ресурсов антивирусной программы.

Обо всех найденных недостатках и уязвимостях было сообщено разработчикам, и они внесли необходимые изменения, говорится также в отчете Digital Security.

Терминалы для оплаты аренды велосипедов в системе московского городского велопроката могут иметь потенциальные уязвимости, подвергающие риску конфиденциальность персональных данных пользователей, такой вывод сделали эксперты «Лаборатории Касперского».

Приложение для велосипедных паркоматов, работающих на базе Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте. У пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, однако именно в нем и кроется недостаток конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки, нажатие на которые влечет за собой запуск браузера Internet Explorer. Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может включить экранную клавиатуру. С ее помощью возможно активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора – серьезный просчет в конфигурации системы, открывающий возможность скачивания и совершенно беспрепятственного запуска любого приложения.

Варианты использования таких недостатков конфигурации злоумышленником огромны. К примеру, атакующий может извлечь пароль администратора, хранящийся в памяти в открытом виде. Можно получить слепок памяти приложения велопарковки, установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных. Наконец, учитывая особенность работы данных устройств в круглосуточном режиме, киберпреступник может использовать паркомат для майнинга криптовалюты или для других целей, требующих постоянного присутствия зараженной рабочей станции в Сети.

Для того чтобы исключить вредоносную активность на публичных устройствах, пользователям терминалов, рекомендуется не вводить полные реквизиты своих платежных карт — для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать.

Производитель паркоматов был уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в настоящий момент не содержат описанные недостатки.

Microsoft благодаря исследователям из IBM устранила критическую уязвимость Windows, имевшуюся в операционной системе почти 20 лет, с тех пор как вышел Internet Explorer 3.0. Брешь — конкретно она присутствовала в VBScript — позволяла атакующему запускать в системе произвольный код при посещении вредоносного сайта. От нее не спасали защитный инструментарий Microsoft Enhanced Mitigation Experience Toolkit и функции песочницы IE11. В Microsoft узнали об уязвимости в мае, а заплату выпустили только на днях. Применима она лишь к Windows начиная с версии Vista.

Microsoft также устранила критическую уязвимость в присутствующем во всех версиях Windows сервисе Secure Channel, реализующем протоколы шифрования SSL и TLS. В корпорации указали, что брешь позволяет атакующему запускать произвольный код на Windows-серверах; из бюллетеня безопасности неясно, возможно ли использование уязвимости для компрометации клиентских систем при заходе на вредоносные HTTPS-сайты с помощью IE, который пользуется SChannel. Но судя по посту в официальном блоге Microsoft, это возможно: там указано, что вероятный вектор атаки для заплаты MS14-066, устраняющей брешь, — «заход пользователя на вредоносную веб-страницу». Заплата также обеспечивает усиление шифрования TLS в версиях Windows, начиная с «семерки».