- PVSM.RU - https://www.pvsm.ru -

Security Week 33: интересное с Black Hat – DEF CON 2019

Security Week 33: интересное с Black Hat - DEF CON 2019 - 1На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для которых поиск слабых мест в железе и софте остается в первую очередь искусством, и только после этого — способом заработка на жизнь. В дайджесте по мотивам этих двух конференций в прошлом году мы рассказывали [1] про уязвимость в устаревших процессорах VIA C3, атаки типа supply chain на компьютеры Apple и про взлом ненужного Wi-Fi SD-адаптера.

В этом году на повестке дня были атаки на принтеры, офисные телефоны и детские планшеты, половинчатый обход системы распознавания лиц Apple FaceID и (кто бы мог подумать) вымогатель-шифровальщик в фотокамере Canon. Плюс два, скажем так, арт-проекта: кабели для iPhone с бэкдором и читерство на умном велотренажере. Наконец, интересное исследование про использование GDPR для кражи личной информации другого человека. Подождите, но GDPR — это законодательство, направленное на защиту персональных данных? Вот, мы тоже так думали.

Взлом принтеров, офисных телефонов и детских планшетов

Начнем с относительно скучного исследования. Специалисты компании NCC Group нашли [2] множество уязвимостей в офисных принтерах производства HP, Ricoh, Xerox, Lexmark, Kyocera и Brother. Масштаб проблемы можно оценить на примере отчета [3] для принтеров HP: там и уязвимости в протоколе сетевой печати IPP, и переполнение буфера во встроенном веб-сервере, и ошибки, ведущие к атакам типа cross-site scripting. Самые опасные уязвимости позволяют либо организовать DoS-атаку, либо выполнить произвольный код с пока непонятными последствиями.

В прошлом году произошел инцидент [4], показывающий, что происходит с принтерами, которые а) не защищены и б) доступны из Интернета. На 50 тысячах устройств анонимный «активист» распечатал призыв подписываться на одного одиозного ютюбера. В исследовании NCC Group есть намек на не такие тупые более опасные атаки, когда принтер может стать точкой входа для дальнейшей атаки на корпоративную сеть.

Security Week 33: интересное с Black Hat - DEF CON 2019 - 2

А что если воспользоваться не принтерами, а офисными телефонами? Такой вариант исследовал [5] представитель McAfee. Он обнаружил в VoIP-телефонах Avaya прошивку с софтом десятилетней давности. Помимо прочего, используемый в телефонах клиент dhclient имел уязвимость, известную с 2009 года [6]. Данная проблема может вызвать переполнение буфера, если передать на клиент DHCP слишком длинный параметр subnet mask, и, опять же, есть теоретическая опасность выполнения произвольного кода. Так что подход «работает — не трогай» неприменим даже в случае таких условно простых устройств, как офисный телефон. Хотя уязвимость в dhclient эксплуатируется при наличии доступа к локальной сети, накатить патч на телефонные аппараты все же стоит. Надо трогать!

Security Week 33: интересное с Black Hat - DEF CON 2019 - 3

Исследование [7] детских планшетов LeadPad Ultimate компании LeapFrog выявило детские уязвимости. Специалисты компании Chekmarx показали, как можно установить местоположение устройств с помощью легкодоступных инструментов и перехватывать трафик. Самая серьезная проблема вызвана дополнительным приложением Pet Chat, которое позволяет родителям общаться с детьми (или детям общаться друг с другом) с помощью набора «вшитых» в планшет фраз. Для установки соединения планшет создает открытую точку доступа с именем Pet Chat. Геолокацию определенного количества планшетов удалось найти в открытых базах точек доступа Wi-Fi. Авторизации пары «смартфон родителя — планшет ребенка» не предусмотрено, поэтому кто угодно в радиусе действия беспроводной сети может подключиться к устройству. Надо отдать должное производителю: проблема была оперативно решена путем удаления приложения из свободного доступа. Ах да, в любом случае планшет общался с серверами производителя по HTTP, что позволяло провести атаку типа Man-in-the-Middle:

Очки с изолентой, троян в фотоаппарате, кабель для iPhone с сюрпризом

Security Week 33: интересное с Black Hat - DEF CON 2019 - 4

Перейдем к более интересным, хотя, возможно, и менее практичным темам презентаций на Black Hat / DEF CON. Исследователи из компании Tencent показали (новость [8], еще одна новость [9] на Хабре) способ частичного обхода системы распознавания лиц FaceID в смартфонах Apple. FaceID достаточно хорошо защищена от попыток разблокировки с помощью фотографии владельца, или если, например, поднести телефон к спящему человеку. Для этого создается объемная модель лица и отслеживается движение глаз. Но если пользователь носит очки, то подробная 3D-модель для этой части лица не создается — предположительно, чтобы избежать проблем с распознаванием. В этом случае iPhone все равно проверяет, открыты ли глаза у человека, идентифицируя с помощью камеры зрачки. Но так как качество распознавания намеренно ухудшено, «детектор открытых глаз» удалось обойти с помощью изоленты: светлый квадрат на темном фоне, наклеенный на линзы, идентифицируется телефоном как зрачки.

Окей, это крутое исследование, но на практике лишь немного упрощающее разблокировку чужого телефона. Это надо подкрасться к спящему человеку и надеть на него очки с изолентой. Или предположить не самый приятный сценарий, в котором человек находится без сознания. В любом случае алгоритм распознавания стоило бы подкрутить: даже если построение 3D-модели с очками по каким-то причинам невозможно, желательно в такой ситуации повысить качество анализа картинки с обычной фотокамеры.

Security Week 33: интересное с Black Hat - DEF CON 2019 - 5

В компании Check Point Software взломали [10] фотокамеру Canon EOS 80D. Почему фотокамеру? Потому что могли! Всего в фотоаппарате было обнаружено шесть уязвимостей, и самая серьезная из них присутствует в протоколе PTP для общения с компьютером. Как оказалось, при подключении к ПК можно инициировать обновление прошивки устройства без подтверждения пользователя. Путем принудительной перепрошивки исследователи смогли установить на камеру настоящий троян-вымогатель: он шифрует фотографии на карте памяти и выводит требование выкупа на экран. Компания Canon выпустила бюллетень [11] для владельцев камеры (в котором почему-то нет прямой ссылки на новую версию прошивки). В сообщении говорится об отсутствии реальных пострадавших и рекомендуется не подключать камеру к сомнительным компьютерам. Действительно, кому может прийти в голову атаковать фотоаппарат?

Издание Vice написало [18] про активиста, раздававшего (и продававшего за 200 долларов) на Black Hat самодельные кабели для iPhone со встроенным бэкдором. Жертвой такого кабеля, впрочем, становится не телефон, а компьютер, к которому устройство подключается для синхронизации (синхронизация, если что, тоже работает). Бэкдор представляет собой точку доступа Wi-Fi и, судя по всему, эмулятор клавиатуры. В начале статьи мы применили термин «хакеры» в его положительном значении, но данный эксперимент, так сказать, находится на нижней границе позитива. Создатель кабеля сохранял анонимность, продавал кабели при помощи закладок на территории конференции. И успешно продал все двести штук.

Наконец, внимания новостного сайта The Register удостоилась [19] презентация студента Оксфордского университета Джеймса Павура (James Pavur). Он провел социальный эксперимент, разослав в 150 компаний требование о предоставлении информации согласно нормам европейского законодательства GDPR. Закон предоставляет пользователям право получать информацию о себе от компаний, собирающих и обрабатывающих персональные данные. Важный нюанс истории в том, что Джеймс запрашивал информацию не о себе, а о своей невесте. Из 150 опрошенных компаний 72% ответили на запрос.

Из них 84% признали, что у них есть информация о невесте исследователя. В результате были получены номер социального страхования, дата рождения, девичья фамилия, номер кредитной карты, частично адрес проживания. Одна компания, собирающая информацию об утекших паролях, прислала список паролей для электронного адреса. И это при том, что не все компании согласились предоставлять данные: в 24% случаев достаточным для удостоверения личности был e-mail и номер телефона (добровольной) жертвы, в 16% случаев потребовался скан удостоверения личности (легко подделываемый), еще 3% компаний просто удалили все данные, не предоставляя их. Данный эксперимент не то чтобы опровергает пользу от GDPR. Он скорее показывает, что компании к исполнению новых для себя обязательств не всегда готовы, да и каких-то общепринятых методов идентификации пользователей пока нет. А надо бы: иначе попытки следовать закону приводят к совершенно противоположному эффекту.

Бонусный материал: исследователь Брэд Диксон (Brad Dixon) нашел способ обмана велотренажера со встроенной геймификацией (статья [20] в Vice, сайт [21] проекта). Тренажеры Zwift позволяют превратить настоящий велосипед в комнатную версию для домашних тренировок путем замены заднего колеса на модуль, обеспечивающий нагрузку. К тренажеру прилагается софт для виртуальных велопоездок, с рекордами и конкуренцией. Простых читеров (прикручивающих к тренажеру шуруповерт) Zwift без проблем идентифицирует, так что Диксону пришлось обходить защиту с помощью нетривиальных методов: перехватывать сигналы с датчиков, эмулировать правдоподобный трафик и так далее. В результате к тренажеру была добавлена «педаль газа» (ехать очень быстро) и «круиз-контроль» (ехать с постоянной скоростью, слегка меняя фейковые данные с датчиков). «Теперь у вас есть возможность, не прерывая тренировку, сходить за пивом или за чем-то еще», — комментирует автор исследования.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

Автор: Kaspersky_Lab

Источник [22]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/iphone-2/326843

Ссылки в тексте:

[1] рассказывали: https://habr.com/ru/company/kaspersky/blog/420097/

[2] нашли: https://threatpost.com/office-printers-hackers-open-door/147083/

[3] отчета: https://www.nccgroup.trust/uk/our-research/technical-advisories-multiple-vulnerabilities-in-HP-printers/?research=Technical+advisories

[4] инцидент: https://threatpost.ru/printer-spam-as-a-service-is-here/29558/

[5] исследовал: https://threatpost.ru/avaya-deskphones-vulnerable-to-10-years-old-rce-bug/33732/

[6] с 2009 года: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0692

[7] Исследование: https://threatpost.com/black-hat-leapfrog-tablet-flaws-let-attackers-track-message-kids/146822/

[8] новость: https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/

[9] новость: https://habr.com/ru/news/t/463163/

[10] взломали: https://threatpost.com/hack-of-a-canon-eos-80d-dslr/147214/

[11] бюллетень: https://global.canon/en/support/security/d-camera.html

[12] #OMGCables: https://twitter.com/hashtag/OMGCables?src=hash&ref_src=twsrc%5Etfw

[13] @d3d0c3d: https://twitter.com/d3d0c3d?ref_src=twsrc%5Etfw

[14] @clevernyyyy: https://twitter.com/clevernyyyy?ref_src=twsrc%5Etfw

[15] https://t.co/0vJf68nxMx: https://t.co/0vJf68nxMx

[16] pic.twitter.com/lARWTYHZU1: https://t.co/lARWTYHZU1

[17] August 9, 2019: https://twitter.com/_MG_/status/1159677729387581440?ref_src=twsrc%5Etfw

[18] написало: https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer

[19] удостоилась: https://www.theregister.co.uk/2019/08/09/gdpr_identity_thief/

[20] статья: https://www.vice.com/en_us/article/7x5pmz/hacker-discovers-way-to-cheat-in-zwift-the-virtual-bike-racing-exercise-game

[21] сайт: https://edope.bike/

[22] Источник: https://habr.com/ru/post/463415/?utm_campaign=463415&utm_source=habrahabr&utm_medium=rss