Sicherheitswoche 18: Textbombe für iOS

Wenn eine imaginäre Sammlung der besten Treffer von verschiedenen Arten von Sicherheitslücken gesammelt wird, nehmen verschiedene Arten von Eingabeverarbeitungsfehlern dort die besten Plätze ein. Eine der ältesten Möglichkeiten, ein Programm oder ein gesamtes System zu deaktivieren, ist eine Zip-Bombe - ein kleines Archiv, das je nach Zeit in Hunderten von Megabyte, Gigabyte oder Petabyte an Daten bereitgestellt wird. Aber dann muss das Archiv noch heruntergeladen werden und versucht zu entpacken. Textbomben sind viel interessanter - Nachrichten, deren Format dazu führt, dass das Programm abstürzt oder das gesamte System abstürzt. In der Welt der Instant Messenger und Mobilgeräte gilt dies besonders.

Letzte Woche wurde im iOS-Betriebssystem für Apple-Mobilgeräte ein Mechanismus zum Aussetzen einzelner Nachrichten für mobile Geräte entdeckt ( Nachrichten ). iOS verarbeitet mindestens ein Zeichen der Sindhi- Sprache , einer der offiziellen Sprachen in Pakistan, die im Unicode-Standard enthalten ist, falsch . Wenn ein solches Symbol auf einem Telefon oder Tablet angezeigt wird, treten Fehler mit unterschiedlichem Schwierigkeitsgrad auf. Im schlimmsten Fall ist ein Neustart des Geräts erforderlich. Eine Nachricht mit einem schwierigen Symbol muss auf dem Bildschirm, im Client des sozialen Netzwerks oder im Messenger angezeigt werden. Ein Fehler wird jedoch auch verursacht, wenn die Benachrichtigung angezeigt wird, wenn die Nachrichtenvorschau aktiviert ist. Mit anderen Worten, nach einem Neustart können Sie erneut auf Software oder das gesamte System stoßen, wenn sich jemand entscheidet, Sie vollständig zu kontrollieren.

Der Entdecker der Textbombe ist unbekannt. Auf Reddit, in der Community der Liebhaber von Jailbreak-iPhones, veröffentlichten sie einen selbstgemachten Patch aus dieser Geißel, in dem Twitter-Nachrichten (wie im Screenshot zu Beginn des Digests) erwähnt wurden, die letzte Woche aus irgendeinem Grund mit der Hinzufügung der italienischen Flagge zum Symbol aus der Sindhi-Sprache verbreitet wurden. Das Flag ist nicht an der Operation des Fehlers beteiligt. Um Massen-Trolling zu vermeiden, war die Veröffentlichung von Charakteren a la Naturel in dieser Community strengstens verboten. Sie können den Zeichencode im Code einsehenPatch für "gehackte" iPhones. Wir werden es hier nicht veröffentlichen und raten Ihnen nicht. Nicht lustig. Dies ist ein Fehler, aber keine Sicherheitslücke: Software-Abstürze führen nicht zur Codeausführung, zumindest gab es keine solchen Meldungen. In der aktuellen Beta-Version von iOS ist das Problem behoben, aber vor der offiziellen Veröffentlichung des Updates in sozialen Netzwerken und Instant Messenger ist ein Festgesang wahrscheinlich.

Die Beta-Version von iOS 13.4.5 hat auch zwei Fehler im Mail-Client Apple Mail ( Nachrichten ) geschlossen. Laut dem ZecOps- Team führen beide Sicherheitslücken beim Öffnen einer vorbereiteten Nachricht zu Datenlecks vom E-Mail-Client. ZecOps behauptet, dass die alte Version von iOS 6 ebenfalls anfällig ist und dass seit 2018 Sicherheitslücken von namenlosen Angreifern "auf dem Feld" ausgenutzt werden. Apple glaubt jedoch, dass es keinen aktiven Angriff gab.: "Es gibt keine unmittelbare Bedrohung für Benutzer."

Wenn die Textbombe in iOS nur ärgerlich ist, was ist dann mit einem böswilligen GIF, mit dem Sie den Zugriff auf Ihr Konto im Microsoft Teams-Dienst stehlen können? CyberArk hat diese Sicherheitsanfälligkeit entdeckt ( Nachrichten , Studie) Die Forscher fanden eine Schwachstelle nicht im Bildprozessor, sondern in einem Mechanismus, mit dem Sie verfolgen können, wer was auf dieser Plattform für die Zusammenarbeit freigegeben hat. Da Microsoft Teams einen Cloud-Dienst, private Unternehmensserver und Software auf einem Benutzercomputer integrieren können, war ein ziemlich kompliziertes System der Bildzuweisung mit der Übertragung von Token erforderlich, die den Abonnenten identifizieren. Fügen Sie diesen beiden Subdomains auf der Microsoft-Website hinzu, zu denen der Datenverkehr theoretisch mithilfe des Subdomain -Übernahmeverfahrens an einen Angreifer weitergeleitet werden kannund wir erhalten das folgende Szenario. Sie senden das vorbereitete GIF an den Benutzer. Das Bild wird im Dienst mit der Übertragung von Benutzertoken an die Subdomain * .microsoft.com registriert. Der Angreifer leitet den Datenverkehr zu dieser Subdomain an sich selbst weiter und erhält einen Token. Mit Autorisierungsschlüsseln können Sie bereits im Namen des betroffenen Benutzers auf die Cloud-Service-API zugreifen und verschiedene private Informationen über die interne Struktur des Unternehmens erhalten.

Was ist sonst noch passiert?

Nintendo bestätigte das Hacken von 160.000 Konten über die Nintendo-Netzwerk-ID. Dies ist ein Legacy-System, das insbesondere für Konten in den Nintendo 3DS- und Wii U-Konsolen verwendet wird. Über dieses alte Konto können Sie jedoch auch in den modernen Netzwerkdienst des Unternehmens einsteigen und beispielsweise Nintendo Switch warten. Das Hacken von NNID hat bereits zum Diebstahl von virtuellem Geld von Benutzerkonten geführt.

Der Quellcode für Team Fortress 2 und CS: GO Multiplayer-Spiele ist durchgesickert . Die Quellcodes, die normalerweise privat und nur unter den Partnern des Entwicklers, Valve Software, verteilt wurden, waren öffentlich verfügbar. Laut Valve handelt es sich hierbei um ein „Nachladen“ der Quellen, die bereits 2018 im Netzwerk aufgetaucht sind. Sie sollten also nicht damit rechnen, dass neue Exploits auftauchen, um Spieler anzugreifen. Leck

wurde letzte Woche viel diskutiertEine Datenbank mit 25.000 E-Mail-Adressen und Passwörtern, die angeblich Mitarbeitern der Weltgesundheitsorganisation, der Bill and Melinda Gates Foundation und des Wuhan Institute of Virology gehören. Dies ist höchstwahrscheinlich ein Beispiel aus einer riesigen Datenbank früherer Lecks von Netzwerkdiensten, die jemand für den Tag erstellt hat. Laut der Google Threat Analysis Group (und anderen Unternehmen) wird das Thema COVID-19 aktiv bei Phishing-Angriffen auf Regierungsbehörden in verschiedenen Ländern verwendet.

Ein interessantes Beispiel für plausibles Passwort-Phishing für den Skype-Messenger wurde entdeckt .

Palo Alto Networks untersuchte ein Botnetz, das auf anfällige Zyxel NAS-Geräte abzielt. Und in ESET analysiertSchwachstellen in Hubs für ein Smart Home von drei verschiedenen Herstellern. Die schlechte Nachricht: Es besteht die Möglichkeit, die Kontrolle über die gesamte IoT-Infrastruktur zu Hause abzufangen. Die gute Nachricht ist, dass die untersuchten Sicherheitslücken bereits von Herstellern geschlossen wurden, einige davon schon vor langer Zeit. Die schlechte Nachricht ist: Nicht alle Hub-Besitzer liefern Updates pünktlich.