Semana da Segurança 18: bomba de texto para iOS

Se uma coleção imaginária dos melhores hits for coletada de diferentes tipos de vulnerabilidades, vários tipos de erros de processamento de entrada ocuparão os melhores lugares. Uma das maneiras mais antigas de desativar um programa ou um sistema inteiro é uma bomba compactada - um pequeno arquivo que é implantado, dependendo da época, em centenas de megabytes, gigabytes ou petabytes de dados. Mas, em seguida, o arquivo ainda precisa ser baixado e tentar descompactar. As bombas de texto são muito mais interessantes - mensagens cujo formato causa falha no programa ou falha no sistema inteiro. No mundo dos mensageiros instantâneos e dispositivos móveis, isso é especialmente verdade.

Na semana passada, um mecanismo de suspensão de mensagem única para dispositivos móveis foi descoberto no sistema operacional iOS para dispositivos móveis da Apple ( notícias ). O iOS processa incorretamente pelo menos um caractere do idioma sindi , um dos idiomas oficiais do Paquistão, incluído no padrão Unicode. Ao exibir esse símbolo em um telefone ou tablet, ocorrem falhas de vários graus de dificuldade; no pior caso, é necessária uma reinicialização do dispositivo. Uma mensagem com um símbolo difícil deve ser exibida na tela, no cliente da rede social ou no messenger, mas também é causada uma falha quando a notificação é exibida, se a visualização da mensagem estiver ativada. Em outras palavras, após uma reinicialização, você pode enfrentar a queda do software ou de todo o sistema novamente se alguém decidir controlá-lo completamente.

O descobridor da bomba de texto é desconhecido. No Reddit, na comunidade de amantes de iPhones para jailbreak, eles postaram um patch caseiro desse flagelo, mencionando mensagens do Twitter (como na captura de tela no início do resumo) que foram distribuídas na semana passada, por algum motivo com a adição da bandeira italiana ao símbolo do idioma sindi. A bandeira não participa da operação do bug. Para evitar trollagem em massa, a publicação de personagens à la naturel era estritamente proibida nesta comunidade. Você pode espiar o código de caractere no códigopatch para iPhones "invadidos". Não o publicaremos aqui e não o aconselhamos. Não é engraçado. Isso é um bug, mas não uma vulnerabilidade: falhas de software não levam à execução do código, pelo menos não existem tais mensagens. Na atual versão beta do iOS, o problema está resolvido, mas antes do lançamento oficial da atualização nas redes sociais e mensageiros instantâneos, é provável que haja um canto de folia.

A versão beta do iOS 13.4.5 também fechou dois bugs no cliente de email Apple Mail ( notícias ). Segundo a equipe do ZecOps , ambas as vulnerabilidades levam ao vazamento de dados do cliente de email ao abrir uma mensagem preparada. O ZecOps alega que a versão antiga do iOS 6 também é afetada e que, desde 2018, as vulnerabilidades são exploradas por atacantes sem nome "nos campos". A Apple, no entanto, acredita que não houve ataque ativo.: "Não há ameaça imediata para os usuários."

Se a bomba de texto no iOS é apenas irritante, que tal um GIF malicioso que permita roubar o acesso à sua conta no serviço Microsoft Teams? A CyberArk descobriu esta vulnerabilidade ( notícias , estudos) Os pesquisadores encontraram um ponto fraco não no processador de imagem, mas em um mecanismo que permite rastrear quem compartilhou o que nesta plataforma para colaboração. Como o Microsoft Teams pode integrar um serviço em nuvem, servidores corporativos privados e software no computador dos usuários, era necessário um sistema bastante complicado de atribuição de imagens com a transferência de tokens para identificar o assinante. Adicione a esses dois subdomínios no site da Microsoft, tráfego para o qual teoricamente pode ser alternado para um invasor usando o procedimento de controle de subdomínio, e obtemos o seguinte cenário. Você envia o GIF preparado para o usuário. A imagem é registrada no serviço com a transferência de tokens de usuário para o subdomínio * .microsoft.com. O invasor redireciona o tráfego para esse subdomínio para si mesmo e recebe um token. Usando chaves de autorização, você já pode acessar a API do serviço de nuvem em nome do usuário afetado e receber várias informações privadas sobre a estrutura interna da empresa.

O que mais aconteceu

A Nintendo confirmou o hackeamento de 160.000 contas através da Nintendo Network ID. Este é um sistema legado, usado, em particular, para contas nos consoles Nintendo 3DS e Wii U. Mas, com essa conta antiga, você também pode entrar no moderno serviço de rede da empresa, prestando serviços de manutenção, por exemplo, ao Nintendo Switch. Hackear o NNID já levou ao roubo de dinheiro virtual das contas de usuário.

O código fonte dos jogos multiplayer do Team Fortress 2 e CS: GO vazou . Os códigos-fonte, geralmente distribuídos em particular e apenas entre os parceiros do desenvolvedor, a Valve Software, estavam disponíveis ao público. De acordo com a Valve, essa é uma "recarga" das fontes que já surgiram na rede em 2018, então você não deve esperar o aparecimento de novas explorações para atacar os jogadores. Vazamento

foi amplamente discutido na semana passadaum banco de dados de 25.000 endereços de e-mail e senhas, supostamente de propriedade de funcionários da Organização Mundial de Saúde, da Fundação Bill e Melinda Gates e do Instituto Wuhan de Virologia. Provavelmente, este é um exemplo de um enorme banco de dados de vazamentos anteriores de serviços de rede, que alguém fez para o bem do dia. Enquanto isso, de acordo com o Google Threat Analysis Group (e outras empresas), o tópico COVID-19 é usado ativamente em ataques de phishing a agências governamentais em diferentes países.

Um exemplo interessante de phishing de senha plausível para o messenger do Skype foi descoberto .

A Palo Alto Networks investigou uma botnet direcionada a dispositivos NAS vulneráveis ​​da Zyxel. E na ESET analisadovulnerabilidades em hubs para uma casa inteligente de três fabricantes diferentes. A má notícia: existe a possibilidade de interceptar remotamente o controle de toda a infraestrutura de IoT doméstica. A boa notícia é que as vulnerabilidades investigadas já foram fechadas pelos fabricantes, algumas delas há muito tempo. A má notícia é: nem todos os proprietários de hub entregam atualizações no prazo.