Дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Проблеми безпеки виявили фахівці компанії Positive Security – Фабіан Броенляйн і Лукас Ойла. Виявилося, що баги зачіпають всім відомі програми: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark і Mumble тощо.
“Десктопні додатки, що дозволяють операційній системі відкривати URL від користувача, містять уразливість виконання коду. Для експлуатації потрібна взаємодія з жертвою”, – пояснюють фахівці. – Отримати можливість виконувати довільний код можна за допомогою посилання на шкідливий виконуваний файл (.desktop, .jar, .exe тощо), розташований в Мережі. Також зловмисник може задіяти додаткову “діру” у відкритому URI-обробнику софта”.
Іншими совами, баги існують завдяки недостатній валідації введення URL, що відкриваються за участю операційної системи. У певних умовах це призводить до випадкового запуску шкідливого файлу. Як відзначили дослідники з Positive Security, багато десктопних програм не змогли провести коректну валідацію посилань.
На щастя, у більшості додатків ці уразливості вже усунені, тому користувачам залишається лише стежити версіями, які виходять, і регулярно оновлювати встановлений софт.
Експерти опублікували список вразливих програм:
- Nextcloud – уразливість (CVE-2021-22879) усунена у версії 3.1.3 десктопного клієнта (випущена 24 лютого).
- Telegram – уразливість пропатчити 10 лютого.
- VLC Player – уразливість усунули в версії 3.0.13 (повинна надійти користувачам цього тижня).
- OpenOffice – патчі ще не вийшли (CVE-2021-30245).
- LibreOffice – “діру” усунули у Windows, але вона залишилася в Xubuntu (CVE-2021-25631).
- Mumble – патч вийшов з версією 1.3.4 – 10 лютого (CVE-2021-27229).
- Dogecoin – патч вийшов з версією 1.14.3 – 28 лютого.
- Bitcoin ABC – патч вийшов з версією 0.22.15 – 9 березня.
- Bitcoin Cash – патч вийшов з версією 23.0.0.
- Wireshark – патч вийшов з версією 3.4.4 – 10 березня (CVE-2021-22191).
- WinSCP – патч вийшов з версією 5.17.10 – 26 січня (CVE-2021-3331).
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.
