Дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Проблеми безпеки виявили фахівці компанії Positive Security – Фабіан Броенляйн і Лукас Ойла. Виявилося, що баги зачіпають всім відомі програми: Telegram, Nextcloud, VLC, LibreOffice, OpenOffice, Bitcoin/Dogecoin Wallets, Wireshark і Mumble тощо.

“Десктопні додатки, що дозволяють операційній системі відкривати URL від користувача, містять уразливість виконання коду. Для експлуатації потрібна взаємодія з жертвою”, – пояснюють фахівці. – Отримати можливість виконувати довільний код можна за допомогою посилання на шкідливий виконуваний файл (.desktop, .jar, .exe тощо), розташований в Мережі. Також зловмисник може задіяти додаткову “діру” у відкритому URI-обробнику софта”.

Іншими совами, баги існують завдяки недостатній валідації введення URL, що відкриваються за участю операційної системи. У певних умовах це призводить до випадкового запуску шкідливого файлу. Як відзначили дослідники з Positive Security, багато десктопних програм не змогли провести коректну валідацію посилань.

На щастя, у більшості додатків ці уразливості вже усунені, тому користувачам залишається лише стежити версіями, які виходять, і регулярно оновлювати встановлений софт.

Експерти опублікували список вразливих програм:

  • Nextcloud – уразливість (CVE-2021-22879) усунена у версії 3.1.3 десктопного клієнта (випущена 24 лютого).
  • Telegram – уразливість пропатчити 10 лютого.
  • VLC Player – уразливість усунули в версії 3.0.13 (повинна надійти користувачам цього тижня).
  • OpenOffice – патчі ще не вийшли (CVE-2021-30245).
  • LibreOffice – “діру” усунули у Windows, але вона залишилася в Xubuntu (CVE-2021-25631).
  • Mumble – патч вийшов з версією 1.3.4 – 10 лютого (CVE-2021-27229).
  • Dogecoin – патч вийшов з версією 1.14.3 – 28 лютого.
  • Bitcoin ABC – патч вийшов з версією 0.22.15 – 9 березня.
  • Bitcoin Cash – патч вийшов з версією 23.0.0.
  • Wireshark – патч вийшов з версією 3.4.4 – 10 березня (CVE-2021-22191).
  • WinSCP – патч вийшов з версією 5.17.10 – 26 січня (CVE-2021-3331).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.