Дослідницька фірма з питань кібербезпеки Check Point Research стверджує, що виявила “численні вразливості” в додатку TikTok для відеообміну.

Як пише TheVerge, фахівці Check Point виявили, що можна підробляти текстові повідомлення, щоб вони з’явилися нібито від імені самого сервісу TikTok. Як тільки користувач натиснув фальшиве посилання, хакер отримав би доступ до налаштувань його облікового запису TikTok, включаючи завантаження та видалення відео та зміну налаштувань існуючих відео з публічних на приватні. Check Point також встановив, що інфраструктура TikTok дозволила б хакеру перенаправити зламаного користувача на шкідливий веб-сайт, схожий на домашню сторінку TikTok. Це могло поєднуватися з міжсайтовим сценарієм та іншими атаками на екаунт користувача.

Надсилання посилань та іншої захищеної інформації через SMS – це відома проблема безпеки та улюблений метод для кіберзлочинців, які хочуть отримати доступ до телефонів користувачів. У 2014 році Офіс комісара з питань інформації Великобританії оштрафував компанію-промоутера на понад 100 000 доларів США за розсилку підроблених текстових повідомлень концертмейстерам та музикантам, які нібито надходили від їхніх матерів. Amnesty International зафіксував у 2018 році, як хакери могли обійти двофакторні гарантії аутентифікації Gmail та Yahoo, перехопивши коди підтвердження аутентифікації за допомогою SMS-повідомлення.

Check Point повідомляє, що повідомила материнську компанію TikTok про вразливості безпеки в листопаді, і  розробники програми на даний момент усунула проблему.

“TikTok зобов’язаний захищати дані користувачів. Як і багато організацій, ми заохочуємо відповідальних дослідників безпеки приватно повідомляти нам про уразливі місця “, – сказав у своїй заяві член групи безпеки компанії TikTok Люк Десхотельс. “Перед публічним розкриттям, фахівці з Check Point впевнилися, що всі повідомлення про проблеми були виправлені в останній версії нашого додатка. Ми сподіваємось, що ця успішна резолюція сприятиме подальшій співпраці з дослідниками безпеки”.

Провідний дослідник звіту Check Point Одід Вануну заявив, що додаток на зразок TikTok , який вже має близько двох мільярдів глобальних користувачів всього за два з половиною роки з моменту запуску за межами Китаю – є надзвичайно привабливою ціллю для хакерів через кількість даних і великий обсяг приватної інформації, якою учасники обмінюються між собою. Оскільки такі програми, як TikTok, можна використовувати на різних платформах, зловмисникам легше швидко нарощувати свою активність, сказав він.

“Ми бачимо величезну кількість шкідливої ​​активності в чатах та соціальних мережах”, – сказав Вануну в інтерв’ю виданню The Verge. “Ми намагаємось переконатись, що люди розуміють, що кіберпростір – це те, що не просто починається і не закінчується на складній платформі, а якщо ви знаходитесь в кіберпросторі, навіть для щоденної активності, ваші дані та конфіденційність під загрозою”.

І не лише нові програми, такі як TikTok, вразливі до нападу, додав Вануну. “Навіть старі стабільні програми, з однієї точки зору,  більш-менш захищені, але потенційно там є набагато більше можливостей для зловживань, оскільки у них так багато користувачів”, – сказав він.

TikTok належить китайській компанії ByteDance. Комітет з іноземних інвестицій у США говорить, що додаток може викликати загрозу національній безпеці для американців і, можливо, використовуватиметься для впливу або стеження за ними. Армія США заборонила військовим використовувати додаток TikTok на службових смартфонах, називаючи це кіберзагрозою.

Вануну сказав, що дослідження Check Point не розглядали питання про те, чи впливає  TikTok на якісь конкретні проблеми національної безпеки, але не важко було зробити певні висновки на основі того, що знайшли дослідники.

“Ви можете зв’язати крапки у лінію і таким чином побачити, що це може бути фактором у геополітичній кібер-війні”, – сказав він.

До речі, швидкий розвиток технологій сприяв тому, що тепер смартфони мають функціонал персонального комп’ютера. З їх допомогою можна спілкуватися в соцмережах, перевіряти пошту, здійснювати Інтернет-замовлення та розраховуватися онлайн. Водночас розширення функціональних можливостей призвело до зростання кількості випадків інфікування мобільних пристроїв шкідливими програмами. У цій статті Ви знайдете основні поради для захисту смартфона та конфіденційних даних на ньому.

Звернуть увагу, що дуже багато технологій, які розвиває Apple, насправді спочатку належали не їй, а якомусь дрібному стартапу. Вони просто вчасно знаходили потрібну ідею і поглинали компанію з перспективними напрацюваннями, які часто ставали новим трендом для галузі. Так було з Siri, Face ID, Animoji і багато чим ще. Але у функції ЕКГ в Apple Watch не менш цікава історія.

Читайте також: Злочинну групу, яка скуповувала клієнтські бази даних та у подальшому використовувала їх для виманювання коштів громадян методами психологіного впливу, викрила кіберполіція України.

Цікаво знати, що коли компанія-розробник програмного забезпечення Greenspector провела безліч тестів, включаючи тестування споживання мобільних даних, то перше місце дісталося не Google Chrome.

Твіттер забороняє файли анімованих зображень PNG (APNG) на своїй платформі після нападу на  Twitter-екаунт Фонду Епілепсії, коли  масово надсилалися  анімовані зображення, які потенційно можуть спричинити напади епілепсії у світлочутливих людей.

20 тисяч серверів зламали кіберзлочинці шляхом цілеспрямованих атак на приватні оргнаізації та конкретних осіб. До складу злочинного угруповання входили троє українців та один іноземець. Усі вони були відомими учасниками хакерських форумів та здійснювали замовлення щодо зламу віддалених серверів, розташованих на території України, Європи та США.

Ця стаття В соцмережі TikTok хакери мали доступ до відео користувачів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Нещодавно дослідники з кібербезпеки виявили існування нової та раніше не виявленої критичної вразливості на SIM-картах, яка могла б давати можливість віддаленим зловмисникам компрометувати цільові мобільні телефони та шпигувати за жертвами, лише надсилаючи SMS.

Уразливість “SimJacker” знаходиться у певному програмному забезпеченні, яке називається браузером S@T – динамічним набором інструментів SIM, який широко використовується мобільними операторами щонайменше в 30 країнах і може бути використаний незалежно від того, яким пристроєм користувач користується, повідомляє TheHackerNews.

У чому проблема?

Одна приватна компанія, яка працює з урядами, активно використовує вразливість SimJacker щонайменше протягом останніх двох років для проведення цільового спостереження за користувачами мобільних телефонів у кількох країнах. S@T Browser (скорочення для SIMalliance Toolbox Browser) – це програма, яка встановлюється на різноманітні SIM-картки, включаючи eSIM, як частина набору інструментів SIM (STK) і призначена для того, щоб мобільні оператори могли надавати деякі основні послуги, підписки та послуги з доданою вартістю в ефірі для своїх клієнтів. Оскільки браузер S@T містить низку інструкцій STK – таких як надіслати коротке повідомлення, встановити виклик, запустити браузер, надати локальні дані, запустити команду та надіслати дані – а це може бути спровоковано лише надсиланням SMS на пристрій, програмне забезпечення пропонує середовище виконання для запуску шкідливих команд і на мобільних телефонах.

Як працює вразливість Simjacker?

Розкрита дослідниками AdaptiveMobile Security у нових дослідженнях, опублікованих нещодавно, вразливість може бути реалізована за допомогою стандартного GSM-модема (за 10 доларів), через виконання декількох перелічених нижче завдань на цільовому пристрої, просто надсилаючи SMS, що містить певний тип коду, що нагадує шпигунське програмне забезпечення.

Які ж можливості для зловживання через S@T дає Simjacker?

• Отримувати розташування цільового пристрою та інформації IMEI,
• Поширювати неправильну інформацію, надсилаючи підроблені повідомлення від імені жертв,
• Здійснювати  афери з платними сервісами, набираючи їхні номери,
• Шпигувати за оточенням жертв, доручаючи пристрою телефонувати на номер телефона зловмисника,
• Поширювати зловмисне програмне забезпечення, змушуючи браузер телефона жертви відкривати шкідливу веб-сторінку,
• Виконувати DDoS- атаки заради відключення SIM-карти
• Отримувати  іншу інформацію, наприклад щодо мов, типу передавача сигналу, рівня акумулятора тощо.

“Під час атаки користувач абсолютно не знає, що він був атакований, що була отримана інформація, і що вона була успішно вилучена”, – пояснюють дослідники. “Інформація про місце розташування тисяч пристроїв була отримана з часом без відома або згоди цільових користувачів мобільного телефону. Однак атака Simjacker може бути розширена для виконання додаткових типів атак.”

Як зламати SIM-карту за допомогою вразливості?

Хоча технічні деталі та докази концепції вразливості ще не розкриті, дослідники заявили, що спостерігали реальні напади на користувачів гаджетів практично без різниці у виробниках, включаючи Apple, ZTE, Motorola, Samsung, Google, Huawei. Були атаковані навіть пристрої IoT із SIM-картками.

На думку дослідників, всі виробники та моделі мобільних телефонів вразливі до атаки SimJacker, оскільки вразливість використовує застарілу технологію, вбудовану у SIM-картки, специфікація якої не оновлювалася з 2009 року, що, можливо, наражає на небезпеку понад мільярд людей.

Уразливість Simjacker експлуатується, таким чином, на практиці вже кілька років.  Як стверджують дослідники, атака Simjacker працювала настільки добре і успішно експлуатувалася роками, “оскільки вона скористалася комбінацією складних інтерфейсів і незрозумілих технологій, показуючи, що мобільні оператори не можуть розраховувати на встановлені стандартними засобами захисту”.

“Simjacker представляє явну небезпеку для мобільних операторів і абонентів. Це потенційно найскладніша атака, що будь-коли спостерігалася через основні мобільні мережі”, – заявив Каталь МакДейд, технічний директор AdaptiveMobile Security у прес-релізі. – Це головний тривожний дзвінок, який показує, що ворожі суб’єкти інвестують значні кошти у все більш складні та творчі способи підірвати безпеку мережі. Це ставить під загрозу безпеку та довіру клієнтів, мобільних операторів та впливає на національну безпеку цілих країн”.

Більше того, тепер, коли про цю вразливість почали говорити відкрито, дослідники очікують, що хакери та інші зловмисники намагатимуться “перенести ці напади в інші регіони або сфери”.

Дослідники відповідально розкрили деталі цієї вразливості перед Асоціацією GSM,  – торговим органом, що представляє спільноту мобільних операторів, а також альянсом SIM, який представляє основних виробників SIM-карт / UICC. SIMalliance визнала проблему та надала рекомендації виробникам SIM-карт щодо впровадження безпеки для push-повідомлень S@T.

Оператори мобільного зв’язку також можуть негайно зменшити цю загрозу, встановивши процес аналізу та блокування підозрілих повідомлень, що містять команди браузера S@T. Здається, що як потенційна жертва, користувач мобільного пристрою нічого не може зробити, якщо він використовує SIM-карту з розгорненою на ній технологією S@T Browser, крім запиту на повторний доступ.

До речі, після того, як на Вашому смартфоні оселиться вірус, він починає “поводитись дивно”. Є ряд непрямих ознак, які свідчать про те, що Ваш девайс містить небажане програмне забезпечення. З цієї статті Ви дізнаєтесь, як без спеціальних програм знайти та видалити його.

Також дослідники з компанії Cofense виявили нову фішингову кампанію, в рамках якої зловмисники використовують поля для введення CAPTCHA. Таким чином вони приховують підроблені сторінки авторизації в сервісі Microsoft від шлюзів безпеки електронної пошти.

Окрім цього, Mozilla офіційно запустила нову VPN-службу, орієнтовану на конфіденційність, під назвою Firefox Private Network. Це розширення для браузера, яке шифрує вашу онлайн-діяльність та обмежує інформацію, яку веб-сайти та рекламодавці знають про Вас.

А після того, як Mozilla прийняла рішення додати підтримку протоколу DNS-over-HTTPS (DoH) для користувачів браузера Firefox в США, компанія Google також оголосила про намір протестувати DoH у Chrome 78. Випуск нової версії браузера відбудеться протягом наступних двох тижнів.

Як відомо, ключова проблема Google Chrome – це низька швидкість роботи. Вона, як не дивно, обумовлена великою кількістю функцій браузера, пише AndroidInsider. Як виправити цю ситуацію, читайте у статті.

Apple представила відразу три нові моделі iPhone, які отримали назву iPhone 11.Їх дизайн виявився в точності передбачений під час численних витоків протягом останніх місяців. Великий виріз (горезвісна моноброва) на екрані нікуди не подівся. Детальніше про новинку читайте в огляді.

Ця стаття Уразливість SimJacker: з’явився новий механізм зламу смартфонів раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Twitter на невизначений термін відключила функцію Tweet via SMS, що дозволяє робити публікації в соціальній мережі через SMS-повідомлення. Причиною цього рішення став той факт, що кіберзлочинці скористалися Tweet via SMS для публікацій від імені як мінімум двох ключових фігур в Twitter.

Однією з жертв зловмисників став голова Twitter Джек Дорсі. Минулої п’ятниці кіберзлочинці стали публікувати на його сторінці расистські висловлювання і помилкові попередження про бомбу, нібито закладену в штаб-квартирі Twitter. Потім був зламаний обліковий запис голлівудської актриси Хлої Грейс Морец. Судячи з характеру опублікованих твітів, за обома інцидентами стоїть одне і те ж угрупування, що іменує себе Chuckling Squad.

Схоже, обидві атаки були здійснені через уразливість в функції публікації твітів через SMS. Компанія негайно відреагувала на злам облікового запису Дорсі і почала розслідування. На наступний день після інциденту експерти прийшли до висновку, що злам став можливий через помилки в забезпеченні безпеки, допущені оператором зв’язку. Простіше кажучи, через недогляд оператора зв’язку зловмисники змогли здійснити спуфінг телефонного номера користувача Twitter.

Виявивши причину зламу, керівництво соцмережі прийняло рішення на деякий час відключити можливість публікації твітів через SMS-повідомлення.

“Ми тимчасово відключили можливість публікації твітів через SMS або текстові повідомлення з метою захистити облікові записи користувачів”, – заявила компанія.

Згідно з повідомленнями на сторінці техпідтримки Twitter, функція буде відключена до тих пір, поки мобільний оператор не виправить уразливість.

До речі, браузер Google Chrome – швидкий, зручний та функціональний. За це його люблять, не зважаючи навіть на серйозні недоліки – такі, як найвища витрата пам’яті та процесора. З цієї статті Ви дізнаєтесь, як з цим боротися.

Нагадаємо, дослідники з SEC Consult виявили низку уразливостей в різних пристроях великого виробника мережевого устаткування Zyxel.

Також мільярди користувачів Android-пристроїв знаходяться під загрозою кібератак. За допомогою лише одного  SMS-повідомлення зловмисник може обманом змусити користувача змінити критично важливі мережеві налаштування пристрою і викрадати його дані.

Стало відомо, Huawei готова надати іншим державам доступ до своїх вихідних кодів, для того щоб вони могли особисто переконатися у відсутності в них будь-яких бекдорів. Про це у вівторок, 3 вересня, заявив старший віце-президент компанії Джон Саффолк (John Suffolk) журналістам інформагентства Kyodo News

Окрім цього, Apple визнала конструктивний недолік у деяких моделях Apple Watch, що може призвести до розтріскування екрана, і запустила програму заміни для постраждалих користувачів. Apple або уповноважені постачальники послуг безкоштовно замінять екран на відповідних моделях.

Шкідливе ПЗ XMrig для майнінгу криптовалют, раніше помічене тільки на пристроях від компанії ARM, змінило вектор атак і націлилось на системи Intel.

Зверніть увагу, Ви можете повторно завантажувати будь-які додатки, які Ви купували або завантажували на свій iPhone або iPad раніше, Ви також можете завантажувати будь-які додатки, які придбали члени сім’ї, якщо Ви використовуєте функцію сімейного обміну від Apple.

Зловмисники клонували дебетові карти близько двох тисяч клієнтів німецького банку Oldenburgische Landesbank (OLB) і зняли гроші з їхніх рахунків на території Бразилії. Злочинцям успішно вдалося здійснити операцію, хоча карти були захищені за допомогою стандарту EMV.

Cybercalm писав про те, як на смартфоні Аndroid можна записати розмову. Варто зауважимо, що вбудований функціонал із звукозапису бесіди присутній не у всіх версіях операційної системи. Як записувати розмови на останніх версіях Android, читайте у статті.

Ця стаття Tweeter вимкнула можливість публікацій через SMS раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин