пристрої IoT – CyberCalm

Мільйони пристроїв IoT в небезпеці через уразливість у хмарній платформі Kalay

Побокін Максим — Tue, 17 Aug 2021 17:37:54 +0000

CyberCalm

Мільйони пристроїв IoT в небезпеці через уразливість у хмарній платформі Kalay

Дослідники відділу розвідки загроз та реагування на інциденти FireEye виявили критичну уразливість, яка робить мільйони пристроїв Інтернету речей вразливими до віддалених атак.

Помилка була виявлена в основному компоненті хмарної платформи Kalay для пристроїв Інтернету речей, запропонованої компанією ThroughTek, тайванською компанією, яка надає рішення IoT та M2M для спостереження, безпеки, розумного дому, хмарного зберігання та систем побутової електроніки, пише SecurityWeek.

Наприкінці 2020 року дослідники виявили, що на платформу, яка використовується мільйонами пристроїв IoT від багатьох постачальників, впливає критична уразливість, яку можна використати для віддаленого зламування систем. Оскільки багатьох постраждалих пристроїв є компонентами систем відеоспостереження (а саме: IP-камери, монітори та цифрові відеомагнітофони) використання уразливості може дозволити зловмиснику перехопити “живі” аудіо- та відеодані.

Уразливість відстежується як CVE-2021-28372, і їй присвоєно оцінку CVSS 9,6. Щоб використати її, зловмиснику необхідно якимось чином отримати унікальний ідентифікатор Kalay (UID) цільового користувача. Зловмисник може отримати цей UID за допомогою соціальної інженерії або за допомогою інших методів.

Діллон Франке, один з дослідників з фірми Mandiant, які виявили вразливість, сказав SecurityWeek, що хоча UID не можна отримати за допомогою простого підбору букв та цифр, існують інші способи отримання даних, зокрема, для масових атак.

“Mandiant виявив конкретні кінцеві точки для постачальників, які могли б дозволити зловмиснику перераховувати дійсні ідентифікатори користувача. Крім того, зловмисник у загальнодоступній мережі, такій як Wi -Fi аеропорту, може захопити та розшифрувати жертву, що під’єднується до свого пристрою Kalay, щоб отримати ідентифікатор користувача жертви. Тому можливі масові атаки, – пояснив Франке. – Наші колеги з Mandiant також бачили, як кінцеві користувачі діляться своїми ідентифікаторами користувача в соціальних мережах та на форумах підтримки”.

Після того, як зловмисник отримає UID, йому потрібно надіслати спеціально створений запит до мережі Kalay, щоб зареєструвати інший пристрій із таким самим UID у мережі, що змушує сервери Kalay перереєстровувати існуючий пристрій. Потім зловмисник повинен чекати, поки жертва отримає доступ до свого пристрою. Тепер, коли зловмисник зареєстрував ідентифікатор користувача, з’єднання жертви буде перенаправлено до зловмисника, що дозволить їм отримати облікові дані, які жертва використовує для доступу до пристрою.

“Наприклад, користувач-жертва, який переглядає записи своєї камери через мобільний додаток за допомогою SDK Kalay, матиме той же самий ідентифікатор, що й зловмисник, який може отримати облікові дані пристрою”, – сказав Франке.

Отримавши облікові дані жертви, хакер може не тільки отримати доступ до аудіо- та відеоданих, але й зловживати функціоналом RPC (виклику віддаленої процедури), який зазвичай реалізується для оновлення прошивки, управління пристроєм та телеметрії.

“Уразливості в інтерфейсі RPC, реалізованому у такому пристрої, можуть призвести до повністю віддаленого та повного контролю над пристроєм”, – попередив представник Mandiant.

Фірма Mandiant опублікувала пост у блозі та рекомендацію, що описує свої висновки, але не оприлюднила жодного підтвердження концепції (PoC).

Компанія ThroughTek випустила оновлення SDK, які усувають вразливість. Крім того, компанія порекомендувала клієнтам увімкнути AuthKey (для додаткового рівня автентифікації) та DTLS (для захисту даних при передачі), щоб зменшити ризик атак. Такі ж оновлення були рекомендовані постачальником у червні у відповідь на дослідження, проведене промисловою компанією та кібербезпекою Інтернету речей Nozomi Networks, дослідники якої також виявили серйозну вразливість у рішенні ThroughTek.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?

Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ

Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД

Як заблокувати спам на Google Диску? ІНСТРУКЦІЯ

До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.

Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.

Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.

Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.

Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку

Ця стаття Мільйони пристроїв IoT в небезпеці через уразливість у хмарній платформі Kalay раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Хакери навчилися використовувати “розумні” розетки для кібератак

Побокін Максим — Tue, 25 May 2021 06:23:59 +0000

CyberCalm

Хакери навчилися використовувати “розумні” розетки для кібератак

Експерти зазначають, що дешеві “розумні” розетки для електроприладів є досить болючою уразливістю з точки зору кібербезпеки і можуть легко використовуватись злочинцями для проникнення в пристрої з категорії “Інтернету речей”. Про це пише Techradar.

У своєму звіті фірма з кібербезпеки A&O IT Group детально проаналізувала безпеку таких пристроїв на прикладах двох дешевих та широко доступних “розумних” розеток- Sonoff S26 та Ener-J WiFi.

Ці “розумні” розетки можна легко купити на торгових сайтах всього за 10 доларів, їх можна використовувати для отримання облікових даних для входу в цільову мережу WiFi. Це стало можливим завдяки тому, що ці пристрої взаємодіють з маршрутизатором через порт 80, передаючи незашифрований HTTP-трафік, а також через слабкі заводські паролі, які люди зазвичай не змінюють при першому запуску. Після того, як зловмисники отримують облікові дані Wi-Fi, вони можуть підключатися до цільової мережі і звідти створюють всілякі неприємності, починаючи від перехоплення відео та аудіо з ноутбуків, а також контролюючи уразливі смарт-пристрої, скачуючи конфіденційні дані або навіть контролюючи трафік з інших пристроїв. Вони також можуть використовувати Wi-Fi для завантаження незаконного матеріалу з Інтернету або запуску атак на пристрої інших користувачів, практично не маючи шансів бути спійманими.

Якщо у жертви є інші пристрої, що відповідають за безпеку приміщення, такі як розумні дверні замки або камери відеоспостереження, які знаходяться у тій же самій мережі. У такому випадку зловмисник навіть може дізнатися, коли мешканців немає вдома. A&O IT Group заявляє, що повідомляла і Sonoff, і Ener-J про виявлені уразливості, але ще не отримала відповіді від виробників.

Щоб якось виправити цю проблему, як стверджують експерти з програмного забезпечення з фірми CNX, найшвидший спосіб – встановити гостьовий SSID для гаджетів IoT, щоб інші важливі пристрої не мали спільної мережі.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Хакери навчилися використовувати “розумні” розетки для кібератак раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Винайдено ще один спосіб безпровідного заряджання носимої електроніки

Побокін Максим — Fri, 02 Apr 2021 07:32:45 +0000

CyberCalm

Винайдено ще один спосіб безпровідного заряджання носимої електроніки

Однією з найбільших проблем для малих носимих пристроїв є спосіб їх живлення. Чим менше розмір пристрою, тим менше місця для батареї, що в деяких випадках викликає проблеми – гаджет працює недовго, а швидка заміна батареї неможлива.

Група дослідників з Університету штату Пенсільванія розробила новий метод живлення пристроїв, що носяться, з використанням енергії, отриманої від радіохвиль. Про це пише Slashgear.

Поточні джерела енергії для носимих пристроїв, шо використовуються для таких речей, як контроль показників стану здоров’я, мають певні недоліки. Сонячна батарея може збирати енергію лише, коли пристрій перебуває на сонці, а трибоелектричні пристрої можуть збирати енергію лише тоді, коли тіло знаходиться в русі. Дослідники не намагаються замінити ці методи живлення, але намагаються забезпечити додаткову стабільну підзарядку для пристроїв. Команда розробила фізично гнучку широкосмугову дипольну антенну систему, яка може бездротово передавати дані, зібрані з датчиків контролю здоров’я.

Пристрій складається з пари розтяжних металевих антен, інтегрованих у провідний графен з металевим покриттям. Широкосмугова конструкція системи дозволяє їй зберігати частотні функції навіть у розтягнутому, зігнутому та скрученому вигляді. Ця система підключена до розтяжної випрямної схеми для створення випрямленої антени, яка може перетворювати енергію від електромагнітних хвиль в електрику.

Потім електроенергію можна використовувати для живлення бездротових пристроїв або заряджання накопичувачів енергії, таких як акумулятори та суперконденсатори. Дослідники вважають, що технологія є складовою частиною бездротового зв’язку, і її можна поєднувати з бездротовими передавальними пристроями передачі даних, щоб забезпечити важливий компонент роботи з існуючими модулями датчиків, розробленими командою. Наступним кроком для дослідників буде вивчення мініатюризованих версій схем та робота над розвитком гнучкості та еластичності випрямляча.

Команда вважає, що вони створили платформу, яку можна легко поєднувати та застосовувати з іншими модулями, розробленими в минулому. Дослідники вивчать можливості розширення або адаптації нової технології для інших застосувань.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.

Ця стаття Винайдено ще один спосіб безпровідного заряджання носимої електроніки раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Що таке Google Assistant та що він може робити?

Олена Кожухар — Thu, 14 Jan 2021 11:30:25 +0000

CyberCalm

Що таке Google Assistant та що він може робити?

Мабуть важко уявити сучасний світ без віртуальних помічників, одним із найвідоміших є Google Assistant. Сьогодні ринок переповнений пристроями з підтримкою Google Assistant, але що саме представляє собою Google помічник, що робить і чи варто ним користуватися?

Коротка історія

Google Assistant мав скромний початок. Він дебютував у травні 2016 року як частина нової програми обміну повідомленнями Google, Allo, та оригінальної колонки Google Home. Поява Google Home дала поштовх для розвитку функцій віртуального помічника, він набув не аби-якої популярності. Люди могли використовувати свій голос для доступу до величезної бази знань Google, пише How-To Geek.

Незабаром після першого випуску Google Assistant була запущена вбудована функція виклику помічника на оригінальних смартфонах Google Pixel. Через кілька місяців він почав надходити на інші смартфони Android та смарт-годинник Wear OS. До 2017 року Google Assistant став доступним для iPhone та iPad. Тепер його можна знайти в телефонах, динаміках, автомобілях, розумних дисплеях, годинниках, домашніх пристроях тощо.

Що може робити Google Assistant?

Google Assistant має довгий перелік функцій та можливостей. На базовому рівні він відповідає на запитання. Ви можете запитати прості речі, наприклад: “Яке місто є столицею Мічигану?” або “Скільки років Майклу Джордану?”

Коли Ви виконуєте пошук Google на комп’ютері чи телефоні, у верхній частині результатів часто можна побачити вікно – саме тут Google Assistant отримує відповіді. Google Assistant дуже корисний, коли справа стосується особистих планів. Якщо у нього є доступ до Вашого облікового запису Google та інших служб, він може надати більше, ніж просто загальну інформацію. Наприклад, Ви можете запитати, чи є у календарі якісь події, отримати місцевий прогноз погоди, надіслати текстові повідомлення тощо.

“Розумний” будинок

Google Assistant неймовірно корисний для пристроїв розумного будинку. Він може спілкуватися з низкою популярних брендів, включаючи Philips Hue, SmartThings, Nest, Ring, WeMo та багато інших. Звичайно, він також підключається до інших продуктів Google, таких як Chromecast. Після підключення будь-якого з цих пристроїв Ви можете керувати ними за допомогою Google Assistant. Це означає, що користувач може сказати “Гей, Google, вимкни світло” і помічник зробить це замість нього.

Фізичні пристрої – лише частина величезної бібліотеки навичок Google Assistant. Він також може підключатися до програм та веб-сервісів. Ви можете використовувати його для складання списку продуктів, читання рецептів вголос, прослуховування радіостанцій чи новин тощо.

Google Assistant також може робити все це на смартфонах і планшетах. Крім того, він може відкривати програми на пристроях, читати сповіщення вголос, здійснювати дзвінки, надсилати текстові повідомлення тощо. Навіть якщо людина не має розумних колонок та домашніх пристроїв, Google Assistant – це все одно зручний інструмент.

Google Assistant завжди слухає?

Одне з найбільших занепокоєнь щодо Google Assistant – це чи постійно він «слухає» і записує розмови. Варто зауважити, що Google Assistant записує лише тоді, коли чує команди “OK Google” або “Hey Google”. Це схоже на те, як собаки розуміють мову. Їх можна навчити розпізнавати своє ім’я та інші команди. Вони також мають вуха, тому, хоча вони чують все, що Ви говорите, тварини насправді розуміють лише кілька слів. Google Assistant завжди слухає, але якщо Ви не використовуєте команди, він не буде записувати чи розуміти розмови користувачів.

Контроль конфіденційності Google Assistant

Навіть якщо Google Assistant записує не все, користувачам все одно може бути некомфортно через таку функцію. Гарна новина полягає в тому, що Google має кілька інструментів, які допоможуть Вам контролювати, що саме записує Google Assistant. Ви навіть можете використовувати Google Assistant, щоб видалити свою активність у мережі. Нижче наведено кілька прикладів команд, за допомогою яких це можна зробити:

“Привіт, Google, видали мою останню розмову”
“Привіт, Google, видали сьогоднішню активність”
“Привіт, Google, видали активність цього тижня”

Щоб краще зрозуміти всі функції, відвідайте сторінку активності помічника у своєму обліковому записі Google. Існують варіанти автоматичного видалення активності через 3, 18 або 36 місяців.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.

Ця стаття Що таке Google Assistant та що він може робити? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар