vk.com/taigamobilesecurity Количество участников: 285
Название группы
Taiga Mobile Security
Страна
Россия
Город
Москва
Описание
Taiga Mobile Security — первая российская система, которая защитит Ваше устройство от поддельных и шпионских приложений, утечки личных данных, спама, а в случае кражи устройства — поможет Вам его найти.
Сайт
https://taigasystem.com
Тип сообщества
Группа
Тип деятельности
Публичная страница
Записи сообщества:
Taiga Mobile Security 24 янв. 2018 в 10:48
Хакеры могут шпионить за пользователями через приложение Tinder 👀
Атакующие могут просматривать профиль пользователя, видеть отображаемые на его экране изображения и определять совершенные им действия.
Исследователи безопасности из компании Checkmarx обнаружили в приложении Tinder для iOS и Android опасные уязвимости, позволяющие злоумышленникам отслеживать активность пользователей и манипулировать контентом.
По словам исследователей, атакующие, подключенные к той же сети Wi-Fi, что и жертва, могут просматривать профиль пользователя, видеть отображаемые на его экране изображения и определять действия, совершенные пользователем в приложении.
Одна из уязвимостей заключается в том, что в настоящее время версии Tinder для iOS и Android загружают изображения профиля через небезопасные HTTP-соединения.
«Атакующие могут легко обнаружить, какое устройство какие профили просматривает. Помимо этого, если пользователь остается в сети достаточно долго или если приложение инициализируется в уязвимой сети, злоумышленник может идентифицировать и исследовать профиль пользователя», - пояснили специалисты.
Как отметили эксперты, уязвимость также может позволить атакующему перехватить и изменить трафик. «Злоумышленник может заменить изображения профилей, которые видит жертва, разместить нежелательную рекламу и внедрить вредоносное содержимое», - добавили они.
Помимо использования небезопасного HTTP соединения, исследователи также обнаружили проблему с использованием HTTPS в приложении. Эксперты назвали данную уязвимость «Предсказуемым размером ответа HTTPS» (Predictable HTTPS Response Size).
«Тщательно проанализировав трафик, поступающий от клиента на сервер API, и сопоставив его с HTTP-трафиком, злоумышленник может определить не только изображение, которое пользователь видит в Tinder, но и действие, которое он совершил. Это делается путем проверки размера полезной нагрузки в зашифрованном ответе сервера API», - пояснили исследователи.
Например, когда пользователь проводит пальцем влево, указывая на отсутствие интереса к профилю, сервер API отправляет зашифрованный ответ размером в 278 байт. Если пользователю понравился определенный профиль и он провел пальцем вправо, сервер генерирует ответ размером в 374 байта.
Исследователи уведомили Tinder о проблемах. В настоящее время неясно, эксплуатировались ли данные уязвимости злоумышленниками.
Подробнее: http://www.securitylab.ru/news/490993.php
Атакующие могут просматривать профиль пользователя, видеть отображаемые на его экране изображения и определять совершенные им действия.
Исследователи безопасности из компании Checkmarx обнаружили в приложении Tinder для iOS и Android опасные уязвимости, позволяющие злоумышленникам отслеживать активность пользователей и манипулировать контентом.
По словам исследователей, атакующие, подключенные к той же сети Wi-Fi, что и жертва, могут просматривать профиль пользователя, видеть отображаемые на его экране изображения и определять действия, совершенные пользователем в приложении.
Одна из уязвимостей заключается в том, что в настоящее время версии Tinder для iOS и Android загружают изображения профиля через небезопасные HTTP-соединения.
«Атакующие могут легко обнаружить, какое устройство какие профили просматривает. Помимо этого, если пользователь остается в сети достаточно долго или если приложение инициализируется в уязвимой сети, злоумышленник может идентифицировать и исследовать профиль пользователя», - пояснили специалисты.
Как отметили эксперты, уязвимость также может позволить атакующему перехватить и изменить трафик. «Злоумышленник может заменить изображения профилей, которые видит жертва, разместить нежелательную рекламу и внедрить вредоносное содержимое», - добавили они.
Помимо использования небезопасного HTTP соединения, исследователи также обнаружили проблему с использованием HTTPS в приложении. Эксперты назвали данную уязвимость «Предсказуемым размером ответа HTTPS» (Predictable HTTPS Response Size).
«Тщательно проанализировав трафик, поступающий от клиента на сервер API, и сопоставив его с HTTP-трафиком, злоумышленник может определить не только изображение, которое пользователь видит в Tinder, но и действие, которое он совершил. Это делается путем проверки размера полезной нагрузки в зашифрованном ответе сервера API», - пояснили исследователи.
Например, когда пользователь проводит пальцем влево, указывая на отсутствие интереса к профилю, сервер API отправляет зашифрованный ответ размером в 278 байт. Если пользователю понравился определенный профиль и он провел пальцем вправо, сервер генерирует ответ размером в 374 байта.
Исследователи уведомили Tinder о проблемах. В настоящее время неясно, эксплуатировались ли данные уязвимости злоумышленниками.
Подробнее: http://www.securitylab.ru/news/490993.php
Taiga Mobile Security 10 янв. 2018 в 16:20
В Google Play обнаружен новый вид вредоносной рекламы 💥
Исследователи Check Point обнаружили новый вид вредоносной рекламы в официальном магазине приложений Google Play. Код LightsOut был обнаружен в 22 утилитах и приложениях для использования фонарика. В результате вредонос скачали от 1,5 млн до 7, 5 млн раз. Цель его создателей — незаконное получение дохода от распространения рекламы.
Если пользователь скачал зараженное приложение, скрипт LightsOut отменяет решение пользователя отключить показ рекламных объявлений, если они не являются частью легитимного контента, а затем во многих приложениях скрывает значок приложения, чтобы его не смогли удалить. В результате пользователи были вынуждены нажимать на рекламу, чтобы ответить на звонки или совершать какие-либо другие действия на своем устройстве. По сообщению одного из пользователей, активность вредоносной программы продолжилась даже после того, как он купил версию приложения без рекламы.
Check Point уведомил Google об обнаруженных вредоносных приложениях, после чего Google оперативно удалил их из каталога Google Play.
LightsOut внедряет вредоносный код Solid SDK в с первого взгляда легитимные служебные программы и приложения-фонарики. Большинство приложений содержали две встроенные функции, которые запускались с помощью командного сервера. Первая скрывает значок приложения сразу после того, как его запустили, чтобы пользователь не смог его удалить.
Затем вредоносное приложение предлагает пользователю с помощью панели управления включать или выключать дополнительные услуги, в том числе показ рекламных материалов. Вызвать показ рекламы может любое подключение к сети Wi-Fi, окончание телефонного разговора, подключение к сети питания или блокировка экрана.
Однако даже если пользователь отключил рекламную функцию, LightsOut может игнорировать изменения и продолжать выводить на экран рекламные сообщения. Поскольку реклама напрямую не связана с активностью LightsOut, пользователь не может понять, что ее вызвало. А когда понимает, не может найти значок приложения и удалить его со своего устройства.
Check Point изобразил активность вредоносных объявлений LightsOut на примере телефонного звонка. В данном случае переключателем для запуска показов рекламы является завершение разговора. При этом LightsOut проверяет пользовательские конфигурации. Несмотря на отключение пользователем рекламы, зловред отправляет команду для отображения рекламных сообщений через сервер Command and Control.
Исследователи Check Point обнаружили новый вид вредоносной рекламы в официальном магазине приложений Google Play. Код LightsOut был обнаружен в 22 утилитах и приложениях для использования фонарика. В результате вредонос скачали от 1,5 млн до 7, 5 млн раз. Цель его создателей — незаконное получение дохода от распространения рекламы.
Если пользователь скачал зараженное приложение, скрипт LightsOut отменяет решение пользователя отключить показ рекламных объявлений, если они не являются частью легитимного контента, а затем во многих приложениях скрывает значок приложения, чтобы его не смогли удалить. В результате пользователи были вынуждены нажимать на рекламу, чтобы ответить на звонки или совершать какие-либо другие действия на своем устройстве. По сообщению одного из пользователей, активность вредоносной программы продолжилась даже после того, как он купил версию приложения без рекламы.
Check Point уведомил Google об обнаруженных вредоносных приложениях, после чего Google оперативно удалил их из каталога Google Play.
LightsOut внедряет вредоносный код Solid SDK в с первого взгляда легитимные служебные программы и приложения-фонарики. Большинство приложений содержали две встроенные функции, которые запускались с помощью командного сервера. Первая скрывает значок приложения сразу после того, как его запустили, чтобы пользователь не смог его удалить.
Затем вредоносное приложение предлагает пользователю с помощью панели управления включать или выключать дополнительные услуги, в том числе показ рекламных материалов. Вызвать показ рекламы может любое подключение к сети Wi-Fi, окончание телефонного разговора, подключение к сети питания или блокировка экрана.
Однако даже если пользователь отключил рекламную функцию, LightsOut может игнорировать изменения и продолжать выводить на экран рекламные сообщения. Поскольку реклама напрямую не связана с активностью LightsOut, пользователь не может понять, что ее вызвало. А когда понимает, не может найти значок приложения и удалить его со своего устройства.
Check Point изобразил активность вредоносных объявлений LightsOut на примере телефонного звонка. В данном случае переключателем для запуска показов рекламы является завершение разговора. При этом LightsOut проверяет пользовательские конфигурации. Несмотря на отключение пользователем рекламы, зловред отправляет команду для отображения рекламных сообщений через сервер Command and Control.
Taiga Mobile Security 19 дек. 2017 в 13:36
Троян Loapi может вызвать перегрев батареи в Android-устройстве 🔥
Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых».
Эксперты по кибербезопасности из «Лаборатории Касперского» обнаружили новый Android-троян Loapi, способный вызвать физическую поломку устройства путем перегрева.
По словам исследователей, Loapi является усовершенствованной версией трояна Podec, обнаруженного в 2015 году. Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых». После установки Loapi требует у пользователя права администратора, а при попытке отозвать права – закрывает окно настроек и блокирует экран. Помимо этого, если пользователь попытается установить антивирус, троян объявит данное приложение вредоносным и потребует его удалить.
Loapi обладает модульной структурой, позволяющей связываться с C&C-сервером и устанавливать дополнительные вредоносные модули не прерывая работу. В настоящее время троян может показывать нежелательные рекламные объявления, подписывать пользователей на платные сервисы, осуществлять с помощью инфицированного устройства DDoS-атаки, а также майнить криптовалюту Monero.
Как пояснили эксперты, именно майнинг является наиболее опасной функцией Loapi. Из-за длительной работы процессора на максимальной мощности зараженное устройство перегревается и выходит из строя. В ходе исследования через двое суток после заражения у тестового смартфона от перегрева вздулась батарея.
Вредонос распространяется посредством сторонних источников и в официальном Google Play Store замечен не был. Эксперты рекомендуют устанавливать приложения только из официального сервиса Google Play.
Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых».
Эксперты по кибербезопасности из «Лаборатории Касперского» обнаружили новый Android-троян Loapi, способный вызвать физическую поломку устройства путем перегрева.
По словам исследователей, Loapi является усовершенствованной версией трояна Podec, обнаруженного в 2015 году. Вредонос распространяется через рекламные баннеры и замаскирован под антивирус или приложение «для взрослых». После установки Loapi требует у пользователя права администратора, а при попытке отозвать права – закрывает окно настроек и блокирует экран. Помимо этого, если пользователь попытается установить антивирус, троян объявит данное приложение вредоносным и потребует его удалить.
Loapi обладает модульной структурой, позволяющей связываться с C&C-сервером и устанавливать дополнительные вредоносные модули не прерывая работу. В настоящее время троян может показывать нежелательные рекламные объявления, подписывать пользователей на платные сервисы, осуществлять с помощью инфицированного устройства DDoS-атаки, а также майнить криптовалюту Monero.
Как пояснили эксперты, именно майнинг является наиболее опасной функцией Loapi. Из-за длительной работы процессора на максимальной мощности зараженное устройство перегревается и выходит из строя. В ходе исследования через двое суток после заражения у тестового смартфона от перегрева вздулась батарея.
Вредонос распространяется посредством сторонних источников и в официальном Google Play Store замечен не был. Эксперты рекомендуют устанавливать приложения только из официального сервиса Google Play.
Taiga Mobile Security 14 дек. 2017 в 12:29
В популярных Android-играх обнаружен вредонос Golduck 🆘
Вредоносные приложения позволяют злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения с зараженных устройств.
Эксперты в области кибербезопасности из компании Appthority обнаружили в нескольких популярных играх для ОС Android вредоносное ПО Golduck, позволяющее злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения.
Приложения загружают вредоносный код с сервера Golduck и устанавливают его на устройствах с использованием техники под названием Java отражение (Java Reflection).
По словам исследователей, вредоносные приложения представляют собой качественно сделанные классические игры, такие как Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber. Игры имели высокий рейтинг в Google Play Store и были загружены порядка 10,5 млн раз.
Дополнительный вредоносный APK-файл загружался с адреса hxxp: //golduck.info/pluginapk/gp.apk. В данном файле исследователи обнаружили 3 папки под легитимными на первый взгляд названиями - google.android, startapp.android.unity.ads и unity.ads. Анализируя содержимое папок, эксперты выявили скрытый код (PackageUtils.class), предназначенный для незаметной установки приложений с использованием системных разрешений.
Судя по всему, вредоносные приложения находятся на ранней стадии разработки, поскольку их код не обфусцирован, отметили специалисты.
Загружаемая дополнительная вредоносная нагрузка также включает в себя код для отправки SMS-сообщений на номера из списка контактов пользователя. Сообщения содержат информацию об игре, что потенциально увеличивает шансы распространения вредоносного ПО.
Как пояснили эксперты, Golduck позволяет злоумышленникам полностью скомпрометировать зараженное устройство, особенно на нем включен режим суперпользователя.
Исследователи уведомили Google о своей находке 20 ноября 2017 года. В настоящее время все вредоносные приложение удалены из Google Play Store. Пользователям рекомендуется удалить игры Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber со своих устройств как можно скорее.
Вредоносные приложения позволяют злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения с зараженных устройств.
Эксперты в области кибербезопасности из компании Appthority обнаружили в нескольких популярных играх для ОС Android вредоносное ПО Golduck, позволяющее злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения.
Приложения загружают вредоносный код с сервера Golduck и устанавливают его на устройствах с использованием техники под названием Java отражение (Java Reflection).
По словам исследователей, вредоносные приложения представляют собой качественно сделанные классические игры, такие как Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber. Игры имели высокий рейтинг в Google Play Store и были загружены порядка 10,5 млн раз.
Дополнительный вредоносный APK-файл загружался с адреса hxxp: //golduck.info/pluginapk/gp.apk. В данном файле исследователи обнаружили 3 папки под легитимными на первый взгляд названиями - google.android, startapp.android.unity.ads и unity.ads. Анализируя содержимое папок, эксперты выявили скрытый код (PackageUtils.class), предназначенный для незаметной установки приложений с использованием системных разрешений.
Судя по всему, вредоносные приложения находятся на ранней стадии разработки, поскольку их код не обфусцирован, отметили специалисты.
Загружаемая дополнительная вредоносная нагрузка также включает в себя код для отправки SMS-сообщений на номера из списка контактов пользователя. Сообщения содержат информацию об игре, что потенциально увеличивает шансы распространения вредоносного ПО.
Как пояснили эксперты, Golduck позволяет злоумышленникам полностью скомпрометировать зараженное устройство, особенно на нем включен режим суперпользователя.
Исследователи уведомили Google о своей находке 20 ноября 2017 года. В настоящее время все вредоносные приложение удалены из Google Play Store. Пользователям рекомендуется удалить игры Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber со своих устройств как можно скорее.
Taiga Mobile Security 11 дек. 2017 в 14:08
Опасная уязвимость в Android позволяет обойти подпись приложения ⚠
Проблема Janus позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись.
Миллионы Android-устройств находятся в зоне риска в связи с новой опасной уязвимостью, проэксплуатировав которую атакующие могут заменить установленные на гаджете легитимные версии приложений вредоносными.
Проблема (CVE-2017-13156), получившая название Janus, позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись. Уязвимость затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). Отметим, в Android 7.0 Nougat данный метод заменен на APK Signature Scheme v2, который уже имеет защиту.
Уязвимость связана с процессом установки Android APK некоторых приложений, предоставляющим возможность добавления дополнительных байтов кода в APK файл без нарушения цифровой подписи. Как правило, если проверка подписи проходит успешно, программа скомпилируется в файл формата DEX для последующей работы на устройстве. Суть проблемы заключается в том, что она позволяет объединить оригинальный APK с модифицированным исполняемым файлом DEX (Dalvik EXecutable). В этом случае система установит приложение, а затем запустит код из заголовка DEX. Другими словами, злоумышленникам не потребуется изменять код легитимного приложения, они могут просто добавить несколько строк вредоносного кода в оригинальную программу.
Создав вредоносную версию легитимного приложения, злоумышленники могут распространять ее различными способами, например, посредством спам-рассылок, атак «человек посередине» или через сторонние магазины приложений.
Как пояснили исследователи GuardSquare, обнаружившие уязвимость, обмануть пользователя достаточно легко, поскольку вредоносная версия приложения ничем не отличается от легитимной и обладает настоящей цифровой подписью.
Эксперты проинформировали Google об уязвимости летом текущего года. Компания выпустила соответствующее исправление в рамках пакета декабрьских обновлений безопасности для Android. Плохая новость заключается в том, что большинство владельцев Android-устройств получат корректирующие обновления не раньше следующего месяца, когда производители выпустят соответствующие патчи.
Так как данная уязвимость не затрагивает Android 7 (Nougat), пользователям, устройства которых работают на более ранних версиях Android, рекомендуется обновить ОС. Если по каким-либо причинам это невозможно, эксперты советуют не устанавливать приложения и обновления из сторонних источников для минимизации риска взлома.
Проблема Janus позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись.
Миллионы Android-устройств находятся в зоне риска в связи с новой опасной уязвимостью, проэксплуатировав которую атакующие могут заменить установленные на гаджете легитимные версии приложений вредоносными.
Проблема (CVE-2017-13156), получившая название Janus, позволяет злоумышленникам модифицировать код Android-приложений, не нарушая их цифровую подпись. Уязвимость затрагивает приложения, использующие схему подписи APK Signature Scheme v1 (Android 5.0 и выше). Отметим, в Android 7.0 Nougat данный метод заменен на APK Signature Scheme v2, который уже имеет защиту.
Уязвимость связана с процессом установки Android APK некоторых приложений, предоставляющим возможность добавления дополнительных байтов кода в APK файл без нарушения цифровой подписи. Как правило, если проверка подписи проходит успешно, программа скомпилируется в файл формата DEX для последующей работы на устройстве. Суть проблемы заключается в том, что она позволяет объединить оригинальный APK с модифицированным исполняемым файлом DEX (Dalvik EXecutable). В этом случае система установит приложение, а затем запустит код из заголовка DEX. Другими словами, злоумышленникам не потребуется изменять код легитимного приложения, они могут просто добавить несколько строк вредоносного кода в оригинальную программу.
Создав вредоносную версию легитимного приложения, злоумышленники могут распространять ее различными способами, например, посредством спам-рассылок, атак «человек посередине» или через сторонние магазины приложений.
Как пояснили исследователи GuardSquare, обнаружившие уязвимость, обмануть пользователя достаточно легко, поскольку вредоносная версия приложения ничем не отличается от легитимной и обладает настоящей цифровой подписью.
Эксперты проинформировали Google об уязвимости летом текущего года. Компания выпустила соответствующее исправление в рамках пакета декабрьских обновлений безопасности для Android. Плохая новость заключается в том, что большинство владельцев Android-устройств получат корректирующие обновления не раньше следующего месяца, когда производители выпустят соответствующие патчи.
Так как данная уязвимость не затрагивает Android 7 (Nougat), пользователям, устройства которых работают на более ранних версиях Android, рекомендуется обновить ОС. Если по каким-либо причинам это невозможно, эксперты советуют не устанавливать приложения и обновления из сторонних источников для минимизации риска взлома.