av Mikael Winterkvist | mar 1, 2021 | Säkerhet
Apple stärker säkerheten i kommande iOS 14.5 ytterligare och kommer att göra det väsentligen svårare att kunna genomföra det som kallas ”Zero Click” attacker.
En ”Zero Click” attack innebär att en iPhone eller iPad kan hackas utan att användaren klickar, bekräftar eller göra något med enheten. En sådan attack kan i teorin göras med hjälp av script på en hemsida, i samband med att en app installeras eller liknande. Det är en typ av attack som av det skälet blir mycket svår att upptäcka för användaren.
iOS 14.5
För att förhindra ”Zero Click” attacks så krypterar och skyddar nu Apple delar av koden i iOS 14.5 vilket gör det betydligt svårare att exploatera eventuella buggar och som också försvårar den här typen av attacker.
”It will definitely make 0-clicks harder. Sandbox escapes too. Significantly harder,” a source who develops exploits for government customers told Motherboard, referring to ”sandboxes” which isolate applications from each other in an attempt to stop code from one program interacting with the wider operating system. Motherboard granted multiple exploit developers anonymity to speak more candidly about sensitive industry issues.
Vice
av Mikael Winterkvist | feb 24, 2021 | Säkerhet
Bank ID lag nere delar av tisdagskvällen och anledningen var att tjänsten utsattes för en överbelastningsattack.
Problemen började strax före klockan åtta på tisdagskvällen. Bank ID-tjänsten blev svår att nå, gick mycket långsamt och för många spå gick det överhuvudtaget inte att nå och använda Bank ID.
Driftstörning åtgärdad. Mellan 19:45 – 20:15 och 21:45 – 22:10 den 23 februari kan användare ha upplevt problem med BankID. Driftstörningen är nu åtgärdad…
Kvällen den 23 februari utsattes BankID för en s k överbelastningsattack/DDoS. BankID vidtog tekniska motåtgärder och stoppade attacken. All data och användares integritet är fortsatt skyddad. Våra åtgärder kan medföra att användare upplever långa svarstider eller att tjänster är svåra att nå under sen kväll.
BankID har rutiner och processer för att kunna hantera överbelastningsattacker och våra användare kan fortsatt känna sig trygga.
Bank ID
– Vi vet inte heller vad syftet kan ha varit. Vi går till brottsbekämpande myndigheter när man blir utsatt för något sådant här, säger Malin Wemnell till TT.
Bank ID-tjänsten har runt åtta miljoner användare och är en viktig identifikationstjänst för att logga in hos en rad myndigheter, för att skriva under avtal och liknande.
av Mikael Winterkvist | feb 22, 2021 | Säkerhet
Nyligen hittades ett lite mystiskt malware-program, skriver både för Intel och Apple Silicon, Silver Sparrow. Just nu så kan detta program installera sig i sårbara system, dölja sig själv, radera sig själva men Silver Sparrow saknar det som kallas ”payload” – skadliga instruktioner.
Malware för macOS förbryllar säkerhetsexperter
Just det faktum att Silver Sparrow är tämligen välskrivet, innehåller sofistikerade funktioner men saknar ytterligare instruktioner för att stjäla information, skicka spam eller några skadliga funktioner gör att säkerhetsexperter funderar på vad programmet egentligen är avsett för och vad det är tänkt att göra. Silver Sparrow har dessutom upptäckts i nästan 30 000 Mac-datorer ute på nätet vilket betyder att även om spridningen är begränsad så har programmet fått viss spridning.
Åtgärder
Kort efter det att uppgifterna publicerades i lördags av säkerhetsföretaget Red Canary så vidtog Apple förberedande åtgärder för att snabbt stoppa programmet om det skulle få vidare spridning. Sannolikt så har Apple förberett en aktivering av den centrala funktion som finns i alla moderna Mac-datorer där skadliga program kan stoppas centralt, av Apple.
av Mikael Winterkvist | feb 22, 2021 | Säkerhet
Med hjälp av ett verktyg så kan samtal spelas in och plockas ned (ut) från Clubhouse. Den sociala tjänsten har snabbt gått och lovat att åtgärda buggen.
Under helgen så loggade en användare in, deltog i flera samtalsrum och skickade samtalen vidare till en annan webbplats – (streamade) samtalen vidare.
A week after popular audio chatroom app Clubhouse said it was taking steps to ensure user data couldn’t be stolen by malicious hackers or spies, at least one attacker has proven the platform’s live audio can be siphoned.
An unidentified user was able to stream Clubhouse audio feeds this weekend from “multiple rooms” into their own third-party website, said Reema Bahnasy, a spokeswoman for Clubhouse. While the company says it’s “permanently banned” that particular user and installed new “safeguards” to prevent a repeat, researchers contend the platform may not be in a position to make such promises.
Bloomberg
Kina
Användaren, som misstänks komma från Kina har nu stängts av, permanent, från Clubhouse.
* Den 18 oktober 2018 publicerade Bloomberg en längre text, The Big Hack , där det påstås att Apple, Amazon, Super Micro Computer och ett trettiotal amerikanska företag avlyssnades av den kinesiska underrättelsetjänsten. Inget annat media har lyckats hitta några bevis eller indicier som stöder Bloombergs uppgifter, trots att flera omfattande försök har gjorts bland annat av Washington Post. En av de namngivna källorna i Bloombergs artikel förnekar dessutom uppgifterna.
Fram till dags dato så har Bloomberg inte tagit tillbaka sina uppgifter.
Super Micro flyttar tillverkningen – Bloomberg har fortfarande inte dementerat sina uppgifter
Bloomberg håller fortfarande fast vid sin historia om kinesiska hackare
Bloomberg har målat in sig i ett hörn
Bloomberg hade fel och borde medge det
Bloombergs oärliga rapport
av Mikael Winterkvist | feb 21, 2021 | Säkerhet
Ett så kallat malware, potentiellt skadligt program skrivet för macOS och för Intel och M1, förbryllar säkerhetsexperter. Programmet har hittats i närmare 30 000 Mac-datorer men programmet saknar skadliga instruktioner (payload).
Programmet har fått namnet Silver Sparrow och finns i två varianter – en av dem är skriven för Apple Silicon M1. Programmet består av en mindre del som installerar sig i en sårbar dator och sedan ett antal instruktioner varav en är att anropa en server och sedan hämta ytterligare instruktioner. Ladda ned en potentiellt skadlig serie instruktioner och kod sannolikt. Det som är en smula förbryllande med Silver Sparrow är att det idag ser ut att sakna det som kallas för en payload – ytterligare kod/instruktioner och att det också har en serie instruktioner där programmet ska kunna radera sig själv, avinstallera sig själv.
Silver Sparrow kontrollerar också om det finns en fil i datorn och söker efter ~/Library/._insu och hittas denna fil så raderar sig Silver Sparrow – helt.
Tecken
Tecken som tyder på att en dator är infekterad är:
In Versions 1 & 2
~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)
Malware Version 1
File name: updater.pkg (installer package for v1)
MD5: 30c9bc7d40454e501c358f77449071aa
File name: updater (bystander Mach-O Intel binary in v1 package)
MD5: c668003c9c5b1689ba47a431512b03cc
mobiletraits.s3.amazonaws[.]com (S3 bucket holding version.json for v1)
~/Library/Application Support/agent_updater/agent.sh (v1 script that executes every hour)
/tmp/agent (file containing final v1 payload if distributed)
~/Library/Launchagents/agent.plist (v1 persistence mechanism)
~/Library/Launchagents/init_agent.plist (v1 persistence mechanism)
Developer ID Saotia Seay (5834W6MYX3) – v1 bystander binary signature revoked by Apple
Malware Version 2
File name: update.pkg (installer package for v2)
MD5: fdd6fb2b1dfe07b0e57d4cbfef9c8149
tasker.app/Contents/MacOS/tasker (bystander Mach-O Intel & M1 binary in v2)
MD5: b370191228fef82635e39a137be470af
specialattributes.s3.amazonaws[.]com (S3 bucket holding version.json for v2)
~/Library/Application Support/verx_updater/verx.sh (v2 script that executes every hour)
/tmp/verx (file containing final v2 payload if distributed)
~/Library/Launchagents/verx.plist (v2 persistence mechanism)
~/Library/Launchagents/init_verx.plist (v2 persistence mechanism)
Developer ID Julie Willey (MSZ3ZH74RK) – v2 bystander binary signature revoked by Apple
Silver Sparrow är ett relativt välskrivet malware med i sammanhanget rätt avancerade funktioner. Det är skriver både för Intel och för M1 med stealth-funktioner för att snabbt kunna dölja sig själv. Allt ser ut att finnas där, utom skadliga funktioner eller funktioner efter det att Silver Sparrow lyckats att infektera en dator. Det är läget just nu ska tilläggas.
Red Canary
Test
Det kan vara så att upphovsmannen, skaparen, har släppt lös sitt program som en test för att se hur det lyckats att sprida sig men det innebär också att när denne någon väl bestämmer sig för att släppa den färdiga versionen med en payload så kommer programmet snabbt kunna upptäckas. Till nu så är Silver Sparrow ett malware som kan sprida sig men som inte tycks göra någon skada, ännu.
av Mikael Winterkvist | feb 17, 2021 | Säkerhet
Säkerhetsföretaget Trend Micro har analysera en av de mesta populär apparna på Android-sidan, ShareIt, och hittat en rad mycket allvarliga säkerhetsproblem med appen som laddats ned mer än en miljard gånger.
Enligt statistik från App Annie så var ShareIt en av de mest nedladdade apparna i Google Play, globalt, 2019. ShareIt finns med på Topp-Tio listan över mest nedladdade appar för det året. Det beräknas att appen kan ha närmare 1.8 miljarder användare globalt – det finns appar för iOS, macOS och Windows.
We discovered several vulnerabilities in the application named SHAREit. The vulnerabilities can be abused to leak a user’s sensitive data and execute arbitrary code with SHAREit permissions by using a malicious code or app. They can also potentially lead to Remote Code Execution (RCE). In the past, vulnerabilities that can be used to download and steal files from users’ devices have also been associated with the app. While the app allows the transfer and download of various file types, such as Android Package (APK), the vulnerabilities related to these features are most likely unintended flaws.
Trend Micro
Rapporten
I Trend Micros rapport sägs att appen har en rad säkerhetsproblem på grund av bristande kvalitetskontroll av den kod som används.
- Bibliotek och filer har både läs och skrivrättigheter – utan kontroll
Det betyder att praktiskt taget vem som helst kan läsa filer, skicka över och lagra filer och även exekvera filer.
Also, we noticed that SHAREit has set up deep links using URL leading to specific features in the app. These contain features that can download and install any APK.
En obehörig kan därmed ladda ned andra funktioner – exempelvis för att stjäla information – överföra och installera dem via Shareit.
Trend Micro har bekräftat att det är fullt möjligt att göra via en tämligen enkel funktion som kan läggas på en hemsida (exempelvis).
Attacker
Det här öppnar upp före en rad olika tänkbara attacker som kan riktas mot en sårbarhet och då buggarna av sådan synnerligen allvarligt art så krävs inte vare sig stora resurser eller ett överdrivet stort kunnande. I klartext – buggarna är tämligen enkla att exploatera.
