Esta semana en seguridad: compromiso masivo de iPhone, más vulnerabilidades de VPN, datos de flujo de telegramas y el hack de @ Hack

En un episodio muy centrado en los dispositivos móviles, comenzamos con la historia de una campaña de explotación de iPhone de larga duración. Se informa que esta campaña fue lanzada por el gobierno chino. La atribución de ataques es definitivamente insignificante, así que tengamos cuidado y digamos que estos ataques probablemente fueron operaciones chinas.

De todos modos, Google Project Zero fue el primero en notar y revelar los sitios web y los ataques maliciosos. Había cinco cadenas vulnerables separadas dirigidas a las versiones 10 a 12 de iOS, con al menos una vulnerabilidad de día 0 previamente desconocida utilizada. La redacción de Project Zero es particularmente detallada y realmente documenta las vulnerabilidades.

La carga útil explorada por Project Zero no instala malware de forma permanente en el dispositivo, por lo que si sospecha que puede estar comprometido, reiniciar es suficiente para agotar su dispositivo.

Este ataque es nuevo, no importa lo sofisticado que sea, al mismo tiempo que casi no está dirigido. El código malicioso funcionaría en el dispositivo de cualquier usuario de iOS que visitara el sitio de alojamiento. La vulnerabilidad de día cero utilizada en este ataque tendría un valor potencial de más de un millón de dólares, y estos ataques de alto valor históricamente han sido más dirigidos contra objetivos de alto valor similar. Aunque no se revelaron los sitios utilizados en el ataque, los propios sitios aparentemente tenían como objetivo algunos grupos étnicos y religiosos en China.

Una vez que se carga un dispositivo infectado, la carga útil cargaría fotos, mensajes, contactos e incluso información GPS en vivo a la infraestructura de comando y control. También parece que los dispositivos Android y Windows fueron el objetivo del mismo ataque.

Números de teléfono fluidos de Telegram

"De forma predeterminada, su número solo es visible para las personas que ha agregado a su libreta de direcciones como contactos". Telegram, más conocido por los mensajes cifrados, también permite la comunicación anónima. Los manifestantes en Hong Kong utilizan esta función para organizarse de forma anónima a través del mensaje de grupo público de Telegram. Sin embargo, una filtración de datos descubierta recientemente reveló los números de teléfono de los miembros de estos grupos públicos. Como puede imaginar, los manifestantes están muy interesados ​​en evitar ser identificados personalmente. La filtración se basa en una característica: Telegram quiere vincularlo automáticamente con otros usuarios de Telegram que ya conoce.

De forma predeterminada, su número solo es visible para las personas que ha agregado a su libreta de direcciones como contactos.

Telegram se basa en números de teléfono. Cuando un nuevo usuario crea una cuenta, se le pide que cargue su lista de contactos. Si uno de los contactos cargados ya tiene un número en el sistema de Telegram, esas cuentas se conectan automáticamente, lo que hace que los números de teléfono sean visibles entre sí. ¿Ves el problema? Un atacante puede cargar un dispositivo con varios miles de números de teléfono, conectarlo al sistema Telegram e ingresar a uno de los grupos objetivo. Si hay una colisión entre los contactos precargados y los miembros del grupo, se emite el número. Con recursos suficientes, este ataque podría incluso automatizarse, permitiendo una campaña de información muy grande.

En este caso, parece que tal campaña estaba dirigida a los manifestantes de Hong Kong. Uno no puede evitar pensar en la primera historia con la que nos hemos ocupado y preguntarse si los datos de contacto de los dispositivos con problemas se utilizaron para sembrar parcialmente el grupo de búsqueda para este esfuerzo.

@ Hack's Hack

Puede que hayas visto que el CEO de Twitter, Jack [@Jack] La cuenta de Twitter de Dorsey fue pirateada y se enviaron una serie de tweets desagradables desde esa cuenta. Esta parece ser una campaña en curso de [chucklingSquad], que también apuntó a otras cuentas de alto perfil. ¿Cómo se las arreglaron para evitar la autenticación de dos factores y una contraseña segura? Cloudhopper. Adquirido por Twitter en 2010, Cloudhopper es el servicio que envía automáticamente mensajes SMS de un usuario a Twitter.

En lugar de un nombre de usuario y contraseña o una señal de seguridad, el usuario está protegido solo por su número de teléfono móvil. Ingrese las estafas de cambio de tarjeta SIM y de transferencia. Estas son dos técnicas similares que se pueden utilizar para robar un número de teléfono. La estafa de eliminación se beneficia del requisito legal de números de teléfono móvil. En el fraude de soporte, el atacante afirma que se está cambiando a una nueva empresa. Un fraude de intercambio de SIM convence a una empresa de que se está cambiando a un nuevo teléfono y una nueva tarjeta SIM. No está claro qué técnica se utilizó, pero sospecho que se trata de un fraude de soporte, ya que Dorsey no recuperó su teléfono celular después de unos días, mientras que un fraude de intercambio de SIM se puede resolver mucho más rápido.

Bug Bounty de Google se ha expandido

En noticias más positivas, Google ha anunciado la expansión de sus programas premium. De hecho, Google ahora está financiando errores para las aplicaciones más populares en Play Store, además del propio código de Google. Esta parece una oportunidad madura para los aspirantes a investigadores, así que elija un programa con más de 100 millones de descargas y sumérjase.

Extraña coincidencia que 100 millones de números se refieran a la cantidad de descargas que tuvo CamScanner cuando fue retirado de Play Store por comportamiento malicioso. Esto parece deberse a una biblioteca publicitaria de terceros.

Actualizaciones

La semana pasada hablamos sobre Devcore y su investigación sobre VPN. Desde entonces, han publicado la parte 3 de su informe. Pulse Secure no tiene vulnerabilidades tan fáciles de explotar, pero el equipo de Devcore encontró una vulnerabilidad pre-auténtica que permitió leer datos arbitrarios del sistema de archivos del dispositivo. Como vuelta ganadora, pusieron en peligro uno de los dispositivos vulnerables de Twitter, lo informaron al programa de errores de recompensas de Twitter y se llevaron a casa la recompensa más alta por sus problemas.

  • Miguel dice:

    "Esto parece deberse a una biblioteca publicitaria de terceros".

    Y, por lo tanto, usar bibliotecas y marcos a ciegas es una de las peores prácticas de IAM. Es suficiente que el propietario de esta biblioteca tenga malos motivos y su programa de aplicación se considere el malo porque la mayoría de los usuarios no comprenden cómo funciona la programación y cómo toda la industria informática se basa en capas de abstracción.

    • RB dice:

      Ni siquiera necesitan malos motivos, solo un código incorrecto por falta de experiencia o esfuerzo.

      • Elliot Williams dice:

        Pero les daría dinero a muchos de ellos con malos motivos.

        https://privacyinternational.org/report/2647/how-apps-android-share-data-facebook-report

    • NiHaoMike dice:

      Recuerdo cuando apareció un programa publicitario en la computadora y se consideró muy malo. ¿Ahora es común en un teléfono celular y se tolera?

      • Sombrero de mando dice:

        Es menos programa de publicidad y publicidad más tosca. En una computadora, un programa publicitario generalmente se define como un software que inserta publicidad en lugares que normalmente no la tenían, como lanzar anuncios integrados en la página de inicio de Google.

        En un teléfono móvil es diferente. El adware móvil generalmente se define como notificaciones molestas que contienen anuncios que aparecen aleatoriamente. Debería realizar una operación mucho, mucho más compleja para tener el mismo efecto que la publicidad en computadoras en teléfonos móviles, por lo que la ruta de notificación de spam es mucho más fácil y también visible en todos los dispositivos y todos los programas.

        A menos que, por supuesto, seas abuela y nunca vacíes las notificaciones.

  • Tom Fleet (@tomfleet) dice:

    Acerca de la historia del iPhone ...

    "Esta operación utilizó catorce operaciones de día cero".

    Santa moly. Aquí (usando el valor del artículo para la explotación de día cero de iOS) hay $ 28 millones (USD).

    Esto cambia ligeramente la vista del valor asignado.

    • Jonathan Bennett dice:

      Algunas veces son inciertas. Es posible que muchos de esos días cero hayan realizado este ataque después de que se hicieron públicos, lo que significa que este atacante en particular probablemente no los descubrió ni los compró.

      • Tom Fleet (@tomfleet) dice:

        ¿Mi entendimiento del término "día cero" es que es un error previamente oculto?

        ¿Pensé que dejaría de ser público de día cero? Teniendo en cuenta iOS, creo que responden bastante rápido a estos ...

        ¿La edición de las páginas de Google TAG / Project Zero sugiere que antes se desconocían?

        "TAG pudo recopilar cinco cadenas operativas de iPhone independientes, completas y únicas, que abarcan casi todas las versiones desde iOS 10 hasta la última versión de iOS 12."

        https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

    • xorpunk dice:

      Android ahora cuesta 2.5 mil, aunque casi siempre hay una forma de rootear Android públicamente. Creo que incluso en 9.0 Go, la seguridad es SELinux y envoltorios de API para el sandboxing de la máquina virtual. Un error de un solo núcleo lo rompe todo, como puede ver en los CVE utilizados en todas las herramientas de enraizamiento.

      IOS no es un gran problema, solo tiene esa protección de memoria central basada en la confianza. El resto de la seguridad son cosas antiguas de x86 como cookies de pila y masivas, aslr, kaslr, nx, etc.

      SEP ha sido derrotado durante años y documentado públicamente. Fue solo por autenticidad de todos modos sin errores de memoria

      A12 agregó algunas cosas adicionales para una pequeña clase de excedentes o algo similar

  • Jon dice:

    ¿Eres igual que Jonathan Bennett en Autoit?

    • Jonathan Bennett dice:

      Bueno, eso es raro. No, un chico diferente.

  • xorpunk dice:

    En los dispositivos iOS 12.4.5 y A12 con parches completos, KPP sigue siendo la única seguridad innovadora. El resto es algo que la gente siempre omite x86 (acumulación y apilamiento de cookies, ASLR, KASLR, nx, etc.).

    x86 tiene algo parecido en Windows 10 con la seguridad de la virtualización respaldada por TPM, donde uno de los conjuntos de instrucciones de virtualización y TPM está en la máquina

    Algo extraño que nunca leerás o escucharás tanto con dispositivos Android como Apple es que la banda base generalmente tiene mejor seguridad que el AP-OS. No solo han reforzado un microsistema con una superficie de ataque estricta, sino que tienen muchas características que son puertas de enlace. Planeta siendo expuesto hace años

    El resto de esta noticia es aburrida; solo ingenieros y programadores de seguridad en bruto

    • Ostraco dice:

      "Algo extraño que nunca leerá ni escuchará con los dispositivos Android y Apple es que la banda base generalmente tiene mejor seguridad que el AP-OS".

      Regla general. Pérdida de su dinero, estricta seguridad. Pérdida de TU mono, SOL.

  • qwert dice:

    Guau. Esa culpa de Telegram es terrible. Si crea un programa explícita y exclusivamente comprometido con las comunicaciones seguras, por el amor de Cristo, no utilice este método de elección clandestina para fomentar de manera convectiva el compromiso y el crecimiento. Eso es realmente repugnante.

    Pero bueno, sabemos de cuando Lavabit cerró, Telegram y varios otros probablemente estén planeados de alguna manera.

  • batuhan dice:

    por eso lo uso limpio. debido a que tienen su sede en Hong Kong, no mantienen ningún registro, ya que no caen bajo los 5 ojos. y suciedad también barata desde su halloween

Alana Herrero
Alana Herrero

Deja una respuesta

Tu dirección de correo electrónico no será publicada.