Esta semana en seguridad: iPhone de Project Zero, BBC The Onion, enraizamiento de Android y más

El siempre interesante Project Zero tiene un par de historias que giran en torno a la investigación de seguridad en sí. El primero, de esta semana, trata sobre la búsqueda de una persona que construya un iPhone inalámbrico para la investigación. [Brandon Azad] deseaba funciones de depuración de iOS como un paso, deshabilitar ciertas mitigaciones y usar el depurador LLDB. Si bien Apple está depurando iPhones, estos son dispositivos raros y aparentemente de difícil acceso.

[Brandon] comenzó a mirar el lanzador de iBoot, pero rápidamente centró su atención en las instalaciones de depuración integradas en el parche Arm. Entre la fuente XNU disponible y la documentación pública de Arm, logró encontrar y acceder a los registros de depuración de CoreSight, lo que le dio un control de un solo paso sobre el kernel al mismo tiempo. Al activar un cierre del kernel y luego interrumpir ese kernel durante la reconfiguración, pudo deshabilitar las protecciones de ejecución de código, dándole básicamente todo lo que estaba buscando. El acceso a esta interfaz de depuración aún requiere una vulnerabilidad central, por lo que no se preocupe por el uso indebido de esta investigación.

La segunda historia de Google Zero que me llamó la atención se publicó a principios de mes y trata de encontrar información útil en lugares inesperados. Es decir, busque símbolos de depuración en versiones anteriores de Adobe Reader. Tratar de averiguar qué sucede bajo el capó de una aplicación en ejecución es difícil cuando todo lo que tienes es un descompilador. Adobe no envía versiones sin conexión de Reader y nunca ha enviado información sin conexión en Windows. Reader ha existido durante mucho tiempo y ha admitido bastantes arquitecturas a lo largo de los años, y sorprendentemente se han enviado muchas versiones de depuración como resultado.

¿Qué tan útiles podrían ser los datos de depuración antiguos? Recuerde que Adobe cambia lo menos posible entre ediciones. Algunos paradigmas de codificación, como las enumeraciones, también tienden a ser bastante estáticos. Se pueden agregar elementos adicionales al final de la enumeración, pero es poco probable que cambien los valores existentes. [Mateusz Jurczyk], el autor del artículo, luego nos muestra un ejemplo de cómo tomar esos datos y aplicarlos para descubrir qué sucede con un accidente.

¡Oh, no!

Esta semana estaba luchando con un extraño problema para un cliente. De repente, Chrome comenzó a mostrar el mensaje "¡Oh, no!" una página de bloqueo para cada sitio que visito, incluidas las páginas de configuración de Chrome. Resulta que no estaba solo: muchos usuarios de Chrome 78 en Windows 10 han visto problemas similares. Resulta que Chrome 78 fue la primera versión que incluyó soporte para Renderer Code Integrity, una característica de Windows 10 diseñada para brindar seguridad adicional a los navegadores. La forma en que antivirus como Symantec Endpoint Protection vincula el proceso del navegador también es una violación de la integridad, lo que lo convierte en un ejemplo adicional de comportamiento antivirus que es incómodamente similar al comportamiento del malware. Si bien Symantec ya lanzó una actualización que corrigió el problema, no fue el único proveedor que causó este problema, por lo que Google ha devuelto temporalmente su soporte de RCI.

BBC en Tor

Tor, anteriormente The Onion Router, es una red de relés que proporciona una forma de acceder a Internet con verdadero anonimato. Uno de los elementos más interesantes de Tor es el servicio oculto: normalmente un sitio web con un nombre que termina en ".onion". Uno de los servicios .onion más nuevos es BBC, o puede acceder a esa historia en https://www.bbcnewsv2vjtpsuy.onion/news/technology-50150981 si está conectado a Tor. Quería ver la BBC y The Onion, ese gran bastión de la sátira de las noticias, pero es realmente fascinante ver a la BBC abrazar a Tor.

¿Cuál es el propósito? ¿No es Tor solo un magnífico servicio de VPN, con los mismos problemas potenciales? Bueno, no, Tor tiene sus propios problemas únicos. El concepto central de Tor es el cifrado de clave pública anidada. Cada paquete está construido con 3 capas de cifrado, lo que lleva a la comparación de cebolla. Este paquete cifrado se envía a un nodo de entrada Tor, que realiza la primera capa de descifrado. Esto da como resultado un paquete de doble cifrado y un puntero al siguiente nodo. El nodo de entrada envía el paquete al nodo indicado, que descifra la siguiente capa y reenvía el paquete a un nodo de salida. El nodo saliente descifra la capa final, lo que da como resultado un paquete no cifrado (a menos que sea HTTPS, por ejemplo) y la dirección IP del servicio externo al que el usuario realmente quería acceder. El nodo de entrada solo conoce la dirección IP del usuario y el nodo intermedio. El nodo intermedio solo ve qué nodos sirvieron como nodos de entrada y salida. El nodo saliente conoce la IP del servicio de destino, pero no conoce la IP o la ubicación del usuario.

Si bien esto proporciona anonimato, la desventaja es que el nodo de salida puede inspeccionar e incluso intentar modificar todo el tráfico que fluye. Además de esto, muchos nodos de salida están incluidos en la lista negra en varios servicios. También hay algunos ataques prácticos contra Tor que pueden revelar usuarios. Por ejemplo, cuando un atacante puede observar el nodo de entrada y salir del tráfico de un nodo, un ataque de tiempo puede revelar a los usuarios.

El servicio oculto evita al menos algunos de estos problemas al evitar el nodo de salida que no es de confianza. En cambio, el servicio genera su clave pública, que actúa como fuente para el nombre de dominio .onion, y luego carga esos datos en la Tabla Hash Distribuida (DHT), que es almacenada por muchos nodos Tor. Cuando un usuario intenta conectarse a un servicio encubierto, recupera un nodo de encuentro del DHT y la conexión se puede realizar completamente dentro de Tor sin revelar la identidad de ambas partes. La BBC no está tratando de ocultar su identidad, por lo que pudieron acelerar todo el proceso anunciando su nodo directamente. Los usuarios aún pueden iniciar sesión de forma anónima, pero solo se necesitan 3 saltos en lugar de 6.

Cabe señalar que algunos elementos del sitio web de la BBC no están alojados en el dominio BBC.com y, por lo tanto, no forman parte del servicio .onion. Los elementos como anuncios y algunos scripts se seguirán cargando a través de un nodo de salida. Esto no es necesariamente un problema, pero sí digno de mención. La BBC ha trabajado duro y ha creado al menos otro servicio secreto para reflejar su dominio bbci.co.uk, para aliviar al menos algunos de estos problemas.

Nginx revela PHP-FPM RCE

Una configuración de nginx bastante extraña reveló un error en PHP-FPM. La aritmética de punteros se realiza basándose en una suposición incontrolada y, como resultado, se puede manipular una estructura de datos. La clave para aprovechar esta suposición es la expresión regular, que no procesa correctamente una nueva línea como parte de la URL. La nueva línea en la URL da como resultado una variable vacía, que se supone que nunca debe estar vacía. El resultado es que los punteros correspondientes a esa estructura de datos están dañados. La manipulación cuidadosa del resto de la URL significa que un atacante puede usar la corrupción para ejecutar parte de la URL directamente como código PHP.

La configuración vulnerable se incluyó en el documento de configuración de Nextcloud, por lo que si tiene un ejemplo de Nextcloud alojado por nginx, asegúrese de verificar este problema.

Por un lado Rooting de Android

Se ha introducido una vulnerabilidad reciente de Android, un error de uso después de la liberación, en una aplicación raíz fácil de usar. Debido a que la vulnerabilidad existe en la base del código de Android, esta vulnerabilidad se aplica a bastantes dispositivos. Es una vulnerabilidad de uso después de la liberación, lo que significa que la memoria se libera, pero algún fragmento de código intenta acceder a esa memoria como si aún fuera válida. Debido a que se libera, otro proceso podría escribir en esa ubicación de memoria antes de acceder a ella.

Si bien la vulnerabilidad está presente en muchos dispositivos, [Grant Hernandez] advierte contra la ejecución ciega de su código en su dispositivo y, como resultado, ha optado por no lanzar una versión compilada del exploit. Compilar el código en APK es relativamente simple, recortar el exploit para que funcione como se espera en su dispositivo requiere un poco más de habilidad y conocimiento. [Grant] escribió el proceso de transformación de la vulnerabilidad en una raíz completa de su dispositivo, y vale la pena leerlo si está interesado en los detalles de seguridad de Android.

Alquiler de coches y smartphones

Un punto de venta de algunos autos de último modelo es la capacidad de conectarlos a un teléfono inteligente. Es útil poder desbloquear su automóvil, arrancar el motor e incluso rastrear su ubicación a distancia. En el ámbito de las consecuencias no deseadas se encuentra lo que sucede cuando se utiliza un vehículo compatible con teléfonos inteligentes como coche de alquiler.

[Masamba Sinclair] conectó su auto de alquiler a su teléfono y disfrutó de las funciones de conectividad durante el período de alquiler. Le resultó extraño, entonces, cuando unos días después descubrió que aún podía acceder al vehículo a través del programa, a pesar de que otra persona lo había alquilado. Envió un correo electrónico y tuiteó a Ford sobre el asunto, pero fue en vano. Finalmente, después de que funcionó el artículo de Ars Technica, Enterprise se puso en contacto con él. Finalmente perdió el control de su alquiler hace meses, pero ¿cuántos otros vehículos están en las mismas condiciones?

Es una buena práctica de seguridad eliminar la configuración del coche de alquiler antes * y * después del período de alquiler. ¿Cuánta información proporcionó simplemente emparejando Bluetooth desde su teléfono al sistema de infoentretenimiento? Probablemente más de lo que crees.

  • zoobab dice:

    ¿Alguna idea de cómo la BBC logró obtener una dirección .onion que comienza con bbcnews * .onion?

    • Armin dice:

      Es un poco lento pero posible

      https://opensource.com/article/19/8/how-create-vanity-tor-onion-address

    • Jonathan Bennett dice:

      7 caracteres es muy fácil de generar con un extractor. https://github.com/lachesis/scallion Genero 8 caracteres prefijados .onion direcciones durante unos días, y requieren 5 minutos cada uno usando mi rx590.

  • Ren dice:

    "El siempre interesante Project Zero tiene un par de historias[…]"
    "La segunda historia de Google Zero que me llamó la atención[…]"

    Entonces, ¿Project Zero y Google Zero son uno y lo mismo?

    • Jonathan Bennett dice:

      El nombre completo es "Google Project Zero". ¿Son cero e iguales?

      • Ren dice:

        Tocar
        B ^)

  • Brian dice:

    Hay muchas cosas que harán que la pantalla de Chrome "oh". De repente apareció en la mayoría de mis cajas sueltas y debian en unos seis meses, por lo que no necesariamente son problemas de fans, es principalmente un problema adicional. El "oh clic" también será el resultado de algún tipo de problemas latentes que Chrome no puede o no quiere manejar.

    Ahora estoy viendo un regreso a Firefox.

    • Jonathan Bennett dice:

      Esta fue la primera vez que vi la página de clic cuando abrí las páginas de configuración y extensiones de Chrome. Literalmente, todo fallaba, lo que dificultaba la resolución de problemas.

  • 13 de julio dice:

    Las "vulnerabilidades", afirmó, son resultados inevitables de la comunicación. Toda esta sección "escribió algunas cosas de sonido aterradoras para que nadie se diera cuenta de que 'BBC está en tor', no es noticia"

    Difícilmente es un titular. Deja de buscar contenido

    • xorpunk dice:

      PSK o intercambio de claves, que no es solo una clave pública o hash de RSA, resuelve el problema de TOR ... Puede haber nodos sin procesar como entrada y salida desde los primeros días de TOR (la API de administración de cadena es muy antigua) y todo que lo hacen, es simplemente publicar blogs al respecto y no ofrecer autenticación de tipo DHT que no sea el registro de servicio encubierto. .

      Alguien rompió con algunas IPs podría hacer un ataque con poco o ningún dinero o talento usando solo cosas en TOR vainilla

  • Andy dice:

    Tu publicación realmente me ayudó con algunas preguntas sobre Tor. Una vez visité el sitio de cebolla en colina. Me asustó tanto que nunca volví a tocar un toro y me deshice de él. Ahora creo que necesito descargarlo de nuevo.

Manuel Gómez
Manuel Gómez

Deja una respuesta

Tu dirección de correo electrónico no será publicada.