25 апреля 2014

Новости недели: от SMS-троянов до уязвимости в Viber

Новости

Снова пятница — снова наш традиционный дайджест интересных событий недели. SMS-троянец, $5 от Google в подарок, хакерское ружье и другие новости за последние пять рабочих дней.

Новости недели: от SMS-троянов до уязвимости в Viber

Heartbleed не пройдет

Всем известная уязвимость в OpenSSL (aka Heartbleed) достаточно серьезно ударила по интернет-индустрии в целом. Настолько серьезно, что сразу несколько крупных компаний решили собраться вместе и решить, как избежать подобных инцидентов. Инициативу проявила организация Linux Foundation, собрав за круглым столом целую плеяду гигантов рынка: Google, Facebook, Cisco, Dell, Amazon, Fujitsu, Microsoft и др. Все они хотят совместными усилиями избавить программы с открытым исходным кодом от всевозможных серьезных уязвимостей, подобных Heartbleed. При этом каждый участник проекта, который получил название Core Infrastructure Initiative (CII), обязуется вложить по $100 тысяч в течение нескольких лет. Деньги планируется потратить на поощрения разработчиков, которые трудятся на благо open source, причем преимущественно бесплатно. Первым проектом, которому собираются помочь интернет-гиганты, станет тот самый OpenSLL, который нынче живет на очень уж скромные деньги.

В США появился первый SMS-троянец

Нашими экспертами был обнаружен новый зловред, получивший название Trojan-SMS.AndroidOS.FakeInst.ef. Казалось бы, эка невидаль: специалисты «Лаборатории Касперского» регулярно находят множество троянцев. Но тут случай особый: вероятнее всего, найденный экземпляр является первым в США троянцем, способным отправлять SMS на премиум-номера. Кроме жителей США зловред способен обобрать жителей еще 60 с лишним стран мира. Причем, что интересно, первой страной, в которой троянец начал свою грязную работу, оказалась Россия. Подробнее об этом зловреде можно прочитать в исчерпывающей статье нашего эксперта Романа Унучека.

Apple поправила серьезные баги в iOS и OS X

Продолжая тему SSL, нельзя не упомянуть купертиновцев, которые наконец-то поправили уязвимость, позволявшую злоумышленникам перехватывать пользовательский трафик, идущий через SSL-соединение. Правки были внесены в код как мобильной операционной системы iOS, так и настольной OS X. Помимо бага с так называемым тройным рукопожатием (подробнее об этой заумной штуке можно почитать в «Википедии») Apple исправила и множество других уязвимостей разной степени серьезности, в том числе и баг, позволявший выполнять на устройстве жертвы произвольный код после того, как та открывала файл с расширением PDF или JPG.

Получили письмо с AOL.com? Не читайте!

Именно такой совет дала администрация почтового сервиса AOL Mail. Дело в том, что бедняги, как выяснилось, были атакованы хакерами, которые умудрились взломать немалое количество адресов и разослать с них спам и фишинговые письма. Всего, по словам компании, спуфингу подверглось около 1% аккаунтов. Исходя из общего числа пользователей, коих порядка 10 млн, можно предположить, что взлом коснулся 100 тысяч пользовательских адресов. Почему произошел взлом и как злоумышленникам удалось провернуть операцию, никто внятно сказать не может, но AOL немедленно заблокировала серверы и выпустила предупреждение, рекомендующее воздержаться от открытия писем с адреса @aol.com, особенно если в них содержится вложение.

Bitcoin на карточке

Ни недели без новостей о Bitcoin. Впрочем, на этот раз повод позитивнее предыдущих: новый стартап Xapo (читается как «ксапо») предлагает поклонникам криптовалюты завести биткоин-кошелек и привязать его к привычной пластиковой карточке. Такую дебетовую карту, если верить авторам идеи, можно будет использовать в любом месте, где принимают VISA и MasterCard. До них, впрочем, до такого додумывались и другие компании, но до реального выпуска карт дело вроде бы не дошло. Xapo же предлагают заказать карточку уже сейчас, за что придется заплатить полтора десятка долларов США. К слову, раз уж заговорили о биткоинах: новостей о почившей в бозе биткоин-бирже Mt. Gox пока никаких нет. Ни хороших, ни плохих. Ждем с нетерпением.

Google ответит за чужой фейковый антивирус

Помните новость про антивирус-пустышку? Так вот, за горе-разработчиков решила вступиться сама Google! Всем тем, кто приобрел приложение Virus Shield, которое вместо ловли вирусов на самом деле лишь меняло цвет иконки, Google выслала сообщение, в котором пообещала не только вернуть деньги за покупку ($4 без цента), но и подарить еще пять баксов, вроде как в качестве компенсации за моральный ущерб. Подарочные деньги пользователи смогут потратить в магазине Google Play на музыку, приложения или книги. Надо сказать, что авторы опального «антивируса», обещавшие вернуть деньги своим клиентам и выложить рабочую версию программы, до сих пор не сделали ни того, ни другого. Как говорится, опасайтесь подделок и пользуйтесь проверенными средствами защиты.

Пользователи Viber под угрозой

Двое экспертов из Университета Нью-Хэйвена обнаружили в популярном мессенджере Viber серьезную уязвимость, касающуюся передачи видео, фотографий и геометок. Как выяснили исследователи, все эти типы данных пересылались в незашифрованном виде (и это в 2014 году, да еще и после Heartbleed. Ай-ай-ай!) и могли быть перехвачены.

К счастью, достоверных данных о том, что кто-то из пользователей сервиса пострадал от найденного бага, нет. Кроме того, обнаружившие дыру эксперты оперативно связались с администрацией Viber, и те не менее оперативно поправили код приложения. Собственно, надо полагать, правка вошла в недавнее обновление программы: на iOS, например, новая версия вышла буквально на днях.

Хакер создал винтовку для взлома Wi-Fi

Как всегда, в конце дайджеста немного веселья. Хакер по имени Хантер Скотт соорудил целиком автономную винтовку (Хантер… Винтовка… Где-то мы это уже слышали, да?), которую можно использовать для поиска уязвимых Wi-Fi-сетей.

Устройство представляет собой спортивную винтовку, к которой прикреплены аккумулятор, Wi-Fi-антенна, маленький дисплей и миниатюрный компьютер. Дополняет всю эту красоту широко известная в узких кругах операционная система Raspberry Pwn. Хакерское оружие достаточно навести в сторону предполагаемого расположения Wi-Fi-хотспота и нажать на спусковой крючок, после чего система просканирует окружение на наличие беспроводной сети, проведет ее анализ и попытается взломать. К слову, внутренности винтовки не пострадали, так что ею все еще можно пользоваться по назначению. Так сказать, если сеть не взламывается по-хорошему, всегда есть вариант попробовать по-плохому.

Вот такой была эта неделя. Приятных выходных и до новых встреч.