Новости недели: от DDoS средствами Google до бэкдора в Samsung Galaxy

Новости

Ежедневно в информационном поле мимо нас с вами пролетает огромное количество новостей, которые по тем или иным причинам остаются без нашего внимания. Поэтому мы решили попробовать новый формат: каждую пятницу мы подводим итоги, кратко рассказывая о наиболее интересных событиях в сфере инфобезопасности, о которых не успели упомянуть в течение недели. Итак, что же интересного произошло с 10 по 14 марта?

digest.jpg

Как провести DDoS-атаку при помощи Google
Редактор таблиц Google Docs, оказывается, можно использовать как орудие DDoS-атаки. Об этом стало известно благодаря программисту под ником chr13, опубликовавшему в понедельник, 10 марта, подробности у себя на сайте. Рецепт до смешного прост: в ячейку вводится короткая строка кода для загрузки изображения со стороннего целевого сервера, а в конце добавляется произвольный параметр (=image(«http://targetname/file.pdf?r=0»)). Чем больше строк с разными параметрами присутствует в таблице и чем тяжелее файл, тем больше будет нагрузка на сервер, с которого он подгружается. Забить таким образом даже гигабитный канал оказалось проще простого. Причем краулер устроен таким образом, что забанить его по IP весьма проблематично. В компании Google, впрочем, признавать это безобразие уязвимостью отказались. Стало быть, ждем сервиса Google DDoS.

WhatsApp снова под угрозой
Популярнейшему мессенджеру снова досталось по тому месту, где у него обычно свисает секьюрити. На этот раз удар нанес специалист по инфобезопасности Бас Боссхерт, изучавший уязвимости Android-версии программы. В своем блоге он рассказал, что вся переписка хранится в специальном файле, который размещается на установленной в смартфон карте памяти. Это значит, что любое стороннее приложение, получив на этапе установки разрешение пользователя на доступ к флешке, сможет без проблем переслать копию файла на произвольный сервер. Круто? Еще как! Конечно же, файл зашифрован, однако, по словам Боссхерта, привести его содержимое в читабельный вид можно при помощи нехитрого скрипта. Справится даже ребенок! Реакция WhatsApp была настолько же быстрой, насколько и нелепой: представители компании заявили, что слова Баса являются преувеличением, что «при нормальных обстоятельствах данные на SD-карточке не раскрываются», если только на телефон не попал какой-нибудь зловред, и что свежая версия мессенджера защищена лучше предыдущих. Боссхерт на реакцию компании ответил просто: установил последнюю версию WhatsApp и ломанул описанным им же способом.

Вышла iOS 7.1: теперь банановая еще безопаснее
О том, что новая версия операционной системы iOS доступна для загрузки с начала недели, известно большинству владельцев смартфонов Apple, но далеко не все знают, что именно было исправлено в 7.1 по сравнению с предыдущей версией. Речь, конечно, не о визуальных твиках и прочих мелочах, а об уязвимостях. Всего было залатано более двух десятков дыр, часть из которых была обнаружена еще в том году командой разработчиков Google Chrome. Помимо прочих были исправлены ошибки переполнения буфера в части системы, отвечающей за работу с изображениями, баги в браузере Safari, а также возможность получить доступ к файловой системе посредством специально подготовленного бэкап-файла. Также Apple поправила менее значительные недочеты вроде возможности доступа к списку контактов FaceTime с заблокированного экрана. И да, самое главное: джейлбрейк на iOS 7.1 невозможен.

За владельцами Samsung Galaxy можно тайно следить
Разработчики проекта Replicant обнаружили довольно неприятную особенность версий ОС Android, установленных на некоторые смартфоны и планшеты Samsung серии Galaxy. Найденный бэкдор может открыть доступ к содержимому внутренней памяти устройства, причем для этого не обязательно иметь физический контакт с девайсом. Дело в том, что сигнальный процессор, отвечающий за работу устройства с сотовой сетью, управляется не основной операционной системой (в данном случае ОС Android), а дополнительной, написанной самим производителем железа и закрытой для посторонних. Так вот, «потайной ход», по мнению экспертов, находится именно в этом ПО, и он, имея доступ к памяти, теоретически позволяет превратить некоторые модели Galaxy в шпионские устройства, подслушивающие и подсматривающие за своими хозяевами. Все действия, как несложно догадаться, можно проводить удаленно, посредством того самого сигнального процессора. Кому это может быть интересно — объяснять не нужно. В Samsung, к слову, на сообщение о найденном бэкдоре на момент написания этой заметки никак не отреагировали.

Анонимус все еще не прощает
Конец рабочей недели ознаменовался сразу несколькими мощными DDoS-атаками на сайты российских СМИ и госучреждений. Первым пострадал сайт Первого канала, на который обрушился мусорный трафик, причем дважды за день, с небольшим перерывом. Днем позже, в пятницу, 14 марта, от аналогичных атак пострадал новостной портал Lenta.ru, а также официальные сайты Кремля и Центробанка РФ. Кто был исполнителем акции против Первого канала, до сих пор неизвестно, а вот за пятничные безобразия ответственность на себя взяло российское крыло известной группы Anonymous, о чем с матом и неподдельной гордостью сообщило в своем твиттере. По состоянию на вечер пятницы все перечисленные сайты доступны.

Вот такой была эта неделя. Не забывайте нажимать на кнопочки ниже, если вам понравился этот пост :) До встречи в следующую пятницу!