Международная команда исследователей безопасности из США и Израиля обнаружила новый метод атаки по сторонним каналам, позволяющий отслеживать активность пользователей путем анализа потребления энергии.   По словам специалистов, «вредоносная батарея» может собрать достаточно информации о энергопотребляющих компонентах телефона для отслеживания активности.   В ходе исследования эксперты внедрили в батарею микроконтроллер для анализа перепадов мощности на входе и выходе с частотой дискретизации 1 кГц.   Батарея представляет собой очень привлекательный вектор атаки, поскольку злоумышленники могут определить все действия на устройстве. Хакеры могут сопоставлять потоки мощности с нажатиями клавиш, контекстом нажатия клавиши (например, при посещении web-сайта) и «событиями, которые предшествовали или следовали за ним», например, фотографированием или телефонным звонком.   «Вместе эти данные создают полную картину активности пользователя, резко увеличивая эффективность отдельных атак», - отметили исследователи.   В то же время атака сложна в исполнении, так как требует физического доступа к устройству, модифицированной батареи и автономного искусственного интеллекта для анализа мощности.   securitylab.ru

Обновление стандарта WebAssembly может сделать бесполезными часть патчей, исправляющих уязвимости Meltdown и Spectre, сообщил исследователь безопасности из компании Forcepoint Джон Бергбом (John Bergbom).   WebAssembly (WA или Wasm) - новая технология, которая была выпущена в прошлом году и в настоящее время поддерживается во всех основных браузерах, таких как Chrome, Edge, Firefox и Safari. Технология представляет собой компактный двоичный язык, который браузер преобразует в машинный код и запускает его непосредственно на центральном процессоре.   Разработчики браузеров создали WebAssembly для повышения скорости и производительности кода JavaScript, однако в качестве дополнительной функции они также разработали способ переноса кода с других языков, таких как C, C ++ и другие, в Wasm.   Как полагает исследователь, у WebAssembly может быть еще одна побочная функция.   «Как только Wasm получит поддержку потоков с разделяемой памятью, могут быть созданы очень точные таймеры, которые могут сделать возможными атаки по сторонним каналам в браузере», - отметил специалист.   Когда Meltdown и Spectre были обнаружены в январе текущего года, исследователи опубликовали PoC-код, который злоумышленник мог использовать для эксплуатации данных уязвимостей удаленно через браузер. Данный код использовал внутренние встроенные функции браузеров для измерения временных интервалов, таких как «SharedArrayBuffer» и «performance.now ()».   Производители браузеров, таких как Firefox и Chrome, сразу же отреагировали, выпустив обновления, которые снижали точность таймеров в данных функциях.   Однако, по словам эксперта, после того, как поддержка потоков будет добавлена в WebAssembly, исправления для браузеров станут бесполезны, поскольку у злоумышленников появится новый способ измерения точного времени через WebAssembly.   securitylab.ru

Исследователи Амстердамского свободного университета (Нидерланды) представили новую атаку по сторонним каналам на процессоры Intel, позволяющую извлекать ключи шифрования и другую конфиденциальную информацию из приложений. Как сообщает The Register, специалисты опубликуют свое исследование на следующей неделе.   По словам ученых, им удалось успешно осуществить атаки на десктопный процессор Intel Skylake Core i7-6700K, серверный процессор Intel Broadwell Xeon E5-2620 v4 и процессоры на базе микроархитектуры Coffee Lake и извлечь ключи шифрования в 99,8%, 98,2% и 99,8% случаев соответственно.   Исследователи разработали код, способный получать от другой программы 256-битный ключ шифрования, используемый для криптографической подписи данных, во время выполнения этой программой операции подписи с использованием реализации libgcrypt Curve 25519 EdDSA. На определение каждого ключа с помощью ПО с использованием машинного обучения и брутфорс-атак у исследователей ушло примерно 17 секунд.   Техника получила название TLBleed, поскольку предполагает атаку на буфер быстрого преобразования адреса TLB. Техника основывается на использовании реализованной в современных процессорах Intel технологии Hyper-Threading. Процессоры имеют несколько ядер, каждое из которых отдельно вызывает и выполняет код из памяти. С Hyper-Threading ядро может выполнять несколько (обычно два) потоков одновременно. То есть, два потока запускаются ядром одновременно и имеют с ним общую инфраструктуру.   Если ОС «говорит» ядру запустить поток в одной программе и еще один в другой, один поток может следить за другим по тому, как он получает доступ к ресурсам процессора. Таким образом, одна программа может получить доступ к конфиденциальным данным другой. То есть, вредоносное ПО вполне может извлекать ключи шифрования, скажем, почтового клиента, и использовать их для расшифровки сообщений.   securitylab.ru

Команда разработчиков недавно вышедшего криптовалютного кошелька Nano Wallet порекомендовала пользователям немедленно вывести все хранящиеся в нем сбережения в связи с обнаружением уязвимости.   Уязвимость была обнаружена спустя несколько часов после выхода программы и заключалась в использовании ненадежного генератора случайных чисел. Команда разработчиков немедленно приступила к устранению уязвимости.   Позднее представители Nano Wallet создали тему на Reddit, в которой заявили, что на самом деле уязвимость не представляла реальной опасности, так как для успешной эксплуатации на смартфоне потенциальной жертвы должно было быть установлено вредоносное ПО с доступом к адресному пространству памяти. Однако при обращении к данному пространству вредонос раскрывал бы свое присутствие на системе.   На момент публикации новости сообщение на Reddit удалено разработчиками.   securitylab.ru

Консорциум Car Connectivity (CCC), членами которого является ряд крупнейших технологических компаний и автомобильных концернов, заявил о разработке единого стандарта технологии цифровых ключей для автомобилей.   Согласно информации из пресс-релиза, данная технология позволит открывать двери и заводить двигатель транспортного средства с помощью смартфона. Помимо этого, в технологии предусмотрена возможность идентификации пользователя, с помощью которой можно будет продать автомобиль или настроить его для совместного использования.   По словам представителей консорциума, единое технологическое решение появится в первом квартале 2019 года.   Консорциум Car Connectivity занимается разработкой глобальных стандартов и решений для подключения смартфонов и транспортных средств. В состав консорциума входят крупнейшие производители электроники Apple и Samsung, а также такие автомобильные компании, как Audi, BMW, General Motors, Hyundai и Volkswagen.   securitylab.ru

Исследователь компании ESET Лукас Стефанко (Lukas Stefanko) раскрыл подробности о новом Android-трояне для удаленного доступа (RAT), использующем бота Telegram для контроля над зараженными устройствами.   Речь идет о трояне HeroRat, известного по крайней мере с августа 2017 года. В марте 2018 года исходный код трояна был опубликован на хакерских Telegram-каналах, что привело к появлению бесчисленного множества его вариантов.   Несмотря на то, что исходный код вредоноса доступен бесплатно, один из его вариантов продается на Telegram-канале по трехзначной цене в зависимости от функционала. Более того, для покупателей доступен видеоканал техподдержки. Был ли этот вариант создан на базе утекшего исходного кода, или это его исходный код был опубликован в открытом доступе, неизвестно, пишет Стефанко.   HeroRat отличается от других использующих возможности Telegram троянов тем, что был написан с нуля на C# с использованием фреймворка Xamarin – весьма необычно, поскольку Android-трояны как правило пишутся на Android Java. Более того, его авторы адаптировали протокол Telegram под используемый язык программирования. В отличие от других RAT, вредонос использует не Telegram Bot API, а библиотеку Telesharp для создания ботов Telegram на C#.   HeroRat распространяется через сторонние магазины приложений, соцсети и приложения для обмена сообщениями. Большая часть зараженных устройств находится в Иране. После установки на устройство на экране появляется уведомление о невозможности запустить приложение и его деинсталляции. Иконка приложения исчезает с экрана, однако оно само никуда не девается.   Троян способен следить за пользователями, похищать хранящиеся на устройстве файлы, перехватывать и отправлять сообщения, похищать контакты, осуществлять звонки, делать скриншоты, записывать аудио, определять местоположение устройства и управлять его настройками. Управление функциями вредоноса осуществляется с помощью кликабельных кнопок интерфейса бота Telegram.   securitylab.ru

Команда проекта OpenBSD откажется от поддержки технологии Intel Hyper-Threading (гиперпоточность) из-за рисков безопасности, связанных с уязвимостями Meltdown/Spectre и им подобных проблем.   Hyper-Threading представляет собой проприетарную реализацию Intel технологии Simultaneous Multithreading (SMT, одновременная многопоточность), которая появилась в начале 2000-х годов для процессоров Intel Pentium 4 и других. После активации HTT операционная система начинает «видеть» одно реальное физическое ядро процессора как два отдельных процессора. Благодаря этому при определенных типах нагрузки процессор становится более продуктивным, поскольку используется на 100%. В процессорах Intel данная функция включена по умолчанию.   Как пояснил участник команды OpenBSD Марк Кеттенис (Mark Kettenis), отмена поддержки связана с тем, что HTT представляет возможность проведения атак по времени. К данному классу атак также относятся атаки с эксплуатацией уязвимостей Meltdown, Spectre и их многочисленных вариантов. По его словам, Intel HT упрощает осуществление атак по времени, что позволит более легкую эксплуатацию подобных Spectre уязвимостей.   Команда OpenBSD реализовала настройки (hw.smt sysctl) для отключения поддержки Intel HT, поскольку «многие современные машины больше не предоставляют возможность деактивировать гиперпоточность в настройках BIOS». Пока новая функция будет работать только для процессоров Intel, в будущем разработчики планируют расширить ее на CPU других производителей. Кеттенис считает, что изменение незначительно скажется на производительности, поскольку «в действительности SMT не настолько повышает производительность, как утверждают Intel и другие производители процессоров».   Атака по времени - атака по сторонним каналам, в которой атакующий пытается скомпрометировать криптосистему с помощью анализа времени, затрачиваемого на исполнение криптографических алгоритмов.   securitylab.ru

Отныне Android сможет проверять, является приложение легитимным или потенциально вредоносным, даже без подключения к интернету. Теперь Google Play Store будет встраивать в APK приложений метаданные для проверки, является ли ПО аутентичным и было ли загружено из официального или одобренного Google магазина приложений.   Проверять метаданные, представляющие собой криптографические подписи, Android сможет даже в режиме offline. Подписанные легитимные приложения, загруженные не из Google Play Store, а из локальных пиринговых сетей, по-прежнему будут получать обновления из официального магазина при установке внешнего подключения.   Как пояснил директор по продукции Google Play Store Джеймс Бендер (James Bender), данный шаг был продиктован заботой о пользователях в развивающихся странах или отдаленных уголках земли. В местах, где интернет малодоступен, пользователи вынуждены для загрузки приложений прибегать к пиринговым сетям. Возможность проверки подлинности приложений без подключения к интернету обезопасит таких пользователей от загрузки вредоносного ПО.   «Одной из причин является желание предоставить разработчикам возможность расширить свою аудиторию в странах, где из-за высоких тарифов и ограниченного подключения распространена практика обмена приложениями по пиринговым сетям», - отметил Бендер.   Для того чтобы реализовать новую систему проверки, Google немного увеличит максимально допустимый размер APK. Таким образом, Google Play Store сможет добавлять в приложения метаданные без необходимости для разработчиков заново их упаковывать. Разработчикам ничего не нужно делать, так как метаданные будут добавляться в приложения автоматически через магазин.   securitylab.ru