В ходе исследования безопасности IoT-устройств специалисты ИБ-компании VDOO обнаружили в камерах видеонаблюдения Axis Communications семь уязвимостей. Производитель идентифицировал порядка 400 уязвимых моделей и выпустил обновления для каждой из них.   По словам исследователей, злоумышленник, знающий IP-адрес атакуемой камеры, может удаленно и без аутентификации получить полный контроль над устройством. Полный контроль даст ему возможность перехватывать и останавливать видеопоток, управлять функциями камеры (например, отключать детектор движения), включать камеру в ботнет, вмешиваться в работу ПО, применять в DDoS-атаках и майнинге криптовалюты, а также использовать как точку входа для продвижения внутри сети.   Для удаленного взлома устройства атакующий может использовать связку из трех уязвимостей. CVE-2018-10661 позволяет обходить аутентификацию, CVE-2018-10662 – отправлять специальные запросы с правами суперпользователя, а CVE-2018-10660 – внедрять произвольные команды оболочки.   Остальные обнаруженные специалистами VDOO уязвимости позволяют авторизованному атакующему вызывать аварийное завершение некоторых процессов и получать данные из памяти. Для каждой уязвимости эксперты разработали эксплоит. С полным списком уязвимых моделей можно ознакомиться здесь.   securitylab.ru

Исследователь компании ESET Лукас Стефанко (Lukas Stefanko) рассказал о новом методе, используемом разработчиками вредоносных Android-приложений для того, чтобы заставить пользователей скачивать их продукты.   При регистрации учетной записи разработчика в Google Play Store вместо имени разработчика злоумышленники указывают поддельное число загрузок (например, «загружено 1 млн раз», «установлено 1000000», «1000000000 загрузок», «5000000+», «1000000000» и т.п.). Когда приложение попадает в Google Play Store, отображается его название, иконка, рейтинг и название разработчика. Когда в качестве названия стоит поддельное число загрузок, пользователь может подумать, будто это настоящий счетчик и поверить, что приложение очень популярно, а значит, безопасно.   Стефанко проанализировал ряд подобных приложений, и, как оказалось, они вовсе не безобидны. Большинство из них представляли рекламное ПО – в основном пустышки, способные только отображать рекламу поверх других приложений. Кроме того, исследователь обнаружил использующие тот же трюк вредоносные приложения. Однако их создатели указывали поддельное число загрузок не в графе с именем разработчика, а на иконке приложений.   Посмотреть количество загрузок приложения из Google Play Store можно в разделе «Дополнительная информация». Если реальное число не совпадает с указанным разработчиком, наверняка приложение является вредоносным. Кроме того, в Google Play Store отсутствует значок «Проверено», и его также используют злоумышленники для обмана пользователей.   securitylab.ru

Компания Valve предоставила пользователям ОС Windows XP и Vista шесть месяцев на обновление операционных систем. В противном случае, с января 2019 года они больше не смогут использовать сервис Steam.   «Steam официально перестанет поддерживать операционные системы Windows XP и Windows Vista. После 19 января 2018 года клиент Steam больше не будет работать на устройствах под управлением этих версий Windows. Чтобы продолжить пользоваться Steam и любыми играми или продуктами, приобретенными через Steam, пользователям необходимо будет обновиться до последней версии Windows», - следует из заявления компании.   Пользователи Windows XP составляют небольшую часть общей пользовательской базы Steam, всего 0,22%. С учетом того, что Steam пользуются порядка 125 млн человек, 0,22% составляют примерно 275 тыс. пользователей.   По словам представителей Valve, новые функции, которые разработчики планируют добавить в Steam, включают систему чатов в стиле Discord, использующих встроенную версию Chrome, которую старые версии Windows не поддерживают.   «Кроме того, для работы будущих версий Steam потребуется функционал, который присутствует только в Windows 7 и выше», - отметили в Valve.   securitylab.ru

Компания Microsoft исправила некорректно работающий пакет Debian, который во время процедуры установки изменял настройки ОС пользователей.   В частности, речь идет о пакете Open R v3.5 для Debian и Ubuntu. По словам специалистов, данная версия пакета содержала небезопасные сценарии установки и удаления, которые изменяли общесистемные настройки.   Неисправный пакет принудительно удалял /bin/sh, после чего создавал символическую ссылку /bin/sh на /bin/bash. Если в системе отсутствовал /bin/bash, то /bin/sh оставался удаленным и пользователь получал неработающее окружение.   Кроме того, пакет принудительно удалял /usr/bin / R и /usr/bin/ Rscript не проверяя, вел ли данный путь к версии языка R, с которой пакет должен работать.   Исправление включено в пакет Open R Debian. Номер версии не изменился, а следовательно пользователям придется повторно загрузить и установить пакет.   securitylab.ru

Не успела Apple анонсировать новую функцию принудительной блокировки передачи данных по USB, как хакерам удалось найти способ ее обхода. Речь идет о функции USB Restricted Mode, ограничивающей подключение по USB, если устройство не было разблокировано в течение последнего часа.   Новый функционал обернулся настоящей проблемой для правоохранителей, использующих для разблокировки смартфонов специальные инструменты, такие как GrayKey. По данным издания Motherboard, разработчик инструмента компания Grayshift уже нашла возможность обойти ежечасную блокировку в первой же бета-версии ОС iOS 12. Насколько достоверны заявления компании, покажет время.   Grayshift сотрудничает с рядом правоохранительных органов, включая ФБР. Предлагаемый ею инструмент GrayKey способен работать на выключенных устройствах, может полностью извлекать файловую систему, а также использует брутфорс для взлома пароля.   По словам представителей Apple, новый функционал призван обеспечить защиту данных пользователей от хакеров. В компании также добавили, что уважают работу правоохранительных органов и не пытаются «подорвать их усилия по выполнению своих обязанностей».   securitylab.ru

Исследователи безопасности из компании 360 Total Security обнаружили новое вредоносное ПО ClipboardWalletHijacker, предназначенное для хищения криптовалют Ethereum и Bitcoin.   Как выяснили специалисты, вредонос отслеживает данные, попадающие в буфер обмена, в попытках найти адрес криптовалютных кошельков. Затем программа подменяет адрес получателя на адрес кошелька злоумышленника. По словам исследователей, в течение недели ClipboardWalletHijacker был обнаружен на более чем 300 тыс. компьютеров.   Если в буфер попадает адрес кошелька Ethereum, он заменяется на адрес злоумышленников 0x004D3416DA40338fAf9E772388A93fAF5059bFd5. Программа также проверяет, не является ли содержимое адресом Bitcoin-кошелька и при обнаружении заменяет его на один из адресов мошенников в зависимости от даты.   В настоящее время злоумышленникам уже удалось похитить порядка $500 в биткойнах и успешно перехватить 46 транзакций с Ethereum.   securitylab.ru

Начиная с июля 2018 года, Microsoft не будет предоставлять решения или ответы на вопросы об устаревших программных и аппаратных продуктах, которые пользователи публикуют на форумах компании.   Программные продукты, для которых сотрудники Microsoft больше не будут предоставлять техническую поддержку, включают Windows 7, Windows 8.1, Windows 8.1 RT, Microsoft Security Essentials, Internet Explorer 10, Office 2010 и Office 2013.   Компания также закроет тему обсуждения медиаплеера Zune и фитнес-трекера Microsoft Band, которые теперь будут доступны только для чтения.   Помимо этого, компания больше не будет отвечать на вопросы о планшетах Surface Pro, Surface Pro 2, Surface RT и Surface 2.   Microsoft также перестанет принимать участие в обсуждении темы «Форум мобильных устройств», однако продолжит предоставлять поддержку в теме «Другие мобильные устройства Windows».   «Не будет никаких активных обзоров, мониторинга или ответов на вопросы. Форумы по-прежнему будут модерироваться сотрудниками Microsoft для того, чтобы пользователи могли общаться в безопасной и позитивной обстановке», - следует из заявления Microsoft.   securitylab.ru

ФСБ и Роскомнадзор в течение года пытались убедить руководство компании Telegram изменить архитектуру мессенджера и предоставить ключи для дешифрования переписки пользователей. Как считают в ведомствах, у компании есть для этого техническая возможность. Об этом сообщила представитель Роскомнадзора в ходе рассмотрения жалобы представителей Telegram на решение Таганского районного суда по блокировке сервиса в России.   «ФСБ и Роскомнадзор в течение года предпринимали попытки побудить Telegram изменить архитектуру мессенджера. Мы считаем, что структура любого мессенджера может быть изменена для приведения в соответствии с российским законом. Поэтому мы считаем, что Telegram имеет техническую возможность предоставить ключи для дешифрования», - приводит ТАСС заявление представителя надзорной службы.   В апреле 2018 года Таганский районный суд постановил ограничить доступ к мессенджеру Telegram на территории РФ из-за отказа администрации сервиса предоставить ФСБ ключи шифрования, которые позволили бы читать переписку пользователей. В мае представители Telegram подали жалобу на вердикт Таганского суда. 14 июня Мосгорсуд признал законным решение первой инстанции по ограничению доступа к мессенджеру в РФ.   securitylab.ru