Thread: Security Week 33: интересное с Black Hat / DEF CON 2019
View Single Post
  #1  
Old 03-10-2025, 10:03 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Quote:
Originally Posted by View on Twitter
https://twitter.com/_MG_/status/1159677729387581440?ref_src=twsrc%5Etfw%7Ctwcamp%5 Etweetembed%7Ctwterm%5E1159677729387581440&ref_url =https%3A%2F%2Fhabr.com%2Fru%2Fcompany%2Fkaspersky %2Fblog%2F463415%2F

На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для которых поиск слабых мест в железе и софте остается в первую очередь искусством, и только после этого — способом заработка на жизнь. В дайджесте по мотивам этих двух конференций в прошлом году мы рассказывали про уязвимость в устаревших процессорах VIA C3, атаки типа supply chain на компьютеры Apple и про взлом ненужного Wi-Fi SD-адаптера.
В этом году на повестке дня были атаки на принтеры, офисные телефоны и детские планшеты, половинчатый обход системы распознавания лиц Apple FaceID и (кто бы мог подумать) вымогатель-шифровальщик в фотокамере Canon. Плюс два, скажем так, арт-проекта: кабели для iPhone с бэкдором и читерство на умном велотренажере. Наконец, интересное исследование про использование GDPR для кражи личной информации другого человека. Подождите, но GDPR — это законодательство, направленное на защиту персональных данных? Вот, мы тоже так думали.
Взлом принтеров, офисных телефонов и детских планшетов
Начнем с относительно скучного исследования. Специалисты компании NCC Group https://threatpost.com/office-printe...n-door/147083/множество уязвимостей в офисных принтерах производства HP, Ricoh, Xerox, Lexmark, Kyocera и Brother. Масштаб проблемы можно оценить на примере https://www.nccgroup.trust/uk/our-re...cal+advisoriesдля принтеров HP: там и уязвимости в протоколе сетевой печати IPP, и переполнение буфера во встроенном веб-сервере, и ошибки, ведущие к атакам типа cross-site scripting. Самые опасные уязвимости позволяют либо организовать DoS-атаку, либо выполнить произвольный код с пока непонятными последствиями.
В прошлом году произошел https://threatpost.ru/printer-spam-a...is-here/29558/, показывающий, что происходит с принтерами, которые а) не защищены и б) доступны из Интернета. На 50 тысячах устройств анонимный «активист» распечатал призыв подписываться на одного одиозного ютюбера. В исследовании NCC Group есть намек на не такие тупые более опасные атаки, когда принтер может стать точкой входа для дальнейшей атаки на корпоративную сеть.

А что если воспользоваться не принтерами, а офисными телефонами? Такой вариант https://threatpost.ru/avaya-deskphon...rce-bug/33732/представитель McAfee. Он обнаружил в VoIP-телефонах Avaya прошивку с софтом десятилетней давности. Помимо прочего, используемый в телефонах клиент dhclient имел уязвимость, известную с https://cve.mitre.org/cgi-bin/cvenam...=CVE-2009-0692. Данная проблема может вызвать переполнение буфера, если передать на клиент DHCP слишком длинный параметр subnet mask, и, опять же, есть теоретическая опасность выполнения произвольного кода. Так что подход «работает — не трогай» неприменим даже в случае таких условно простых устройств, как офисный телефон. Хотя уязвимость в dhclient эксплуатируется при наличии доступа к локальной сети, накатить патч на телефонные аппараты все же стоит. Надо трогать!

https://threatpost.com/black-hat-lea...e-kids/146822/ детских планшетов LeadPad Ultimate компании LeapFrog выявило детские уязвимости. Специалисты компании Chekmarx показали, как можно установить местоположение устройств с помощью легкодоступных инструментов и перехватывать трафик. Самая серьезная проблема вызвана дополнительным приложением Pet Chat, которое позволяет родителям общаться с детьми (или детям общаться друг с другом) с помощью набора «вшитых» в планшет фраз. Для установки соединения планшет создает открытую точку доступа с именем Pet Chat. Геолокацию определенного количества планшетов удалось найти в открытых базах точек доступа Wi-Fi. Авторизации пары «смартфон родителя — планшет ребенка» не предусмотрено, поэтому кто угодно в радиусе действия беспроводной сети может подключиться к устройству. Надо отдать должное производителю: проблема была оперативно решена путем удаления приложения из свободного доступа. Ах да, в любом случае планшет общался с серверами производителя по HTTP, что позволяло провести атаку типа Man-in-the-Middle:

https://youtu.be/Iygt5Mzf0Bk
Очки с изолентой, троян в фотоаппарате, кабель для iPhone с сюрпризом

Перейдем к более интересным, хотя, возможно, и менее практичным темам презентаций на Black Hat / DEF CON. Исследователи из компании Tencent показали (https://threatpost.com/researchers-b...s-heel/147109/, еще одна https://habr.com/ru/news/t/463163/на Хабре) способ частичного обхода системы распознавания лиц FaceID в смартфонах Apple. FaceID достаточно хорошо защищена от попыток разблокировки с помощью фотографии владельца, или если, например, поднести телефон к спящему человеку. Для этого создается объемная модель лица и отслеживается движение глаз. Но если пользователь носит очки, то подробная 3D-модель для этой части лица не создается — предположительно, чтобы избежать проблем с распознаванием. В этом случае iPhone все равно проверяет, открыты ли глаза у человека, идентифицируя с помощью камеры зрачки. Но так как качество распознавания намеренно ухудшено, «детектор открытых глаз» удалось обойти с помощью изоленты: светлый квадрат на темном фоне, наклеенный на линзы, идентифицируется телефоном как зрачки.
Окей, это крутое исследование, но на практике лишь немного упрощающее разблокировку чужого телефона. Это надо подкрасться к спящему человеку и надеть на него очки с изолентой. Или предположить не самый приятный сценарий, в котором человек находится без сознания. В любом случае алгоритм распознавания стоило бы подкрутить: даже если построение 3D-модели с очками по каким-то причинам невозможно, желательно в такой ситуации повысить качество анализа картинки с обычной фотокамеры.

В компании Check Point Software https://threatpost.com/hack-of-a-can...d-dslr/147214/фотокамеру Canon EOS 80D. Почему фотокамеру? Потому что могли! Всего в фотоаппарате было обнаружено шесть уязвимостей, и самая серьезная из них присутствует в протоколе PTP для общения с компьютером. Как оказалось, при подключении к ПК можно инициировать обновление прошивки устройства без подтверждения пользователя. Путем принудительной перепрошивки исследователи смогли установить на камеру настоящий троян-вымогатель: он шифрует фотографии на карте памяти и выводит требование выкупа на экран. Компания Canon выпустила https://global.canon/en/support/security/d-camera.htmlдля владельцев камеры (в котором почему-то нет прямой ссылки на новую версию прошивки). В сообщении говорится об отсутствии реальных пострадавших и рекомендуется не подключать камеру к сомнительным компьютерам. Действительно, кому может прийти в голову атаковать фотоаппарат?

Издание https://www.vice.com/en_us/article/e...-your-computerнаписало про активиста, раздававшего (и продававшего за 200 долларов) на Black Hat самодельные кабели для iPhone со встроенным бэкдором. Жертвой такого кабеля, впрочем, становится не телефон, а компьютер, к которому устройство подключается для синхронизации (синхронизация, если что, тоже работает). Бэкдор представляет собой точку доступа Wi-Fi и, судя по всему, эмулятор клавиатуры. В начале статьи мы применили термин «хакеры» в его положительном значении, но данный эксперимент, так сказать, находится на нижней границе позитива. Создатель кабеля сохранял анонимность, продавал кабели при помощи закладок на территории конференции. И успешно продал все двести штук.
Наконец, внимания новостного сайтаhttps://www.theregister.co.uk/2019/0...dentity_thief/удостоилась презентация студента Оксфордского университета Джеймса Павура (James Pavur). Он провел социальный эксперимент, разослав в 150 компаний требование о предоставлении информации согласно нормам европейского законодательства GDPR. Закон предоставляет пользователям право получать информацию о себе от компаний, собирающих и обрабатывающих персональные данные. Важный нюанс истории в том, что Джеймс запрашивал информацию не о себе, а о своей невесте. Из 150 опрошенных компаний 72% ответили на запрос.
Из них 84% признали, что у них есть информация о невесте исследователя. В результате были получены номер социального страхования, дата рождения, девичья фамилия, номер кредитной карты, частично адрес проживания. Одна компания, собирающая информацию об утекших паролях, прислала список паролей для электронного адреса. И это при том, что не все компании согласились предоставлять данные: в 24% случаев достаточным для удостоверения личности был e-mail и номер телефона (добровольной) жертвы, в 16% случаев потребовался скан удостоверения личности (легко подделываемый), еще 3% компаний просто удалили все данные, не предоставляя их. Данный эксперимент не то чтобы опровергает пользу от GDPR. Он скорее показывает, что компании к исполнению новых для себя обязательств не всегда готовы, да и каких-то общепринятых методов идентификации пользователей пока нет. А надо бы: иначе попытки следовать закону приводят к совершенно противоположному эффекту.

https://youtu.be/wBhiplN_7IU
Бонусный материал: исследователь Брэд Диксон (Brad Dixon) нашел способ обмана велотренажера со встроенной геймификацией (https://www.vice.com/en_us/article/7...-exercise-gameв Vice, https://edope.bike/проекта). Тренажеры Zwift позволяют превратить настоящий велосипед в комнатную версию для домашних тренировок путем замены заднего колеса на модуль, обеспечивающий нагрузку. К тренажеру прилагается софт для виртуальных велопоездок, с рекордами и конкуренцией. Простых читеров (прикручивающих к тренажеру шуруповерт) Zwift без проблем идентифицирует, так что Диксону пришлось обходить защиту с помощью нетривиальных методов: перехватывать сигналы с датчиков, эмулировать правдоподобный трафик и так далее. В результате к тренажеру была добавлена «педаль газа» (ехать очень быстро) и «круиз-контроль» (ехать с постоянной скоростью, слегка меняя фейковые данные с датчиков). «Теперь у вас есть возможность, не прерывая тренировку, сходить за пивом или за чем-то еще», — комментирует автор исследования.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

@habr