Хабрахабр

Security Week 33: интересное с Black Hat / DEF CON 2019

На прошлой неделе в Лас-Вегасе прошла очередная двойная конференция Black Hat / DEF CON. Если первое мероприятие плавно движется в сторону делового междусобойчика, второе по-прежнему остается лучшей конференцией для хакеров (преимущественно в хорошем смысле этого слова), для которых поиск слабых мест в железе и софте остается в первую очередь искусством, и только после этого — способом заработка на жизнь. В дайджесте по мотивам этих двух конференций в прошлом году мы рассказывали про уязвимость в устаревших процессорах VIA C3, атаки типа supply chain на компьютеры Apple и про взлом ненужного Wi-Fi SD-адаптера.

Плюс два, скажем так, арт-проекта: кабели для iPhone с бэкдором и читерство на умном велотренажере. В этом году на повестке дня были атаки на принтеры, офисные телефоны и детские планшеты, половинчатый обход системы распознавания лиц Apple FaceID и (кто бы мог подумать) вымогатель-шифровальщик в фотокамере Canon. Подождите, но GDPR — это законодательство, направленное на защиту персональных данных? Наконец, интересное исследование про использование GDPR для кражи личной информации другого человека. Вот, мы тоже так думали.

Взлом принтеров, офисных телефонов и детских планшетов

Начнем с относительно скучного исследования. Специалисты компании NCC Group нашли множество уязвимостей в офисных принтерах производства HP, Ricoh, Xerox, Lexmark, Kyocera и Brother. Масштаб проблемы можно оценить на примере отчета для принтеров HP: там и уязвимости в протоколе сетевой печати IPP, и переполнение буфера во встроенном веб-сервере, и ошибки, ведущие к атакам типа cross-site scripting. Самые опасные уязвимости позволяют либо организовать DoS-атаку, либо выполнить произвольный код с пока непонятными последствиями.

На 50 тысячах устройств анонимный «активист» распечатал призыв подписываться на одного одиозного ютюбера. В прошлом году произошел инцидент, показывающий, что происходит с принтерами, которые а) не защищены и б) доступны из Интернета. В исследовании NCC Group есть намек на не такие тупые более опасные атаки, когда принтер может стать точкой входа для дальнейшей атаки на корпоративную сеть.

Такой вариант исследовал представитель McAfee. А что если воспользоваться не принтерами, а офисными телефонами? Помимо прочего, используемый в телефонах клиент dhclient имел уязвимость, известную с 2009 года. Он обнаружил в VoIP-телефонах Avaya прошивку с софтом десятилетней давности. Так что подход «работает — не трогай» неприменим даже в случае таких условно простых устройств, как офисный телефон. Данная проблема может вызвать переполнение буфера, если передать на клиент DHCP слишком длинный параметр subnet mask, и, опять же, есть теоретическая опасность выполнения произвольного кода. Надо трогать! Хотя уязвимость в dhclient эксплуатируется при наличии доступа к локальной сети, накатить патч на телефонные аппараты все же стоит.

Специалисты компании Chekmarx показали, как можно установить местоположение устройств с помощью легкодоступных инструментов и перехватывать трафик. Исследование детских планшетов LeadPad Ultimate компании LeapFrog выявило детские уязвимости. Для установки соединения планшет создает открытую точку доступа с именем Pet Chat. Самая серьезная проблема вызвана дополнительным приложением Pet Chat, которое позволяет родителям общаться с детьми (или детям общаться друг с другом) с помощью набора «вшитых» в планшет фраз. Авторизации пары «смартфон родителя — планшет ребенка» не предусмотрено, поэтому кто угодно в радиусе действия беспроводной сети может подключиться к устройству. Геолокацию определенного количества планшетов удалось найти в открытых базах точек доступа Wi-Fi. Ах да, в любом случае планшет общался с серверами производителя по HTTP, что позволяло провести атаку типа Man-in-the-Middle: Надо отдать должное производителю: проблема была оперативно решена путем удаления приложения из свободного доступа.

Очки с изолентой, троян в фотоаппарате, кабель для iPhone с сюрпризом

Перейдем к более интересным, хотя, возможно, и менее практичным темам презентаций на Black Hat / DEF CON. Исследователи из компании Tencent показали (новость, еще одна новость на Хабре) способ частичного обхода системы распознавания лиц FaceID в смартфонах Apple. FaceID достаточно хорошо защищена от попыток разблокировки с помощью фотографии владельца, или если, например, поднести телефон к спящему человеку. Для этого создается объемная модель лица и отслеживается движение глаз. Но если пользователь носит очки, то подробная 3D-модель для этой части лица не создается — предположительно, чтобы избежать проблем с распознаванием. В этом случае iPhone все равно проверяет, открыты ли глаза у человека, идентифицируя с помощью камеры зрачки. Но так как качество распознавания намеренно ухудшено, «детектор открытых глаз» удалось обойти с помощью изоленты: светлый квадрат на темном фоне, наклеенный на линзы, идентифицируется телефоном как зрачки.

Это надо подкрасться к спящему человеку и надеть на него очки с изолентой. Окей, это крутое исследование, но на практике лишь немного упрощающее разблокировку чужого телефона. В любом случае алгоритм распознавания стоило бы подкрутить: даже если построение 3D-модели с очками по каким-то причинам невозможно, желательно в такой ситуации повысить качество анализа картинки с обычной фотокамеры. Или предположить не самый приятный сценарий, в котором человек находится без сознания.

В компании Check Point Software взломали фотокамеру Canon EOS 80D. Почему фотокамеру? Потому что могли! Всего в фотоаппарате было обнаружено шесть уязвимостей, и самая серьезная из них присутствует в протоколе PTP для общения с компьютером. Как оказалось, при подключении к ПК можно инициировать обновление прошивки устройства без подтверждения пользователя. Путем принудительной перепрошивки исследователи смогли установить на камеру настоящий троян-вымогатель: он шифрует фотографии на карте памяти и выводит требование выкупа на экран. Компания Canon выпустила бюллетень для владельцев камеры (в котором почему-то нет прямой ссылки на новую версию прошивки). В сообщении говорится об отсутствии реальных пострадавших и рекомендуется не подключать камеру к сомнительным компьютерам. Действительно, кому может прийти в голову атаковать фотоаппарат?
Издание Vice написало про активиста, раздававшего (и продававшего за 200 долларов) на Black Hat самодельные кабели для iPhone со встроенным бэкдором. Жертвой такого кабеля, впрочем, становится не телефон, а компьютер, к которому устройство подключается для синхронизации (синхронизация, если что, тоже работает). Бэкдор представляет собой точку доступа Wi-Fi и, судя по всему, эмулятор клавиатуры. В начале статьи мы применили термин «хакеры» в его положительном значении, но данный эксперимент, так сказать, находится на нижней границе позитива. Создатель кабеля сохранял анонимность, продавал кабели при помощи закладок на территории конференции. И успешно продал все двести штук.

Он провел социальный эксперимент, разослав в 150 компаний требование о предоставлении информации согласно нормам европейского законодательства GDPR. Наконец, внимания новостного сайта The Register удостоилась презентация студента Оксфордского университета Джеймса Павура (James Pavur). Важный нюанс истории в том, что Джеймс запрашивал информацию не о себе, а о своей невесте. Закон предоставляет пользователям право получать информацию о себе от компаний, собирающих и обрабатывающих персональные данные. Из 150 опрошенных компаний 72% ответили на запрос.

В результате были получены номер социального страхования, дата рождения, девичья фамилия, номер кредитной карты, частично адрес проживания. Из них 84% признали, что у них есть информация о невесте исследователя. И это при том, что не все компании согласились предоставлять данные: в 24% случаев достаточным для удостоверения личности был e-mail и номер телефона (добровольной) жертвы, в 16% случаев потребовался скан удостоверения личности (легко подделываемый), еще 3% компаний просто удалили все данные, не предоставляя их. Одна компания, собирающая информацию об утекших паролях, прислала список паролей для электронного адреса. Он скорее показывает, что компании к исполнению новых для себя обязательств не всегда готовы, да и каких-то общепринятых методов идентификации пользователей пока нет. Данный эксперимент не то чтобы опровергает пользу от GDPR. А надо бы: иначе попытки следовать закону приводят к совершенно противоположному эффекту.

Бонусный материал: исследователь Брэд Диксон (Brad Dixon) нашел способ обмана велотренажера со встроенной геймификацией (статья в Vice, сайт проекта). Тренажеры Zwift позволяют превратить настоящий велосипед в комнатную версию для домашних тренировок путем замены заднего колеса на модуль, обеспечивающий нагрузку. К тренажеру прилагается софт для виртуальных велопоездок, с рекордами и конкуренцией. Простых читеров (прикручивающих к тренажеру шуруповерт) Zwift без проблем идентифицирует, так что Диксону пришлось обходить защиту с помощью нетривиальных методов: перехватывать сигналы с датчиков, эмулировать правдоподобный трафик и так далее. В результате к тренажеру была добавлена «педаль газа» (ехать очень быстро) и «круиз-контроль» (ехать с постоянной скоростью, слегка меняя фейковые данные с датчиков). «Теперь у вас есть возможность, не прерывая тренировку, сходить за пивом или за чем-то еще», — комментирует автор исследования.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть