Содержание статьи
Linux от Microsoft
Компания Microsoft выложила на GitHub первую стабильную сборку собственного дистрибутива Linux, CBL-Mariner (Common Base Linux), который был опубликован под опенсорсной лицензией MIT. Это внутренний дистрибутив, разработанный для облачной инфраструктуры, edge-продуктов и сервисов Microsoft.
CBL-Mariner 1.0 представляет собой набор базовых RPM-пакетов, которые станут основой будущего образа. В каталоге Microsoft насчитывается более 3000 пакетов. Описание дистрибутива гласит, что он создавался с целью унификации, как базовая платформа для различных продуктов и сервисов. В частности, в компании CBL-Mariner применяется в работе облачного сервиса Azure.
За разработкой этого дистрибутива стоит также команда Linux Systems Group, которая создала Windows Subsystem for Linux version 2 и отвечала за интеграцию Linux в Windows.
Впервые о CBL-Mariner заговорили еще осенью прошлого года, а теперь один из инженеров Microsoft и вовсе опубликовал подробное руководство по созданию ISO-образов CBL-Mariner, а компания выложила дистрибутив на GitHub, не привлекая к этому событию лишнего внимания.
Иронично, что двадцать лет назад, в 2001 году, Стив Баллмер называл Linux «раковой опухолью» (впрочем, спустя много лет он отказался от этих слов), а в наши дни Microsoft является одним из наиболее активных участников опенсорсных проектов в мире и владеет GitHub.
2ФА в Twitter
Компания Twitter опубликовала отчет о прозрачности, из которого следует, что владельцы только 2,3% активных учетных записей включили хотя бы один метод двухфакторной аутентификации (2ФА) в период с июля по декабрь 2020 года.
Отчет гласит, что из всех 2,3% пользователей, которые включили 2ФА в указанный период, 79,6% использовали SMS, 30,9% — приложение для многофакторной аутентификации и только 0,5% — аппаратный ключ безопасности. Хотя Twitter позволяет включать несколько методов 2ФА одновременно.
Разработчики считают, что такие низкие цифры демонстрируют постоянную необходимость поощрять более широкое внедрение 2ФА, а также работать над упрощением таких процедур.
Случайные баны в Поднебесной
Группа ученых из Университета Стоуни‑Брук, Массачусетского университета, Калифорнийского университета в Беркли, а также Университета Торонто в Канаде попыталась определить масштабы китайской интернет‑цензуры, изучив работу «великого китайского файрвола».
Исследование длилось более девяти месяцев, и специально для него эксперты создали систему под названием GFWatch, которая обращалась к доменам внутри и за пределами китайского интернет‑пространства, а затем проверяла, как «великий китайский файрвол» реагирует на это и вмешивается в соединения на уровне DNS (для предотвращения доступа к домену со стороны китайских пользователей или ограничения доступа к внутренним сайтам страны).
С помощью GFWatch исследователи проверили 534 миллиона различных доменов, ежедневно обращаясь примерно к 411 миллионам доменов, чтобы фиксировать, а затем перепроверять, постоянны ли обнаруженные ими блокировки. В итоге было подсчитано, что в настоящее время «великий китайский файрвол» блокирует около 311 тысяч доменов, причем 270 тысяч блокировок работают как нужно, а еще 41 тысяча доменов, похоже, оказались заблокированы случайно.
Ошибки возникли из‑за того, что китайские власти пытались блокировать домены, используя регулярные выражения для фильтрации DNS, но они не учитывали случаи, когда короткий домен является частью более длинного доменного имени, и блокировки затронули другие сайты. Например, власти страны запретили доступ к reddit.com, при этом случайно заблокировав booksreddit.com, geareddit.com и 1087 других сайтов.
Исследовательская группа составила список 311 тысяч заблокированных доменов, чтобы определить, какой тип контента китайские власти запрещают чаще всего. Используя сервисы, подобные FortiGuard, исследователи выяснили, что около 40% заблокированных сайтов — это недавно зарегистрированные домены, которые китайские власти блокируют превентивно, пока те не категоризировали и не внесли свой контент в белый список.
Что касается прочих «запрещенных» доменов, чаще всего на них размещается бизнес‑контент, порнография или информация, связанная с ИТ. Также под блокировки попадают сайты, на которых размещены инструменты, позволяющие обойти блокировки, игорные ресурсы, личные блоги, развлекательные порталы, новостные и медиасайты, а также домены с вредоносным и мошенническим контентом.
Также интересно, что после начала пандемии коронавируса к блокировкам добавилось много доменов, связанных с COVID-19. В числе «закрытых» были: covid19classaction.it, covid19song.info, covidcon.org, ccpcoronavirus.com, covidhaber.net и covid-19truth.info. Некоторые из этих сайтов содержат материалы, обвиняющие в пандемии коронавируса Китай.
«Мы выяснили, что большинство доменов, заблокированных „великим китайским файрволом“, непопулярны и вообще не попадают в списки самых популярных сайтов», — рассказывают исследователи.
К примеру, из выборки в 138 700 доменов только 1,3% сайтов (около 1800) входят в число 100 тысяч самых популярных сайтов в интернете (по данным рейтинга Tranco).
Кроме того, исследователи заявили, что выявили случаи, когда китайские DNS-блокировки, которые обычно подразумевают изменение записей DNS, возвращаемых китайским пользователям, случайно «портили» записи DNS за пределами китайского интернет‑пространства, в сетях некоторых DNS-провайдеров. Такие ошибки затронули не менее 77 тысяч сайтов.
Сноуден критикует NSO Group
В июле СМИ и активисты в очередной раз обрушились с обвинениями на израильскую компанию NSO Group, разрабатывающую легальную спайварь. Они обнаружили масштабные злоупотребления шпионским ПО, созданным NSO Group, — Pegasus. Якобы спайварь компании активно применяется для нарушения прав человека и наблюдения за политиками, активистами, журналистами и правозащитниками по всему миру.
О ситуации высказался даже Эдвард Сноуден, в беседе с журналистами издания The Guardian. По его словам, коммерческий шпионский софт «развязывает» руки властям многих стран.
«Если не пытаться остановить продажу таких технологий, речь будет идти уже не о 50 тысячах целей. Будет 50 миллионов целей, и это случится гораздо быстрее, чем любой из нас может предположить.
Когда мы говорим о чем‑то вроде iPhone, все такие устройства в мире используют одно и то же ПО. Так что, если они найдут способ взломать один iPhone, они найдут способ взломать их все.
Есть определенные отрасли, определенные сектора, от которых нет защиты, и поэтому мы стараемся ограничить распространение таких технологий. [К примеру,] мы не допускаем появления коммерческого рынка ядерного оружия»
— заявил Эдвард Сноуден
База данных о выкупах
Проект Ransomwhere, созданный студентом Стэнфордского университета и ИБ‑исследователем из Krebs Stamos Group Джеком Кейблом, — это бесплатная и открытая база данных о платежах, которые были переведены вымогательским хак‑группам.
Эта БД, лишенная какой‑либо личной информации, будет доступна ИБ‑специалистам и сотрудникам правоохранительных органов для бесплатной загрузки. К сожалению, такая база может быть легко испорчена поддельными материалами, и, чтобы противостоять этому, Кейбл планирует изучать все представленные материалы, а в будущем собирается добавить систему голосования для отдельных лиц, чтобы можно было помечать отчеты как фиктивные.
В целом сайт очень прост: он позволяет жертвам атак шифровальщиков и специалистам по безопасности передать Ransomwhere копии своих записок с требованием выкупа, а также сообщить о размере выкупа и биткойн‑адресе, по которому жертвы перевели платеж. Затем этот адрес будет проиндексирован в общедоступной БД.
Основная идея заключается в создании централизованной системы, которая отслеживает платежи, отправленные хакерам, что позволит точнее оценить масштабы их прибылей и операций, о которых известно очень мало. Создатель проекта надеется, что анонимный обмен данными о платежах через сторонний сервис, такой как Ransomwhere, устранит некоторые барьеры в ИБ‑сообществе, такие как соглашения о неразглашении и деловая конкуренция.
Пока для расширения своей базы Кейбл опирается лишь на публично доступные материалы, но уже изучает «возможности партнерства с аналитическими компаниями в области ИБ и блокчейна для интеграции данных, которые они, возможно, имеют о пострадавших».
Многие отмечают, что запуск проекта Ransomwhere очень похож на запуск проекта ID-Ransomware, созданного Майклом Гиллеспи в начале 2016 года. Изначально это был сайт, на который жертвы хакеров могли загрузить полученные записки с требованием выкупа, а сайт сообщал им, какое семейство малвари атаковало их системы и где они могут получить помощь в восстановлении файлов. В итоге ID-Ransomware стал незаменимым инструментом для многих специалистов по реагированию на инциденты.
Юбилей No More Ransom
В этом году совместная инициатива правоохранительных органов и ИБ‑компаний со всего мира, No More Ransom, отметила пятилетний юбилей, и участники проекта поделились интересной статистикой.
Проект был запущен в 2016 году, и на сегодня количество его участников выросло до 170.
Официальный сайт No More Ransom предоставляет 121 бесплатную утилиту для расшифровки файлов после атак различных вредоносов. Эти инструменты эффективны против 151 семейства вымогателей.
Утилиты, доступные в репозитории No More Ransom, уже помогли 6 000 000 человек бесплатно восстановить свои файлы.
За время существования проекта экспертам удалось предотвратить получение злоумышленниками более 900 000 000 долларов США.
Исчезновение REvil
В середине июля сайты и вся инфраструктура вымогателя REvil (Sodinokibi) в целом ушла в офлайн без объяснения причин. Речь идет о целой сети обычных и даркнет‑сайтов, которые используются для переговоров о выкупе, слива похищенных у жертв данных и внутренней инфраструктуры вымогателя.
Журналисты и ИБ‑эксперты отмечают, что временное «падение» одного‑двух ресурсов — это нормально, но полное отключение всей инфраструктуры выглядит крайне странно. К примеру, сайт decoder.re больше вообще не резолвится с помощью DNS-запросов, а это указывает на отключение всей DNS-инфраструктуры на бэкенде или отсутствие DNS-записей домена.
Судя по всему, причиной этого исчезновения стала масштабная атака на клиентов известного поставщика MSP-решений Kaseya, которую операторы REvil провели в начале месяца. Для атаки хакеры использовали 0-day-уязвимости в продукте компании (VSA).
Проблема заключалась в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщик в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800–1500 корпоративных сетей.
После этой атаки хакеры потребовали выкуп в размере 70 миллионов долларов США и тогда пообещали опубликовать универсальный дешифратор, который может разблокировать все пострадавшие компьютеры. Вскоре группировка «снизила планку» до 50 миллионов долларов.
Кроме того, в прошлом месяце REvil тоже попала на первые полосы многих изданий, так как атаковала компанию JBS — крупнейший в мире поставщик говядины и птицы, а также второй по величине производитель свинины. Компания обслуживает клиентов из 190 стран мира, в том числе США, Австралии, Канады, Великобритании.
Так как давно известно, что REvil — русскоязычная хак‑группа, на днях президент США Джо Байден в телефонном разговоре призвал президента России Владимира Путина пресечь атаки хакеров‑вымогателей, действующих с территории РФ. Байден заявил, что, если после этого Россия не примет меры, США будут вынуждены принять их сами.
«Я предельно ясно объяснил ему [Путину], что, когда операция программы‑вымогателя исходит с его территории, Соединенные Штаты ожидают, что, даже если она не организована государством, они будут действовать, если мы предоставим им достаточно информации о том, кто к этому причастен», — сообщил Байден журналистам после телефонного разговора.
Также стоит отметить, что совсем недавно в похожих обстоятельствах свою деятельность экстренно прекратили операторы вымогателей DarkSide и Babuk. Первая группировка «закрылась» после масштабной атаки на американского оператора трубопровода Colonial Pipeline, так как привлекла к себе слишком много внимания (в том числе со стороны правоохранительных органов). Вторая группа объявила о прекращении работы после громкой атаки на полицейское управление Вашингтона.
Вскоре после исчезновения REvil представитель хак‑группы, стоящей за вымогателем LockBit, сообщил на известном хакерском форуме XSS, что, по слухам, операторы REvil стерли свои серверы, узнав о некоем «запросе органов».
После публикации этого сообщения администрация XSS и вовсе забанила на форуме пользователя Unknown, публичного представителя группы REvil. Как правило, администрация хак‑форумов блокирует пользователей в том случае, если есть подозрения, что аккаунт находится под контролем полиции.
Фальшивый майнинг
По данным компании Lookout, около 93 000 пользователей платили мошенникам за 172 Android-приложения для облачного майнинга криптовалюты, которые не работали.
Исследователи разделили фейки на два отдельных семейства: BitScam (83 800 установок) и CloudScam (9600 установок). 25 фальшивых приложений были доступны в официальном Google Play Store, тогда как другие распространялись через сторонние магазины.
Вопреки рекламным заявлениям, в приложениях попросту не было функций облачного майнинга. Вместо этого мошенники наполняли свои кошельки, продавая подделки, которые не делали ничего. В общей сложности преступники «заработали» более 350 000 долларов: 300 000 долларов от продажи приложений и еще 50 000 долларов за фейковые обновления и дополнительные услуги.
DuckDuckGo против трекеров
Разработчики поисковика DuckDuckGo создали email-сервис, удаляющий из входящих сообщений любые трекеры, которые, к примеру, помогают составлять профили пользователей для таргетированной рекламы. Пользователи нового сервиса получают бесплатный адрес на @duck.com, где письма очищаются от трекеров, после чего пересылаются в обычный почтовый ящик.
В настоящее время сервис заработал в режиме закрытого бета‑теста. Пока воспользоваться им можно, только встав в «очередь» через специальный список ожидания, новые заявки в который принимаются ежедневно.
Разного рода трекеры могут сообщать отправителям электронной почты, когда пользователь открывает их сообщение, и помогают рекламным компаниям создать профиль человека на основании собранных метаданных (какое устройство использовали для чтения письма, когда его открыли, данные о местоположении и так далее). Хуже того, эти данные в итоге могут попасть в руки третьих лиц.
«Если вы используете почтовый сервис, такой как Gmail или Yahoo, это не проблема! Электронные письма, отправленные на ваш личный Duck-адрес, будут приходить туда, как обычно, так что вы сможете читать свою электронную почту в любом приложении или в интернете, без проблем», — говорят разработчики DuckDuckGo.
Также новый сервис будет предоставлять одноразовые почтовые ящики, к примеру для использования на недоверенных сайтах, которые могут навязчиво спамить сообщениями или делиться email-адресами с кем‑то еще.
В DuckDuckGo уверяют, что сервис ни в коем случае «не будет сохранять ваши электронные письма», а почта вообще будет только обрабатываться в памяти. Так, получив email, сервис удалит из него скрытые трекеры и перешлет на указанный адрес, даже не сохранив сопутствующие заголовки, например с указанием отправителей и получателей.
Конечный адрес получателя — это единственная личная информация, которую DuckDuckGo будет сохранять (по понятным причинам). Но если пользователь захочет удалить свою учетную запись, его email-адрес в итоге тоже будет удален из системы в течение 30 дней.
Байден об опасности вымогателей
В последнее время атаки вымогателей и шифровальщиков на объекты критической инфраструктуры перестали быть редкостью. К примеру, авторы малвари DarkSide атаковали одного из крупнейших в США операторов трубопровода, компанию Colonial Pipeline, чем спровоцировали введение режима ЧС в ряде штатов.
Также можно вспомнить, что в прошлом месяце хак‑группа REvil атаковала компанию JBS — крупнейший в мире поставщик говядины и птицы, а также второй по величине производитель свинины. После этих и нескольких других инцидентов на крупнейших хак‑форумах вовсе запретили рекламировать и обсуждать шифровальщики, и многие группировки предпочли на время уйти в тень.
Участившиеся атаки вымогателей и сложившуюся вокруг них ситуацию прокомментировал президент США Джо Байден.
«Знаете, мы наблюдаем, что киберугрозы, включая атаки программ‑вымогателей, все чаще способны наносить реальный ущерб и вредить реальному миру. [В этом вопросе] я информирован насколько же, насколько вы, и не могу ничего гарантировать, но я считаю, что... если мы закончим войной, настоящей войной, со стрельбой, с другой крупной державой, то это будет следствие кибератаки с серьезными последствиями. И вероятность такого [исхода] растет в геометрической прогрессии»
— предостерег Джо Байден
Блокировка Chrome OS
Выпустив Chrome OS версии 91.0.4472.167, инженеры Google исправили серьезную ошибку, из‑за которой люди не могли пользоваться своими устройствами (после установки версии 91.0.4472.165). Из‑за опечатки, допущенной в коде, пользователи не могли войти в систему, а девайсы, работающие под управлением Chrome OS, по сути, оказались заблокированы.
Проблема усугублялась тем, что Chrome OS загружает обновления автоматически и переходит на новую версию после перезагрузки устройства. То есть после штатной перезагрузки люди с удивлением обнаруживали, что их девайс полностью заблокирован.
Журналистам Android Police удалось обнаружить корень этой проблемы. Издание ссылается на комментарий пользователя elitist_ferret, найденный на Reddit. Тот писал, что баг, очевидно, сводился к банальной односимвольной опечатке. Строка кода в Cryptohome VaultKeyset, где хранятся ключи шифрования пользователей, должна была выглядеть так: if (. Но вместо && в коде использовался только один амперсанд.
В итоге Chrome OS не проверяла пароли пользователей, сопоставляя их с сохраненными ключами, и даже корректно введенные пароли возвращались с сообщением об ошибке: «К сожалению, ваш пароль не может быть верифицирован».
Пользователям, пострадавшим от обновления 91.0.4472.165, рекомендовали дождаться повторного обновления устройства (на распространение исправленной версии потребовалось «несколько дней») или очистить девайс принудительно, то есть стереть с него все локальные данные и войти в систему.
Так как Chrome OS в основном работает в облаке, очистка устройства сопряжена с меньшим количеством проблем, чем в обычных ОС, но некоторые пользователи все равно жаловались на потерю данных.
Дырявые приложения
Исследователи Atlas VPN подсчитали, что более 60% всех приложений для Android содержат уязвимости, при этом среднее количество ошибок в одном приложении равняется 39.
Для этого исследования была изучена безопасность опенсорсных компонентов в 3335 бесплатных и платных приложениях из Google Play Store по состоянию на первый квартал 2021 года.
Худший результат показали приложения из категории бесплатных игр: 96% из них содержат уязвимые компоненты. Следом идут самые прибыльные платные игры (94% уязвимы), а за ними, как ни странно, следуют банковские приложения (88% уязвимы).
Всего было обнаружено 3137 уникальных уязвимостей, которые проявились в приложениях более 82 000 раз. При этом 73% уязвимостей были обнаружены более двух лет назад, однако до сих пор встречаются в приложениях.
Большинство этих ошибок можно было исправить, если бы разработчики утруждали себя проведением аудитов. В образовательных приложениях можно устранить 43% уязвимостей, а в приложениях для повышения производительности и банковских приложениях 41% и 39%.
Порнография и новости
Пользователи крупных новостных сайтов, включая The Washington Post, New York Magazine, HuffPost и многие другие ресурсы, обнаружили, что вместо обычных видео в статьях отображаются порноролики. Это произошло из‑за продажи домена Vid.me, который не работал несколько лет, а теперь сменил владельцев.
Первым на эту проблему обратило внимание издание Vice Motherboard. Журналисты рассказали, что контент для взрослых появился на сайтах новостей после того, как домен Vid.me был приобретен порносайтом 5 Star Porn HD и для домена включили перенаправление на этот самый порносайт. В итоге на страницах изданий, куда ранее были встроены ролики с Vidme, оказалось жесткое порно.
Сервис Vidme появился в 2014 году и изначально задумывался как некая смесь YouTube и Reddit, но уже в 2017 году сайт прекратил работу, не выдержав конкуренции со стороны Google и Facebook. За этим последовало сообщение в блоге проекта, где говорилось, что Vidme продан Giphy, а все видео окончательно удалят 15 декабря 2017 года. Это означало, что все iframe, встраивающие ролики Vidme на другие сайты, должны были перестать отображать что‑либо или показывать сообщение об ошибке. Но что‑то пошло не так.
Оказалось, что регистрация домена и его владелец были обновлены в этом месяце. Похоже, регистрация домена попросту истекла, и его успела перекупить компания 5 Star HD Porn, которая в итоге и перенаправила все ссылки, ведущие на vid.me, на свой порносайт.
Неизвестно, было случившееся ошибкой или кто‑то в 5 Star HD Porn счел возможным прорекламировать свой ресурс таким образом. В компании не ответили на запросы журналистов.
Кнопочные телефоны снова популярны
Представители крупных ретейлеров отмечают, что в первом полугодии 2021 года в России неожиданно выросли продажи простых кнопочных телефонов, ранее снижавшиеся на 5–10% в год. За этот период было продано 3 100 000 кнопочных телефонов, это на 6,7% больше, чем за тот же период 2020 года.
В денежном выражении продажи выросли на 18,8%, достигнув 4 500 000 000 рублей.
В пятерку наиболее популярных производителей вошли Nokia, Philips, teXet, Itel и BQ mobile.
Аналитики говорят, что раньше такие устройства покупали в основном для детей и пожилых людей, а также простыми устройствами обзаводились трудовые мигранты. Теперь же рост продаж связывают с пандемией и удаленной работой, так как удаленные сотрудники заменяют кнопочными аппаратами стационарные устройства. Кроме того, считается, что повысилась осведомленность людей о разного рода мошенничествах и кражах данных.
Новая дыра в Linux
Эксперты компании Qualys обнаружили новую уязвимость в Linux, благодаря которой злоумышленники могут получить root-доступ в большинстве дистрибутивов, включая Ubuntu, Debian и Fedora.
Уязвимость получила название Sequoia и идентификатор CVE-2021-33909. Баг был обнаружен на уровне локального компонента filesystem, который взаимодействует с локальными файлами и используется для управления ими.
Исследователи объясняют, что при создании, монтировании и последующем удалении структуры каталогов большой вложенности, с длиной пути более 1 Гбайт, возникает ошибка Sequoia, представляющая собой баг out-of-bounds чтения. Этот баг позволяет любой локальной учетной записи с низким уровнем привилегий выполнить код с привилегиями root.
Уязвимость не может использоваться для удаленных атак, но, если злоумышленник уже проник в систему, Sequoia может стать идеальным решением для пейлоадов второго уровня.
«Мы успешно воспользовались этой out-of-bounds-проблемой и получили привилегии root в Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 и Fedora 34 Workstation. Другие дистрибутивы Linux, вероятно, тоже уязвимы и пригодны для эксплуатации уязвимости», — говорят специалисты.
Патчи для CVE-2021-33909 были выпущены разработчиками многих дистрибутивов в середине июля, так как Qualys уведомила команду разработчиков ядра Linux о баге еще в начале июня и проблему исправили в ядре версии 5.13.4.
Стоит отметить, что в этом месяце команда Qualys раскрыла еще одну Linux-уязвимость: отказ в обслуживании, связанный с systemd (CVE-2021-33910). Эта уязвимость может использоваться непривилегированными злоумышленниками для DoS-атак и провоцирования «паники ядра» (kernel panic).
Bug Bounty Microsoft
Microsoft опубликовала официальную статистику, касающуюся работы 17 bug bounty программ компании и ее системы грантов за последний год.
В период с 1 июля 2020 года по 30 июня 2021 года об ошибках компанию уведомил 341 ИБ‑исследователь из 58 стран мира.
Баг‑репорты принесли специалистам более 13 600 000 долларов, так как суммарно им удалось выявить 1261 ошибку.
Большинство сообщений об ошибках поступило от исследователей, проживающих в Китае, США и Израиле.
Самая крупная сумма, присужденная компанией за последний год, составила 200 000 долларов, и эту награду получил специалист, нашедший критическую уязвимость в Hyper-V. В среднем же выплата за одну уязвимость равнялась примерно 10 000 долларов.
Сумма, потраченная компанией на bug bounty за прошедший год, практически равна сумме за период с 1 июля 2019 года по 30 июня 2020 года. Тогда затраты компании на вознаграждения исследователям составили 13 700 000 долларов США.
Взлом Apex Legends
В первых числах июля игроки королевской битвы Apex Legends, которую разрабатывает компания Respawn Entertainment, начали массово жаловаться на появление странных сообщений в пользовательском интерфейсе игры. Причем проблема затронула пользователей ПК, Xbox One и PS4.
Сообщения призывали спасти другую игру этой же компании — Titanfall — и вели на сайт SaveTitanfall.com, запущенный ранее в этом году. На этом ресурсе поклонники игры просят разработчиков Respawn вмешаться в происходящее и разобраться с хакерами, из‑за которых Titanfall уже несколько лет страдает от постоянных DDoS-атак.
«TF1 подвергается атакам, а значит, так же будет с Apex», — писали неизвестные взломщики.
Тогда как одни игроки сообщали, что призывы спасти Titanfall появляются в игре виде баннера или всплывающего сообщения, которое отображается после каждого раунда, другие жаловались, что у них из‑за взлома вообще появился «новый режим» SaveTitanfall, из‑за которого другие режимы и поиск матчей попросту не работали.
Каким образом была реализована эта атака, до сих пор неясно, но представители Respawn Entertainment быстро сообщили, что им известно о проблеме, а вскоре отчитались о ее устранении. На комментарии журналистов, которые интересовались деталями случившегося, в компании не ответили.
Интересно, что создатели сайта SaveTitanfall, на который хакеры направляли пользователей, поспешили сообщить, что не имеют к этой атаке никакого отношения.
Хакерские игры
- Эксперты «Лаборатории Касперского» предупредили, что пандемия повлияла на индустрию видеоигр, а также на киберугрозы для геймеров. Общее количество активных геймеров уже приближается к 3 млрд человек по всему миру, а с переходом на «удаленный образ жизни» количество атак, эксплуатирующих игровую тематику, увеличилось более чем на 50%.
- Если взглянуть на динамику количества таких атак, можно увидеть, что наиболее распространенной наживкой для геймеров постепенно становится CS:GO. Также в рейтинге популярных наживок остаются Dota, Warcraft и PUBG.
- Исследователи отмечают, что перечень малвари, чаще всего распространяющейся с помощью ссылок с игровой тематикой, изменился по сравнению с прошлым годом. Теперь рейтинг возглавляет семейство малвари Badur.
| Малварь | Частота |
|---|---|
| HEUR:Trojan.MSOffice.Badur.gena | 4,72% |
| HEUR:Trojan.Script.Miner.gen | 3,02% |
| HEUR:Trojan.PDF.Badur.gena | 2,36% |
| HEUR:Trojan.OLE2.Badur.gena | 1,57% |
| HEUR:Trojan.Multi.Preqw.gen | 1,46% |
| HEUR:Trojan-PSW.Script.Generic | 0,86% |
| Trojan-Downloader.Win32.Upatre.vwi | 0,82% |
| HEUR:Trojan.Win32.Generic | 0,81% |
| HEUR:Trojan.Script.SAgent.gen | 0,70% |
| HEUR:Trojan.Script.Fraud.gen | 0,43% |
App Bundles вместо APK
Разработчики Google объявили, что с августа 2021 года все новые приложения, загружаемые в Google Play Store, должны будут использовать новый формат Android App Bundles (AAB) вместо привычного APK (Android PacKage), который применяется в Android с 2008 года. В компании объясняют, что AAB — это более универсальный, «пакетный» формат, который позволит уменьшить объем приложений и адаптировать их для разных устройств.
Формат AAB появился в 2018 году, и его основная идея заключается в том, что Android-девайсы имеют множество различных аппаратных и языковых комбинаций, которые должны поддерживать приложения, а доставка всего этого кода на каждое отдельное устройство — пустая трата места. Дело в том, что Android поддерживает более 150 языков, четыре архитектуры ЦП (ARMv7, ARMv8, x86 и x86_64) и различные разрешения экрана, и все связанные с этим данные, сосредоточенные в одном APK, существенно увеличивают «вес» последнего.
В свою очередь, Android App Bundle превращает приложения в набор «разделенных APK», которые могут раздаваться из Google Play Store для каждого отдельного устройства. В сущности, такие «разделенные APK» не являются полноценными приложениями. Это лишь части приложений, каждая из которых сосредоточена на определенной области, а все вместе они образуют приложение. К примеру, если у вас есть устройство на базе ARMv8 с высоким разрешением, работающее на английском языке, Google Play Store предоставит вам набор «разделенных APK», которые поддерживают только устройство с такими параметрами. А если у вашего друга есть телефон на базе ARM v7 с низким разрешением, который использует английский и русский, он получит другой набор APK, ориентированный именно на такой девайс.
Таким образом, каждый пользователь получит только тот код, который нужен его устройству. По словам разработчиков Google, это поможет сократить «вес» приложений примерно на 15%.
Также разработчики приложений смогут использовать App Bundle для управления функциями своих продуктов. К примеру, какие‑то функции могут доставляться только на те устройства, которые их поддерживают, или будут доступны пользователям лишь по запросу.
Многие отмечают, что переход на AAB также даст Google больший контроль над всей экосистемой Android. Дело в том, что пакеты Android App Bundle должны обрабатываться инфраструктурой магазина приложений. Хотя AAB — это формат с открытым исходным кодом и у Google есть опенсорсное приложение bundletool, многим компаниям все же потребуется создать собственную инфраструктуру и оплатить все связанные с этим расходы.
Хотя открытый исходный код App Bundles позволяет легко поддерживать их, альтернативным магазинам приложений придется взять на себя много работы и ответственности, и, вероятно, новый формат станет активно применяться только в Google Play Store.
Кроме того, многие эксперты отмечают, что переход на AAB связан еще с одним немаловажным аспектом. Так, одним из основных компонентов безопасности APK является подписание приложений. По сути, речь идет о цифровом сертификате, который принадлежит разработчику приложения и удостоверяет, что тот создал это приложение. Подпись неактуальна при первой установке, но во время всех последующих обновлений подписи должны совпадать. Это означает, что только владелец сертификата (исходный разработчик приложения) может обновить приложение. То есть никакая случайная третья сторона не может создать APK под названием Google-Pay.apk, который перезапишет реальное приложение Google Pay Store и похитит всю информацию пользователя.
Однако если вся система сборки приложения должна размещаться в облаке, ключи подписи разработчиков тоже должны размещаться в облаке, а это перекладывает ответственность за приложение с разработчика на Google.
«Google называет это Google Play App Signing, и компания серьезно обещает, что вы по‑прежнему будете владеть приложением и иметь к нему доступ. Но это немного похоже на передачу документов на ваш дом третьему лицу. Google контролирует Play Store, а значит, компании уже принадлежит улица и ваша подъездная дорожка, а теперь [Google] будет иметь еще больший контроль над вашим приложением», — отмечает издание ArsTechnica.
Дело в том, что, если инфраструктура магазина приложений будет скомпрометирована, третья сторона сможет получить доступ к ключам разработчиков и начать распространять вредоносные обновления. Также встает вопрос доверия владельцу магазина приложений. Ведь теперь он владеет ключом подписи и может изменить любое приложение без ведома автора, если захочет. Например, правительство может вынудить владельца магазина приложений изменить чье‑то приложение по своему усмотрению.
Чтобы развеять опасения по этому поводу, специалисты Google пошли на ряд уступок. Так, разработчики смогут хранить локальную копию ключа подписи, который они загрузили на серверы Google, что позволит им выпускать валидные обновления, которые можно устанавливать поверх версий из Google Play Store.
Также разработчики смогут загрузить подписанные Distribution APK через консоль разработчика Google Play. Эти файлы представляют собой обычные универсальные APK, которые можно использовать для загрузки в другие магазины. Для тех, кто боится, что Google может изменить приложение без согласия разработчика, предусмотрена новая необязательная функция «прозрачности кода», которая позволит разработчикам проверять, соответствуют ли хеши тому коду, который они загрузили в магазин ранее.
Другие интересные события месяца
ФБР и АНБ утверждают, что российские хакеры брутфорсят компании и организации по всему миру
Власти закрыли сервис DoubleVPN, популярный среди хакеров
Через несколько дней после запуска из Gettr утекли данные пользователей
Обновление OnePlus умышленно замедлило работу 300 популярных приложений
Телефоны Anom попали на вторичный рынок: это Google Pixel со странной ОС
Шпионское ПО Pegasus используют для слежки за активистами, журналистами и политиками
Миллионы принтеров HP, Xerox и Samsung уязвимы перед новым багом
Защита Google Play Protect снова провалила проверки AV-TEST
