Slo-Tech - Navajeni smo že, da se tudi v uradnem Google Play Storu znajdejo aplikacije sumljive provenience in zlih namenom, ki jih tja podtaknejo kriminalci, ki uspejo začasno pretentati Googlov (resda luknjičav) nadzor. Redkeje pa se zgodi, da zlonamerne aplikacije tja skrijejo kar državni obveščevalci. Raziskovalci iz podjetja Kaspersky poročajo o primeru skupine OceanLotus z napadom PhantomLance, ki se je ukvarjala prav s tem. Na Play Store so podtaknili malware, s katerim so vohunili po telefonih uporabnikov iz Vietnama, Bangladeša, Indonezije in Indije.

V konkretnem primeru cilj ni bil okužiti čim več ljudi, temveč nekaj točno določenih posameznikov. Napadalci so zgolj želenim tarčam poslali elektronska sporočila s povezavami na aplikacije, ki so vsebovale vohunsko kodo. V tem primeru bodo žrtve bolj verjetno zaupale, da je aplikacija legitimna, ker povezava vodi do Play Stora. Na podoben način namreč povezavo do svojih aplikacij pošiljajo legitimna podjetja, denimo nove spletne banke....

Slo-Tech - V Windows 10 so odkrili novo ranljivost, ki ima po Microsoftovi lestvici najvišjo stopnjo resnosti ("kritično") in še ni zakrpana. Težava tiči v Adobe Type Manager Library (atmfd.dl) in jo lahko napadalec izkoristi, če uporabnik zlonamerno pripravljen dokument odpre ali si ga že predogleda v Windows Preview. Omenjena knjžnica se uporablja za izris pisav PostScript Type 1 v Windows.

Z zlorabo te ranljivost lahko napadalec na sistemu oddaljeno požene zlonamerno kodo. Gre za dve luknji, ki omogočata RCE (remote code execution). Omenjena ranljivost se v praksi že izrablja, dasiravno v omejenem obsegu, je dejal Microsoft. Podrobnosti o tem, kdo in kako jo izkorišča, niso razkrili. Ogrožen je tudi Windows 7, ki pa ni več podprt za domače uporabnike. Popravek, ki bo na voljo v naslednjem ciklu (drugi torek v mesecu), bodo tako dobili le naročniki razširjene podpore, za Windows 10 pa vsi.

Do tedaj lahko onesposobimo Preview Pane in Details Pane v Raziskovalcu, izključimo storitev...

Slo-Tech - Raziskovalci norveškega podjetja Promon so v Androidu odkrili varnostno ranljivost, ki obstoji v vseh verzijah Androida (tudi v desetici) in jo napadalci v resničnem življenju že izkoriščajo. Poimenovali so jo StrandHogg po nekdanji vikinški praksi zajema živine in ljudi za delovno silo in sužnje.

Ranljivost tiči v večopravilnosti, kot jo ponuja Android. Zlonamerna aplikacija se lahko pretvarja, da je legitimna aplikacija, saj se zažene ob kliku na ikono legitimne aplikacije in prestreže vnesene prijavne podatke. Uporabniki menijo, da uporabljajo legitimno aplikacijo, v resnici pa zlonamerna aplikacija prikazuje lažen prijavni zaslon. Aplikacija lahko na enak način pridobi tudi privilegije za dostop do različnih delov telefona, saj zanje sprašuje, kakor da bi bila legitimna aplikacija.

V praksi to pomeni, da lahko zlikovci kradejo gesla za dostop do spletne banke, kar so dejansko počeli. Raziskovalci so odkrili 36 zlonamernih aplikacij, ki izkoriščajo omenjeno ranljivost. Teh...

Slo-Tech - V varnostnih programih tretjih proizvajalcev za macOS je kar 11 let tičala luknja, ki je aplikacijam omogočala, da so se predstavljale kot podpisane z Applove strani. Digitalni podpisi aplikacij so eden izmed osnovnih varnostnih mehanizmov, saj lahko za podpisano aplikacijo trdimo, da zagotovo v nespremenjeni obliki izvira od podpisnika. Podpisovanje je kriptografsko močno in ga ni mogoče ponarediti, lahko pa se zatakne pri preverjanju. Novoodkrita luknja je zlonamerni kodi omogočala, da je obšla postopek preverjanja in se predstavila kot legitimna Applova programska oprema. Ker številni protivirusni in drugi zaščitni programi to informacijo uporabljajo pri zaznavanju zlonamerne programske opreme, se je ta z izkoriščanjem luknje lahko pritihotapila na...

Slo-Tech - Lažna aplikacija za Android, ki se je pretvarjala, da gre za uveljavljeno aplikacijo za hipno sporočanje WhatsApp, je uspela pretentati več kot milijon uporabnikov, da so jo namestili. Aplikacija se je imenovala Update WhatsApp Messenger (sedaj so njeno ime že spremenili v Dual Whatsweb Update) in je uporabljala enake ikone in grafični dizajn kakor legitimna aplikacija. Tudi kot založnik je bil zapisan WhatsApp Inc., le da je bil na koncu imena še neopazen znak Unicode, podoben presledku.

To seveda ni prvi primer, da je lažna aplikacija na Google Playu uspela pretentati nekaj uporabnikov, je pa eden redkih tako množičnih. Aplikacija je namreč zbrala kar milijon prenosov, kar je zaskrbljujoče veliko. Kar se tiče funkcionalnosti, je šlo za sorazmerno benigen primer, saj aplikacija ni zahtevala skoraj nobenih privilegijev, temveč je zgolj prikazovala reklame. Podobno se je dogajalo tudi Facebooku, katerih ime so...

ZDNet - Google je s svoje spletne tržnice aplikacij Google Play umaknil 500 aplikacij s skupno več kot 100 milijoni prenosov, ker so uporabljale razvojni komplet (SDK) Igexin, ki je imel sposobnost nameščanja vohunske programske opreme na prizadete telefone in pošiljanja podatkov na kitajske strežnike. Šlo je za povsem legitimne aplikacije, ki so uporabljale Igexin zaradi njegovih (zakonitih) oglaševanih funkcij. Avtorji aplikacij tako niso mogli vedeti, da imajo njihove aplikacije zlonamerni del.

Igexin naj bi uradno deloval kot platforma za lažjo povezavo s strežniki oglaševalcev, ki omogoča serviranje reklam, ki so bolje prilagojene interesom posameznega uporabnika. To je...

Slo-Tech - Da je nameščanje aplikacij na Android iz neuradnih virov tvegano početje, je precej jasno. Toda vedno znova se dokazuje, da se zlonamerne aplikacije znajdejo tudi v uradni spletni tržnici Google Play. Zadnji tak primer je družina aplikacij SonicSpy, ki obsega več kot štiri tisoč zlonamernih aplikacij, med njimi tudi so vsaj tri našle pot tudi v Google Play.

Ena izmed njih se je imenovala Soniac in je uradno ponujala okolje za varno sporočanje, ki ni bilo nič drugega kot predelan vmesnik za dostop do omrežja Telegram, v ozadju pa je vohunila. Aplikacija je snemala pogovore in imela možnost opravljanja klicev, pošiljanja sporočil in prebiranja drugih podatkov na telefonu. Poleg Soniaca sta bili na Google Play še aplikaciji Hulk Messenger in Troy Chat, a je Google vse tri...

Slo-Tech - Doslej so Applove naprave, ki jih nismo na silo odklenili (jailbreak), veljale za varne, saj je strog DRM preprečeval namestitev nepodpisanih aplikacij, kar je v navezi s temeljitim preverjanjem aplikacij pred vključitvijo v App Store poskrbelo za sorazmerno varen ekosistem. Sedaj pa se je pojavila zlonamerna aplikacija (malware), ki lahko okuži tudi neodklenjene naprave z iOS. AceDeceiver, ki so ga odkrili pri Palo Alto Networks, se za zdaj širi na Kitajskem.

Virusi so že v preteklosti uspeli pretentati zaščito, a so za to potrebovali ukradene certifikate. AceDeceiver je pomemben zato, ker ne potrebuje nobenega certifikata, temveč se širi prek ranljivosti v Applovem DRM-sistemu FairPlay. Tako imenovana taktika FairPlay Man-In-The-Middle je sicer poznana že od januarja 2013 in so jo...