Apple, Google, Facebook, Microsoft помогали АНБ следить за пользователями

Apple, Google, Facebook, Microsoft помогали АНБ следить за пользователями

Американские ИТ-компании Yahoo, Apple, Google, Microsoft, Facebook и AOL знали о том, что Агентство национальной безопасности (АНБ) собирает данные их пользователей, сообщает Guardian со ссылкой на главного юриста АНБ Раджеша Де (Rajesh De).

На вопрос представителей Бюро по надзору за соблюдением прав на личную жизнь и гражданских свобод (PCLOB) о том, проходил ли сбор данных в соответствии с законом, а также «при полной осведомленности и содействии каждой компании, у которой была получена информация», Де ответил утвердительно. Он сообщил, что АНБ получала как содержимое сообщений пользователей, которые они пересылали друг-другу, так и сопутствующие метаданные.

Вопросы были заданы во время слушаний, на которых, помимо представителей АНБ, показания дали сотрудники ФБР. Бюро PCLOB интересовало, не был ли в ходе сбора данных нарушен закон FISA Amendments Act от 2008 г. Этот закон наделяет власти США правом наблюдения за гражданами, находящимися за пределами США и не являющимися американскими гражданами, сообщает safe.cnews.ru.

В июне 2013 г. издания Guardian и Washington Post опубликовали сведения бывшего сотрудника АНБ Эдварда Сноудена (Edward Snowden) о программе PRISM, в рамках которой ведущие американские ИТ-компании сотрудничают со спецслужбами, передавая им данные своих клиентов.

Упомянутые в статьях компании единогласно отвергли свою причастность к программе, заявив, что они не знают о ней, не предоставляют данные спецслужбам, а те не имеют доступа к их серверам. Представители некоторых компаний пояснили, что время от времени они предоставляют данные властям, но только если это требуется в постановлении суда.

«PRISM является внутренним термином, который стал известен публике в связи с утечкой, - пояснил Раджеша Де. - Сбор данных согласно этой программе осуществляется в обязательном порядке, согласно закону».

Представители АНБ и ФБР заявили бюро, что они не собирают все данные подряд, а следят лишь за подозрительными лицами, которые могут быть причастны к терроризму или другой незаконной деятельности.

После обнародования сведений о PRISM в июне прошлого года некоторые компании сообщили точное количество запросов на раскрытие данных, которые они получили от властей США за последнее время. Apple заявила, что в период с 1 декабря 2012 г. по 31 мая 2013 г. она получила 4-5 тыс. запросов от органов исполнительной власти, в которых в общей сложности содержались требования предоставить пользовательские данные с 9-10 тыс. устройств. В свою очередь, в Microsoft сообщили, что за последние 6 месяцев 2012 г. они получили 6-7 тыс. запросов, касающихся примерно 32 тыс. пользователей.

В декабре 2013 г. восемь крупнейших технологических компаний США - Google, Microsoft, Apple, Facebook, Twitter, AOL, LinkedIn и Yahoo - подписались под открытым письмом президенту США Бараку Обаме (Barack Obama) и Конгрессу с просьбой реформировать Агентство национальной безопасности. Они предложили сделать его деятельность более прозрачной. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств

Специалисты «Доктор Веб» нашли опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в формате APK, обеспечивает полнофункциональный удалённый контроль над аккаунтом и умеет красть и модифицировать данные — от логинов и паролей до истории чатов.

Что умеет троян:

  • Скрывать от пользователя подключённые устройства в списке активных сеансов Telegram, чтобы компрометация не бросалась в глаза.
  • Добавлять и удалять пользователя из каналов, вступать в чаты от его имени и выходить из них — злоумышленники могут накручивать подписчиков и управлять активностью аккаунта.
  • Перехватывать содержимое буфера обмена, загружать СМС и контакты, вытаскивать историю сообщений и токены аутентификации.
  • Работать через классический C2 и — что необычно для Android — через базу данных Redis: злоумышленники публикуют команды в Redis, а бэкдор подхватывает их как второй канал управления.
  • Создавать прокси-сервисы на заражённых устройствах (NPS), загружать обновления трояна и показывать фишинговые окна прямо в интерфейсе мессенджера.

По оценкам «Доктор Веб», число заражённых устройств превысило 58 000, при этом аналитики фиксируют примерно 20 000 активных подключений одновременно. Под удар попали около 3 000 моделей устройств — это не только смартфоны и планшеты, но и ТВ-приставки, а иногда и автомобили с Android-бортовыми системами.

Распространяется бэкдор главным образом через рекламные баннеры в приложениях: жертве предлагают скачать «Telegram X» с сайта, где мессенджер подаётся как сервис для знакомств или видеочатов. Сайт выглядит как магазин приложений с фиктивными отзывами и кнопкой загрузки APK.

 

Авторы кампании готовят шаблоны на португальском (ориентир — Бразилия) и индонезийском — эти страны в приоритете, но атаки могут выйти и на другие регионы.

 

Кроме вредоносных сайтов, модификации были найдены и в сторонних каталогах приложений — APKPure, ApkSum, AndroidP — иногда даже под подписью настоящего разработчика, хотя цифровые подписи не совпадают с оригиналом. «Доктор Веб» уведомил площадки о проблеме.

Как встроен бэкдор

Обнаружены три основных подхода злоумышленников: встраивание бэкдора прямо в DEX-файл приложения, динамический патч через LSPatch и загрузка дополнительного DEX-файла из ресурсов. При запуске модифицированного Telegram X бэкдор инициализируется незаметно — для пользователя приложение выглядит обычным, но при этом злоумышленники получают полный контроль.

 

Для изменения поведения используют и фреймворк Xposed, и зеркала методов приложения, чтобы подсовывать фальшивые окна и перехватывать действия.

Какие команды выполняет троян

Список возможностей длинный: скрывать чаты, блокировать уведомления, показывать фишинговые сообщения, подписывать и отписывать от каналов, выгружать базы данных чатов, слать на сервер содержимое буфера обмена, присылать список установленных приложений и многое другое. Команды приходят и через C2, и через Redis — при этом реализована дублирующая логика, если один канал недоступен.

Что делать пользователям:

  • Не скачивайте APK с сомнительных сайтов и не переходите по рекламным баннерам с предложениями «удобных видеочатов».
  • Загружайте приложения только из официальных магазинов и проверяйте цифровые подписи.
  • Включите двухфакторную аутентификацию в Telegram и регулярно проверяйте список активных сеансов (Settings → Devices). Если видите неизвестные устройства — разлогиньтесь на них.
  • Не храните пароли и критичные фразы в буфере обмена, используйте менеджеры паролей.
  • Обновляйте ОС и приложения, ставьте официальные обновления безопасности; при сомнении — переустановите приложение из официального источника.
  • Рассмотрите установку мобильного антивируса и проверку устройства на наличие вредоносные программы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru