В продуктах Seagate и Western Digital обнаружены уязвимости

В продуктах Seagate и Western Digital обнаружены уязвимости

Две разные группы экспертов, не сговариваясь, опубликовали информацию о том, что устройства компаний Seagate и Western Digital содержат ряд уязвимостей. Особенно неприятные баги обнаружились в жестких дисках со встроенным шифрованием: My Passport и My Book.

Слабые места в Seagate Central network attached storage (NAS) были обнаружены компанией Docker software и экспертом Эриком Виндишем (Eric Windisch). Исследователь описал найденные локальные уязвимости в своем блоге, передает xakep.ru.

Во-первых, Виндиш пишет, что устройства Seagate «из коробки» оснащены очень простым, распространенным паролем, который очень легко узнать. Во-вторых, веб-приложение для NAS позволяет внести несанкционированные модификации в IP-адрес и имя хоста.  В-третьих, обновление прошивки происходит через HTTP, без подписи, что открывает широкие возможности для атак типа man-in-the-middle. Локальный атакующий также может повысить свои привилегии в системе благодаря тому, что некоторые системные файлы открыты для записи (mode 777).

Эксперт уверен, что похожие баги также присутствуют у девайсов линейки BlackArmor, так как код прошивок весьма похож. Виндиш сообщил Seagate о найденных проблемах еще в июле 2015 года, выждал положенные 90 дней и теперь, с чистой совестью, опубликовал информацию о своих находках. Представители Seagate еще летом пообещали эксперту выпустить обновленную версию прошивки, однако этого до сих пор не случилось.

С устройствами компании Western Digital все обстоит несколько хуже. Группа исследователей представила доклад (.pdf), из которого становится ясно, что устройства WD, оснащенные функцией встроенного шифрования «на лету» и защищенные паролем, это настоящее решето. Злоумышленник может получить практически любые данные с диска, даже не зная пароль, необходимый для их расшифровки.

Исследователи пишут, что обнаружили сразу ряд уязвимостей, позволяющих легко обойти авторизацию. К тому же, хотя шифрование на устройствах осуществляется по алгоритму AES с 256-битным ключом, его можно взломать, таким образом, получив доступ к хранящейся на внешнем диске информации без пароля.

Устройства с определенными микроконтроллерами на борту имеют серьезные проблемы с генератором случайных чисел (RNG), который используется как системой шифрования, так и во время обновления прошивки. Уязвимости в системе обновления прошивки позволяют осуществить атаки типа evil maid и bad USB, что в итоге позволяет просто воспроизвести ключ.

«Мы разработали сразу несколько атак для извлечения данных с защищенных паролем и шифрованием внешних жестких дисков, — пишут исследователи. — В дополнение к этому, мы обнаружили ряд уязвимостей, таких как возможность модификации прошивки и клиентского софта, работающего на компьютере пользователя. Благодаря атакам типа evil maid и bad USB возможно получить учетные данные пользователя и внедрить вредоносный код».

Компания Western Digital знает о проблемах, однако патчи для своих устройств выпускать не спешит. Представили WD дали комментарий изданию SecurityWeek:

«WD сотрудничает с независимыми ИБ-специалистами и ведет диалог, относительно опубликованных ими наблюдений о безопасности некоторых моделей жестких дисков My Passport. Мы продолжим оценивать важность их изысканий».

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru