Исследователи безопасности из группы Zero, опубликовали результаты поиска уязвимостей в технологии ARM TrustZone, позволяющей создавать аппаратно изолированные защищённые окружения, в которых выполняется отдельная специализированная операционная система.
Основным предназначением TrustZone является обеспечение изолированного выполнения обработчиков ключей шифрования, биометрической аутентификации, платёжных данных и другой конфиденциальной информации.
В исследовании рассмотрены реализации двух TEE-окружений (Trusted Execution Environment) - Qualcomm QSEE и Trustonic Kinibi, применяемых в Android-смартфонах и базирующихся на расширениях ARM TrustZone. Обе системы предоставляют урезанные проприетарные операционные системы, работающие на отдельном виртуальном процессоре и позволяющие выполнять специализированные защищённые обработчики (TA, Trusted Applications"). Защищённые обработчики не могут напрямую взаимодействовать с основной операционной системой Android, их вызов и передача данных осуществляется косвенно, через интерфейс диспетчеризации, работу которого обеспечивает устанавливаемые в основной системе библиотеки, процессы-демоны и модули ядра,
Исследование показало недостаточный уровень безопасности рассмотренных решений, в которых было выявлено несколько уязвимостей, а также одна кардинальная архитектурная недоработка (возможность отката на старую уязвимую версию обработчиков в защищённом окружении), которую невозможно устранить без изменений на аппаратном уровне или снижения стабильности работы устройства. Выполняемые внутри защищённых окружений операционные системы в полной мере не реализуют современные методы блокирования атак (например, защиту от переполнения стека), что позволяет использовать выявленные уязвимости для совершения реальных атак. Проблемы проявляются во всех устройствах на чипах Qualcomm и устройствах на чипах Trustonic Kinibi версии до 400 (т.е. все устройства на базе Samsung Exynos, кроме Galaxy S8 и S8 Plus).
Для получения контроля над компонентами защищённого окружения достаточно найти уязвимость в выполняемых в данном окружении обработчиках, которые написаны без использования языков, обеспечивающих безопасные методы работы с памятью, и содержат типовые ошибки, свойственные коду на языке Си. Например, продемонстрированы методы эксплуатации, которые манипулируют переполнением стека в запускаемом внутри защищённого окружения обработчике одноразовых паролей (OTP). Эксплуатация производится через передачу слишком больших значений токенов, не вмещающихся в буфер, созданный на основании передаваемого в составе команды аргумента с размером токена.
Таким образом атака на компоненты защищённой ОС напоминает эксплуатацию уязвимостей в ядре ОС, осуществляемую через манипуляцию с системными вызовами. Но в случае защищённого окружения проблема усложняется тем, что многими производителями смартфонов не предусмотрено средств для отзыва защищённых обработчиков и выявленную уязвимость становится не так просто исправить - появляется возможность применять старые уязвимые обработчики для получения контроля за защищённым окружением, т.е. выявленную уязвимость можно использовать неопределённое время. Во многих случаях обработчики связаны с выполнением привилегированных операций в системе, что при успешной атаке позволяет не только получить доступ к данным, связанным с обработчиком, но и получить контроль над всем устройством.
Злоумышленники запустили массовую рассылку опасных «праздничных» открыток к 8 марта. В них скрыты фишинговые ссылки на ресурсы, распространяющие зловред или собирающие персональные данные. Рассылки идут через мессенджеры и социальные сети.
Такие открытки привлекают музыкальным сопровождением и интерактивными элементами, для доступа к которым предлагается перейти по ссылке.
Однако ссылка ведёт либо на фишинговый сайт, где у пользователей пытаются выманить личные данные, либо инициирует загрузку вредоносного приложения под видом праздничного контента. О кампании РИА Новости сообщили в пресс-службе платформы «Мошеловка».
Как предупреждают в «Мошеловке», к празднику активизировались и другие мошеннические схемы. В частности, злоумышленники действуют от имени курьеров и предлагают «эксклюзивные» букеты с обязательной предоплатой за доставку. После получения денег они исчезают. Чаще всего такие атаки нацелены на мужчин. У женщин же нередко пытаются выманить коды из СМС под предлогом подтверждения сообщения от «тайного поклонника».
Распространение получила и схема с «конкурсом букетов» — разновидность известного сценария с фальшивыми конкурсами и лотереями. В соцсетях создаются поддельные аккаунты якобы известных флористических студий, где объявляется розыгрыш ценных призов. Для участия пользователям предлагают оплатить «комиссию» или «взнос». Такие атаки ориентированы прежде всего на активных пользователей соцсетей.
В «Мошеловке» рекомендуют не переходить по ссылкам в сообщениях от неизвестных отправителей и проверять информацию об акциях на официальных сайтах компаний. Там также напомнили: требование предоплаты со стороны курьера — явный признак мошенничества.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
