Специалисты нашли восемь уязвимостей в VoIP-компонентах Android

Специалисты нашли восемь уязвимостей в VoIP-компонентах Android

Специалисты нашли восемь уязвимостей в VoIP-компонентах Android

Команда учёных нашла восемь уязвимостей в VoIP-компонентах операционной системы Android. Атакующий может использовать эти дыры для совершения несанкционированных звонков и даже для выполнения вредоносной кода на устройстве пользователя.

Это первое исследование такого рода. Ранее специалисты изучали защитные механизмы оборудования Voice-over-IP (VoIP) и мобильных приложений для VoIP, но ни разу до этого не смотрели в сторону VoIP-компонентов внутри самой системы Android.

Теперь же группа из трёх исследователей исправили это. За последние несколько лет учёные выработали три метода анализа уязвимости вышеупомянутых компонентов.

В основном в своих тестах эксперты полагались на технику, известную под названием фаззинг (fuzzing). Фаззинг подразумевает «бомбежку» программных компонентов случайными или вредоносными данными, после чего фиксируется и оценивается реакция этих компонентов.

По словам учёных, они подвергли фаззингу различные VoIP-протоколы: SIP [Session Initiation Protocol], SDP [Session Description Protocol] и RTP [Real-time Transport Protocol]. После этого специалисты просмотрели логи и провели аудит кода.

Тестированию подверглись только актуальные версии мобильной операционной системы: с Android 7.0 (Nougat) по 9.0 (Pie). Всего было выявлено девять уязвимостей, восемь из которых затрагивали саму ОС Android, и ещё одна — приложение VK (ВКонтакте).

Полное исследование специалистов «Understanding Android VoIP Security: A System-level Vulnerability Assessment» можно изучить и загрузить по этой ссылке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

HybridPetya: наследник Petya научился обходить защиту UEFI Secure Boot

Исследователи из ESET рассказали о новом вымогателе, получившем имя HybridPetya. Этот зловред напоминает печально известные Petya и NotPetya, но с важным отличием: он умеет обходить механизм безопасной загрузки в UEFI-системах, используя уязвимость, закрытую Microsoft в январе 2025 года.

По словам экспертов, первые образцы HybridPetya были загружены на VirusTotal в феврале.

Принцип работы знаком (встречался у Petya): программа шифрует главную таблицу файлов — ключевую структуру NTFS-разделов, где хранится информация обо всех файлах. Но теперь к этому добавился новый трюк — установка вредоносного EFI-приложения прямо в EFI System Partition.

 

У HybridPetya два основных компонента: инсталлятор и буткит. Именно буткит отвечает за шифрование и вывод «поддельного» окна CHKDSK, будто система проверяет диск на ошибки.

 

На самом деле в этот момент шифруются данные. Если диск уже зашифрован, жертве показывается записка с требованием заплатить $1000 в биткойнах. В кошельке злоумышленников на данный момент пусто, хотя с февраля по май туда пришло около $183.

 

Интересно, что в отличие от разрушительного NotPetya, новый вариант всё же предполагает расшифровку: после оплаты жертва получает ключ, и буткит запускает обратный процесс, восстанавливая оригинальные загрузчики Windows.

Некоторые версии HybridPetya используют уязвимость CVE-2024-7344 в UEFI-приложении Howyar Reloader. С её помощью можно обойти Secure Boot — защитный механизм, который должен предотвращать запуск неподписанных загрузчиков. Microsoft уже отозвала уязвимый бинарный файл в январском обновлении.

ESET подчёркивает: пока признаков активного распространения HybridPetya нет, возможно, это только семпл. Но сам факт появления таких образцов показывает, что атаки на UEFI и обход Secure Boot становятся всё более реальными и привлекательными — и для исследователей, и для киберпреступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru