В Google Play Store выявили 24 правительственных приложения из КНР

В Google Play Store выявили 24 правительственных приложения из КНР

В Google Play Store выявили 24 правительственных приложения из КНР

В новом отчёте VPNpro исследователи предупреждают о компании, связанной с правительством Китая и стоящей за разработкой 24 опасных Android-приложений. По словам специалистов, эти программы установили 382 миллиона пользователей.

Изначально все эти приложения были доступны в официальном магазине Google Play Store. После установки они запрашивали нетипичные разрешения в системе.

Исследователи из компании VPNpro, изучавшие активность китайских разработчиков, вышли на компанию Shenzhen HAWK, связанную с Hi Security и другими четырьмя девелоперами. Было установлено, что VPN-сервис от Hi Security запрашивает опасные разрешения на Android-устройствах.

В свою очередь, Shenzhen HAWK является филиалом TCL Corporation — корпорации, которой отчасти владеют власти Китая.

В опубликованном отчёте, команда VPNpro выделила пять разработчиков и 24 приложения, входящие в сеть Shenzhen HAWK.

Шесть из этих 24 программ запрашивали доступ к камере устройства, ещё две пытались добраться до функции звонков, 15 — к данным геолокации и внешнему хранилищу, 14 — к сбору данных о сети и девайсе пользователя. Ещё одно приложение пыталось записывать аудио и получить доступ к контактам.

Само собой, все собранные данные уходили прямиком на серверы разработчиков — другими словами, китайцам. Приводим полный список шпионских приложений вместе с разработчиками:

Tap Sky

  1. World Zoo
  2. Puzzle Box
  3. Word Crossy!
  4. Soccer Pinball
  5. Dig it
  6. Laser Break
  7. Word Crush
  8. Music Roam

Mie-Alcatel.Support

  1. File Manager
  2. Sound Recorder
  3. Joy Launcher
  4. Turbo Browser
  5. Weather Forecast
  6. Calendar Lite

ViewYeah Studio

  1. Candy Selfie Camera

Private Browser

Hawk App

  1. Super Cleaner
  2. Super Battery

Hi Security

  1. Virus Cleaner 2019
  2. Hi Security 2019
  3. Hi VPN, Free VPN
  4. Hi VPN Pro
  5. Net Master

Alcatel Innovative Lab

  1. Candy Gallery
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая атака Opossum позволяет внедрять данные в TLS-сессии

Исследователи обнаружили новый вектор атаки под названием Opossum. Он позволяет злоумышленнику вмешиваться в якобы защищённую сессию TLS — при этом шифрование никто не взламывает.

Атака работает за счёт несогласованности между двумя режимами TLS: «implicit» (например, HTTPS на порту 443, где защита включается сразу) и «opportunistic» (например, HTTP на порту 80, где защита активируется позже через апгрейд-запрос).

Используя это отличие, атакующий может вызвать рассинхронизацию между клиентом и сервером, после чего — незаметно встроить в канал поддельные данные.

Сценарий простой: клиент подключается к HTTPS, но злоумышленник перенаправляет его запрос на порт HTTP, сам инициирует апгрейд до TLS, а затем тайно синхронизирует обе сессии.

В итоге и клиент, и сервер думают, что всё идёт по плану — хотя злоумышленник в любой момент может подменить сообщения или задержать ответы.

Opossum базируется на принципах вектора атаки ALPACA, но работает даже там, где меры против ALPACA уже внедрены. Это делает «опоссума» особенно опасным, поскольку он бьёт не по самому TLS, а по логике взаимодействия приложений.

 

Эксперты говорят: отключить opportunistic TLS — не вариант, особенно на почтовых серверах и старых системах. Лучше изолировать порты и режимы TLS, а также включить проверку соответствия между протоколом и портом. Можно дополнительно отслеживать подозрительные апгрейд-заголовки.

Главный вывод — зрелые протоколы вроде TLS всё ещё могут быть уязвимыми из-за архитектурных нюансов. И чтобы не стать жертвой атак вроде Opossum, стоит внимательно относиться ко всем уровням стека безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru