KUSTUTATUD ANDMED, MIS LIHTSALT EI KAO
Mobiiltelefon vead et Google vaikis igaks juhuks. Salapärane juhul ATM-i videote üleslaadimisest. Millal redigeeritud andmed vedrud tagasi ellu.
Kas allpool pole helipleierit? Kuulake otse Soundcloudis.
Koos Paul Ducklini ja Chester Wisniewskiga. Intro ja outro muusika autor Edith Mudge.
Saate meid kuulata Soundcloud, Apple Podcastid, Google Podcastid, Spotify, Stitcher ja kõikjal, kus leidub häid taskuhäälingusaateid. Või lihtsalt loobuge Meie RSS-kanali URL oma lemmik taskupüüdjasse.
LUGEGE TRAKTI
[MUUSIKAMODEEM]
PART. Tere kõigile.
Tere tulemast tagasi Naked Security Podcasti.
Doug on sel nädalal ikka ära, nii et see olen jälle mina, Duck ja mu hea sõber Chester Wisniewski.
Tere, Chet.
CHET. Hei, Part!
PART. Ütlesid, et tuled tagasi, ja oled tagasi!
Miski ebasoodne või ükski suur pahavara katastroof ei ole teid möödasõidul juhtinud.
Nii et alustame kohe selle nädala avalooga, mis on huvitav ja mõnes mõttes keeruline seletada…
...sest kurat peitub detailides ja detaile on raske leida.
Ja ma loen lihtsalt Naked Security pealkirja ette: Ohtlikud Android-telefoni 0-päevased vead on selgunud – parandage või töötage nendest kohe mööda.
See on seotud asjaga, mida nimetatakse põhiribaks.
Avastati ohtlikud Android-telefoni 0-päevased vead – parandage või töötage nendest kohe mööda!
CHET. Noh, need põhiriba kiibid teie mobiiltelefonis töötavad tegelikult oma väikese operatsioonisüsteemiga ...
…teie 5G-modemile, et see saaks teie asukohateabe vastuvõtmiseks rääkida mobiilsidemastidega, võib-olla GPS-vastuvõtjaga.
PART. Ma saan aru, et põhiriba ei sisalda isegi WiFi-d ja Bluetoothi.
Neid haldavad kiibisüsteemi [SoC] erinevad osad, kuna raadioside ja telefoni saadavuse ja muu mobiilsidevõrgu jaoks kehtivad palju rangemad eeskirjad kui selliste asjade kohta nagu Wi-Fi ja Bluetooth.
CHET. Jah, selle regulatsioon on üsna karm, ilmselt turvalisuse kaalutlustel, eks?
GSM on Euroopa telekommunikatsioonistandardite instituudi spetsifikatsioon ja ma eeldan, et nad kontrollivad neid väga rangelt, et need oleksid täpselt õigel sagedusel ja täpselt õigel võimsusel ning et need ei ole loodud nii, et võib võrguga ühendada ja teenuse keelamise või häirida hädaabikõnede tegemist või muud sellist.
Nii et see pole nagu kaubakiip, millest 20 erinevat Hiina ettevõtet 30-sendiseid versioone välja pumpavad.
Neid valmistab ainult (minu teada) kaks tootjat: Samsung ja Qualcomm.
Nii et neid on väga raske teha.
Pean silmas seda, et Intel proovis paar aastat tagasi siseneda modemi põhiribaärisse, kulutas miljardeid dollareid ja lõpuks lahkus, sest nad ei saanud sellega hakkama.
PART. Niisiis, põhiriba, nimetagem seda kiibiks, kuigi see on osa suuremast kiibist, mida ma kirjeldasin artiklis kui System-on-Chip… te võite seda mõelda kui "integraallülitust".
See on nagu väga-väga pisike emaplaat, ühes kiibipaketis.
Ja siis on see osa, mis on, kui soovite, kiip kiibis.
Idee seisneb selles, et see peaks töötama näiteks Androidist või iOS-ist sõltumatult, kui teil on iPhone.
See tähendab, et kui teie põhiriba püsivaras, mis on Internetist kättesaadav, on viga, võib kelm teie telefoni mobiilsidevõrgu sideosa häirida, isegi kui ta ei saa kaugemale ja võtab Androidi üle. või teie rakendused.
Ja ma kujutan ette, et kui nad on teie võrguäris, siis see tähendab, et nad saavad tõenäoliselt teie andmeid nuhkida, kõnesid nuhkida, kõnedega segi ajada, võib-olla teie kõned blokeerida, võib-olla kõiki teie SMS-e lugeda.
Niisiis, teie kiibi põhiriba modemi osas on viga…
…see mitte ainult ei sõltu Androidi vigadest, vaid ei pruugi isegi teie ostetud telefonimudeliga kaasas olla, eks?
Sest see võib sõltuda sellest, milline kiibi versioon just sellesse seadmesse installiti või millisele turule see müüdi või millises tehases see tehti.
CHET. Jah, absoluutselt.
Pean silmas seda, et minevikus on kindlasti olnud palju telefone, kus olenevalt kõigist nendest teguritest, mida just mainisite, saaksite täpselt samad seadmed erinevate modemitega.
Võib-olla Ameerika Ühendriikides… nad kasutavad 5G jaoks erinevat sagedust kui meie siin Kanadas, nii et see oleks võinud hõlbustada ühe kaubamärgi kiibi hankimist teise kaubamärgi kiibi asemel.
Kuid kui ostate selle poest, on see ikkagi lihtsalt "Pixel 7" või "Samsung S21" või kuidas seda plekil nimetatakse.
Sa ei tea tegelikult, mis seal sees on.
Teil ei ole mingit võimalust enne tähtaega öelda: "Oh, ma ostan ainult telefoni, millel on modemikiibi Qualcomm Snapdragon versioon."
Ma mõtlen, et see pole midagi, mida te tõesti teha saate…
PART. Google otsis vigu selles seadmete põhiriba osas.
Arvatavasti valisid nad Samsung Exynose modemikiibi komponendi, sest see on just see, mida nad kasutavad oma uusimates ja parimates Pixeli telefonides ... Pixel 6 ja Pixel 7 puhul.
Kuid see hõlmab ka terve hulga muid seadmeid: Samsungilt, Vivolt ja isegi mõnelt autolt.
Ja tundub, et nad komistasid 18 haavatavuse otsa.
Kuid nad otsustasid, et neli neist olid nii rasked, et kuigi nende leidmisest ja paljastamisest on nüüdseks möödas 90 päeva ning seetõttu on nad olukorras, kus nad tavaliselt kaotaksid 0 päeva, kui seda ei oleks. Kuna plaastrit pole saadaval, otsustasid nad selle maha jätta.
Nad alistasid tegelikult omaenda tilk-an-0-päeva poliitika.
CHET. Ja imekombel mõjutab see üht nende seadet.
Milline kokkusattumus, Duck…
PART. Ma saan aru, et Pixel 6 seerial ja Pixel 7 seerial on see lollakas püsivara.
Ja kuigi Google ütles uhkelt: "Oh, me oleme välja mõelnud plaastrid mõjutatud Pixeli seadmete jaoks"…
… sel ajal, kui nad seda teatasid, kui 90 päeva möödus, kuigi neil *oli* plaastreid Pixel 6es jaoks, ei olnud nad neid tegelikult veel *saadavaks teinud, eks?
Ehkki nende igakuised värskendused ilmuvad tavaliselt 6. märtsil (või 5. märtsil), ei õnnestunud neil Pixel 6 seeria jaoks värskendusi hankida enne 20. kuupäeva, mis see oli?
CHET. Noh, mul on Pixel 5 Duck, mida see ei mõjuta, kuid ma ei saanud oma värskendusi enne 20. kuupäeva.
Seega näib, et see on Mountain View's tööd närinud nii kaugele, et kõik – isegi kui see oli parandatud – jäi lihtsalt riiulile seisma.
PART. Sel juhul tundub, et see on see, mida nad nimetasid "Internet-baseband-koodi kaugkäivitamiseks".
Teisisõnu, keegi, kellel on Interneti-juurdepääs, võib kuidagi kahtlaselt teie telefoni pingida ja ilma Androidi osa tegelikult ohtu seadmata või petta teid petturit rakendust alla laadima, võib ta teie telefoni installida mingi pahavara ja teil oleks peaaegu ei saa kuidagi teada.
Mida teha, Chester?
CHET. Muidugi, vastus on: plaaster!
Muidugi on sellest väga vähe kõrvale jäänud, kuid teie seadmes võivad olla mõned seaded.
See näib 18 avastatud veast kõige murettekitavam, mis mõjutab nn Voice over LTE või Voice over Wi-Fi.
Kui mõelda sellele, kuidas teie telefon suhtleb, kasutas see tavaliselt (vanal ajal) teie hääle saatmiseks täiesti erinevat viisi, mis oli telefonikõne jaoks traadita võrgu kaudu tihendatud, kui näiteks tekstisõnumi saatmiseks või mis võimaldab teil andmetele juurde pääseda.
Ja viga näib olevat moodsamas asjade tegemise viisis, milleks on lihtsalt kõike käsitleda andmetena.
Teie häälkõned pakendatakse IP-pakettidesse – IP-kõne kaudu, kui soovite, kasutades võrgu *andmeosa*, mitte võrgu määratud kõneosa.
Nii et kui teie telefonis on valik „Lülita Wi-Fi helistamine sisse“ või „Kasuta VoLTE-d“ (see on Voice over LTE), võite need asjad välja lülitada, kui te pole veel plaastrit saanud. teie tootja.
PART. See on keeruline, kuid kindlasti "vaata seda ruumi" küsimus.
Niisiis, liigume edasi järgmine lugu, Chester.
[NAERAB] See hõlmab teie lemmikteemat, milleks on loomulikult krüptovaluuta.
See hõlmab ettevõtet, mis toodab Bitcoini sularahaautomaate, mida haldab server, mis võimaldab klientidel juhtida tervet sularahaautomaatide võrku ühest asjast, mida nimetatakse CAS-iks (core ATM server).
Ja neil oli viga, mis tuletab mulle lihtsalt meelde neid vanu vigu, millest me Chet Chati päevil rääkisime, kus teil on üleslaadimisplugin, mis võimaldab teil videoid või pilte üles laadida...
… kuid siis ei kinnita, et see, mis üles laaditi, oli tõesti pilt, *ja* jätab selle kohta, kus ründaja saab süsteemi petta seda käivitama.
Kes teadis, Chester, et krüptovaluuta sularahaautomaadid vajavad video üleslaadimise funktsioone?
Bitcoini sularahaautomaadi kliendid häkkisid üles video üleslaadimisega, mis oli tegelikult rakendus
CHET. Mõtlesin pigem järgmiselt: "Kes täiesti mõistusega arvab, et soovite sularahaautomaadile Java käituskeskkonda?"
Nii et mul on küsimus, Duck.
Ma üritan seda oma peas ette kujutada…
Ma olin Black Hatis, jumal, see pidi olema kümme või enam aastat tagasi ja Barnaby Jack lõi pangaautomaadi ja 20-dollarilised arved hakkasid sularahakassetist välja lendama.
Ja ma üritan ette kujutada, mis juhtub, kui ma Bitcoini sularahaautomaadi tagaukse panen.
Mis välja tuleb?
Kas suudame sel aastal DEF CONil ühe neist võita?
Ja mida ma näeksin?
PART. Ma arvan, et see, mida võite näha, on Bitcoini tehingud, mida Bitcoinide või mis iganes krüptovaluuta seaduslik omanik ei kiitnud heaks.
Ja ilmselt privaatvõtmed, mille inimesed on üles laadinud.
Muidugi, kui soovite "kuuma rahakoti" stsenaariumi, kus teie krüptomüntidega saaks koheselt kaubelda keegi teine teie nimel oma detsentraliseeritud finantsvõrgustikus…
…siis peate kas andma neile oma krüptovaluuta (kandma selle nende rahakotti, et see oleks nende oma) ja lihtsalt lootma, et nad annavad selle tagasi.
Või peate andma neile oma privaatvõtme, et nad saaksid vajadusel teie nimel tegutseda.
CHET. Iga tehing, mis selle toimimiseks nõuab privaatvõtme loovutamist, tähendab, et privaatvõti ei ole enam privaatne ja see peab sellega kohe lõppema!
PART. [NAERAB] Jah, see on üsna kummaline asi.
Nagu te ütlete, on privaatvõtmete puhul vihje nimes, kas pole?
CHET. Kindlasti ei ole meil piisavalt aega, et läbida kõik põhjused, miks krüptoraha on halb mõte, kuid juhuks, kui vajate teist, lisame selle nimekirja.
PART. Jah, ja meil on mõned nõuanded.
Ma ei hakka meie näpunäiteid läbi vaatama, kuid meil onMida teha?” jaotises, nagu tavaliselt, alasti turvalisuse artiklis.
Meil on mõned näpunäited inimestele, kes kasutavad selle konkreetse ettevõtte tooteid, aga ka üldisi nõuandeid programmeerijatele, kes tunnevad, et neil on vaja luua üleslaadimist võimaldav võrguteenus.
On õppetunde, mida oleksime pidanud õppima 20 aastat tagasi, mida me polnud õppinud kümme aastat tagasi, ja ilmselt pole mõned meist veel 2023. aastal õppinud...
…se ettevaatuse kohta, mida vajate, kui lasete ebausaldusväärsetel inimestel anda teile sisu, mille hiljem võluväel millekski usaldusväärseks muudate.
Rääkides siis oma seadme rakenduste usaldamisest, Chester, liigume edasi nädala viimase teema juurde, mis kujuneb kahekordseks.
Ma pidin kirjutama kaks eri kaubad kahel järjestikusel päeval alasti turvalisuses!
Mõned väga põnevad teadlased leidsid vea, andes sellele nimeks "aCropalypsis", sest vead väärivad muljetavaldavaid nimesid, kui nad on põnevad.
Ja nad leidsid selle vea Google Pixel Phonesi rakendusest, mis võimaldab teil teha ekraanipildi või jäädvustatud foto ja seda kärpida või tühjendada.
Probleem on selles, et kärbitud fail saadetakse *koos andmetega, mis olid algse faili lõpus, mitte ei eemaldata sellest*.
Google Pixeli telefonidel oli tõsine andmelekke viga – siin on, mida teha!
Seega kirjutati uued andmed vana faili peale, kuid siis ei lõigatud vana faili uues lõpp-punktis ära.
Kui sai selgeks, kuidas see viga juhtus, mõtlesid inimesed: "Hei, vaatame, kas on veel kohti, kus programmeerijad on sarnase vea teinud."
Ja ennäe, vähemalt Windows 11 Lõiketööriist selgub, et tal on täpselt sama viga…
...kuigi täiesti erineval põhjusel, sest Pixel Phones on minu arvates Java keeles ja Windowsi oma on minu arvates kirjutatud C++ keeles.
Kui sa Save asemel fail Save As uude faili, kirjutab see vana faili üle, kuid ei eemalda üle jäänud andmeid.
Kuidas oleks sellega, Chester?
Windows 11 on haavatav ka "aCropalypsi" pildiandmete lekke suhtes
CHET. [IROONILINE] Nagu teate, meeldib meile alati leida lahendusi.
Arvan, et lahendus on ainult pildi esimese 49% kärpimine.
PART. Oh, sa mõtled kärpimist ülalt?
CHET. Jah.
PART. Olgu... nii et siis näete vana pildi alumist osa uue pildi ülaosas ja näete vana pildi alaosa?
CHET. Kui aga redigeerite dokumendi allosas olevat allkirja, pöörake see esmalt tagurpidi.
PART. [NAERAB] Noh, on ka teisi lahendusi, kas pole?
Mis on siis, kui kasutate rakendust, millel on Save As suvand, kus loote uue faili, pole ilmselgelt sisu, mida üle kirjutada, mis võiks maha jääda.
CHET. Jah.
Taaskord kahtlustan, et need vead parandatakse ja enamik inimesi peab lihtsalt veenduma, et nad püsiksid kursis paigateisipäevaga või Google'i plaastripäevaga, nagu me varem arutasime… olenemata sellest, millisel päeval see juhtub, kunagi päris ei tea.
PART. Tõeline probleem näib olevat (ja ma olen Naked Security artiklisse pannud mõned hex dumps), et PNG-failid töötavad selles, et need sisaldavad peaaegu palju opkoode või sisemisi väikeseid plokke.
Ja seal on plokid, mis ütlevad: IDAT… nii et need on failis olevad andmed.
Ja siis lõpuks on üks, mis ütleb IEND, mis tähendab: "See on pildi lõpp."
Probleem seisneb selles, et kui kärpid faili ja see jätab sinna 99% vanadest andmetest, siis kui vaatate seda näiteks File Exploreri või mõne pildivaateprogrammiga, *näete kärbitud faili*, sest PNG-teek, mis andmeid tagasi laadib, jõuab selleni esimesena IEND sildistage ja öelge: "OK, ma võin nüüd lõpetada."
Ja ma arvan, et see on põhjus, miks seda viga ei leitudki.
CHET. Tavaliselt töötate programmiliselt võrdluskontrolli tegemisel sageli räsidega, mis oleks teistsugused, eks?
Nii et teil oli vaja konkreetselt vaadata *suurust*, isegi mitte seda, et räsi muutus, eks?
PART. Kui olete programmeerija, siis tegelikult on selline viga, kus kirjutate faili üle kettale, kuid unustate või eirate faili avamist režiimis, kus see uute andmete juurest ära lõigatakse. lõpeb…
…see on viga, mis võib tegelikult mõjutada kohutavalt palju programme.
Ja mis tahes andmevorming, mille faili sees on "see on pildisildi lõpp", võib selle suhtes kergesti haavatav olla.
CHET. Ma kahtlustan, et augustis võib Las Vegases olla palju kõnelusi, et arutada seda teistes rakendustes.
PART. Niisiis, kõik sõltub sellest, kuidas fail avati.
Kui olete programmeerija, minge ja uurige avatud režiimi O_TRUNC, mis tähendab, et kui avate faili kirjutamiseks ja see on juba olemas, soovite faili kärpida, mitte asemele üle kirjutada.
Mõnikord soovite seda teha… näiteks kui parandate EXE-faili päist, et lisada õige kontrollsumma, siis ilmselgelt ei taha te faili sel hetkel kärpida.
Kuid sellisel juhul, eriti kui te kärpid pilti *spetsiaalselt selleks, et saada lahti veidratest osadest* [NAERAB], ei taha te kindlasti midagi, mida seal olema ei peaks.
CHET. Jah, need on kõik suurepärased punktid, Duck, ja ma arvan, et praeguseks on lõpptulemus…
me teame, et peate paika panema Windows 11 ja oma Android-seadme, vähemalt siis, kui see kasutab Google'i pildiredaktorit, mis on tõenäoliselt vaid Pixeli telefonid.
Aga ilmselt näeme selliseid asju veel, eks?
Nii et püsige *kõigi* oma plaastrite peal!
Pean silmas seda, et te ei tohiks oodata alasti turvalisuse taskuhäälingusaadet ja öelda: "Oh, ma pean Androidi paranduse rakendama, sest Duck ütles nii."
Peame saama harjumuseks neid lihtsalt tarbida, kui need ilmuvad, sest need pole ainsad rakendused, mis neid vigu teevad; see pole ainus Firefoxi viga, mis põhjustab mälulekke; neid asju juhtub kogu aeg.
Ja kursis olemine on oluline üldiselt, mitte ainult siis, kui kuulete mõnest kriitilisest veast.
PART. See on natuke nagu lunavara probleem, kas pole?
Mis on tegelikult "üldine aktiivse vastase / pahavara probleem".
Selle ühele pisikesele osale, vaid lunavarale keskendumisest ei piisa.
Teil on vaja kaitset nii laiuses kui ka sügavuses.
Ja mis puutub lappimisse, siis nagu te ütlete, kui teil on alati vaja uudisväärtuslikku vabandust või väljamõeldud nimega viga, et teid joonest üle saada, olete osa probleemist, mitte lahendusest. kas sa ei ütle?
CHET. Jah, täpselt!
[NAERAB] Võib-olla kui see kontseptsioon on see, mida ta vajab, siis peaks meil lihtsalt olema a Muljetavaldava nimega viga generaatoritööriist, mille võiksime Sophose veebisaidile kuhugi üles panna ja kui keegi vea leiab, võib ta sellele nime anda...
…kui see on vajalik inimeste motiveerimiseks seda tegema.
PART. Ah, sa mõtled… isegi kui see pole väga ohtlik viga ja selle CVSS-i skoor on -12, pange sellele lihtsalt hämmastavad nimed!
Ja minevikus on olnud mõned suurepärased, kas pole?
Meil on olnud Ummistuse, heartbleed... Orpheuse lüüra, kui seda mäletate.
Sellel veal polnud mitte ainult veebisait ja logo, vaid sellel oli ka teemaviis!
Kuidas oleks?
CHET. [NAERAB] Mulle tundub, et me siseneme MySpace'i lehele või nii.
PART. Muidugi peate teemaloo loomisel ja seejärel selle puhta 7-sekundilise nõelamiseni kärpimisel olema ettevaatlik, et te poleks aCropalypsi vea tõttu faili jätnud soovimatuid heliandmeid. [NAERAB]
Suurepärane.
Suur aitäh, Chester, et sisestasite Dougi, kui ta on eemal, ja jagasite meiega oma teadmisi.
Nagu alati, jääb meil vaid öelda…
CHET. Kuni järgmise korrani, püsige turvaliselt!
[MUUSIKAMODEEM]
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/03/23/s3-ep127-when-you-chop-someone-out-of-a-photo-but-there-they-are-anyway/
