Quand un exploit devient une œuvre d'art

Abonnez-vous à cette newsletter bimensuelle ici !

Bienvenue dans la dernière édition de Pardon The Intrusion, la newsletter bimensuelle de TNW dans laquelle nous explorons le monde sauvage de sécurité.

Google L'équipe d'élite de chasseurs de bogues de Project Zero n'a pas besoin d'être présentée.

Les hackers au chapeau blanc ont su trouver des failles dans Android et iOS mais cette nouvelle divulgation impressionnante d'Ian Beer bat tout ce qui l'a précédé.

Beer a passé six mois de son verrouillage à lui seul à concevoir une méthode pour détourner à distance des iPhones, montrant qu'avec juste un Raspberry Pi, Les adaptateurs Wi-Fi standards qui coûtent au total 100 $ et quelques lignes de code, il est possible pour un attaquant distant d'obtenir le contrôle complet de n'importe quel iPhone à proximité.

plus impressionnant, c'est qu'il n'implique pas d'enchaîner plusieurs vulnérabilités ensemble pour con trol un iPhone, Beer a expliqué dans un opus magnum de 30 000 mots.

L'exploit «utilise plutôt une seule vulnérabilité de corruption de mémoire pour compromettre l'appareil phare de l'iPhone 11 Pro», permettant à un méchant de «voir toutes les photos, lisez tous les courriels, copiez tous les messages privés et surveillez tout ce qui se passe sur [the device] en temps réel. »

Les bogues que Beer a trouvés pour développer cette chaîne d'exploit ont tous été corrigés avant la sortie. d'iOS 13.5 plus tôt cette année.

Mais comme Beer l'a écrit dans son message, le point à retenir ici devrait être qu'une personne, travaillant seule dans sa chambre, a pu créer une capacité qui lui permettrait de compromettre sérieusement les utilisateurs d'iPhone. »

Patrick Wardle, un chercheur principal en sécurité chez Jamf, a qualifié le projet de verrouillage de Beer de« œuvre d'art ».

Quelles sont les tendances en matière de sécurité?

Google L'application Messages pour Android, Facebook a corrigé un [19659026] problème critique dans son application Messenger pour Android qui pourrait permettre à un attaquant d'écouter les appelants, et Twitter a déployé la prise en charge de l'authentification à deux facteurs à l'aide de clés de sécurité physiques.

• Dans un énorme gagnant pour la confidentialité et la sécurité, Google a déclaré qu'il ajouterait un cryptage de bout en bout à son application Messages pour Android, en commençant par des conversations individuelles entre les personnes utilisant l'application. [ Google ]
• Les législateurs suisses ont soulevé des inquiétudes à la suite d'informations selon lesquelles une société de cryptage basée dans le pays appelée Omnisec aurait été utilisée comme cheval de Troie par les agences de renseignement américaines et allemandes pour espionner les gouvernements du monde entier. [ AFP ]
• Facebook a corrigé un problème critique dans son application Messenger pour Android qui aurait pu permettre à un pirate de vous appeler et de commencer à écouter avant que vous ne décrochiez l'appel. Cela ressemble à une faille de sécurité dans FaceTime que Apple s'est empressée de corriger l'année dernière. [ Google Project Zero ]
• Des chercheurs de l'Université de Louvain en Belgique ont découvert des failles dans le système d'entrée sans clé de la Tesla Model X qui auraient permis aux attaquants de voler la voiture en quelques minutes seulement. Il s’agit de la troisième attaque de ce type démontrée sur le porte-clés de Tesla. [ IMEC ]
• Les chercheurs de Symantec ont impliqué l'acteur menaçant chinois APT10 (alias Stone Panda et Cicada) dans un effort d'un an pour voler des données sensibles à de nombreuses entreprises japonaises et à leurs filiales. [ Symantec ]
• T Le groupe de piratage appelé APT32 ou OceanLotus a lancé une nouvelle porte dérobée macOS qui fournit aux attaquants une fenêtre sur la machine compromise, leur permettant de fouiner et de voler des informations confidentielles informations et documents commerciaux sensibles. [ Trend Micro ]
• L'ingénieur en sécurité et chasseur de bogues Ashar Javed est en voyage pour trouver 365 bogues de sécurité dans Microsoft Office 365. [ Vice ]
• Des pirates informatiques nord-coréens ont essayé pour briser les systèmes du fabricant britannique de médicaments AstraZeneca utilisant LinkedIn et WhatsApp pour envoyer des offres d'emploi frauduleuses contenant des logiciels malveillants, alors que les acteurs de la menace des États-nations continuent de cibler les organisations de soins de santé travaillant sur la recherche sur le vaccin COVID-19. [ Reuters ]
• Tout comme les écueils de confidentialité associés aux applications liées à Covid sont en train de se concentrer, l'inspecteur général australien du renseignement et de la sécurité (IGIS) a constaté que la nation Les agences d'espionnage ont collecté «accidentellement» des données de l'application de recherche de contacts COVIDSafe du pays au cours de ses six premiers mois de fonctionnement. Mais les données n'ont pas été décryptées, consultées ou utilisées. [ iTnews ]
• Des universitaires de l'Université Ben-Gourion du Néguev en Israël ont décrit une nouvelle forme d '«attaque cyberbiologique» qui pourrait permettre à un acteur malveillant de compromettre l'ordinateur d'un biologiste pour injecter des sous-chaînes pathogènes dans l'ADN séquences et développent des virus et des toxines dangereux. [ ZDNet / ESET ]
• Twitter a ajouté la prise en charge de l'authentification à deux facteurs à l'aide de clés de sécurité matérielles. [ Twitter ]
• La dernière quinzaine de violations de données, fuites et ransomwares: Advantech Belden Embraer ] Spotify États-Unis Fertilité et les données personnelles de 16 millions patients brésiliens COVID-19 .

Data Point

Selon la société de cybersécurité Kaspersky's IT Threat Evolution report for Q3 2020 , les cybercriminels ont recours à la distribution de logiciels malveillants contenant les noms de plates-formes de streaming populaires pour inciter les gens à les télécharger.

«Généralement, les backdoors et autres chevaux de Troie sont téléchargés lorsque les gens tentent d'accéder par des moyens non officiels – en achetant des comptes «pirater» pour continuer leur essai gratuit, ou tenter d'accéder à un abonnement gratuit. »

Les chevaux de Troie représentaient 47,23% de tous les programmes malveillants déguisés sous les noms de plateformes de streaming populaires entre janvier 2019 et le 8 avril 2020.

C'est ça. Rendez-vous tous dans deux semaines. Restez en sécurité!

Ravie x TNW (ravie [at] thenextweb [dot] com)