Violare le batterie dei laptop Apple

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

Interessante :

Il ricercatore ed esperto di sicurezza Charlie Miller, molto noto per il suo lavoro su Mac OS X e Apple IOS, ha scoperto un metodo interessante per disabilitare completamente le batterie sui laptop Apple, rendendoli definitivamente inutilizzabili; oltre a consentire di eseguire un certo numero di altre azioni. Il metodo, che prevede l’accesso e l’invio di istruzioni al chip ospitato sulle batterie intelligenti, potrebbe essere utilizzato anche per altri scopi ancor più dannosi.

[...]

Miller ha scoperto che le batterie vengono spedite dalla fabbrica in “sealed mode” e che, per modificare tale stato, è necessaria una password di quattro byte.
Analizzando un paio di aggiornamenti che Apple aveva inviato per risolvere alcuni problemi delle batterie in passato, ha scoperto la password ed è riuscito a portare la batteria in “unsealed mode”.

In questo modo è stato in grado di fare alcune piccole modifiche al firmware, ma non quello che avrebbe voluto veramente. Indagando ulteriormente ha scoperto che era necessaria una seconda password per poter accedere completamente alla batteria e dargli la possibilità di apportare le modifiche desiderate. La password di default non viene cambiata sui laptop prima di essere spediti. Così Miller ha scoperto che avrebbe potuto fare parecchie cose interessanti.

Ha detto che “così potrete accedere allo stesso livello della fabbrica”. “Potrete leggere tutti i firmware, apportare modifiche al codice, fare quello che volete. E queste modifiche al codice resisteranno a una reinstallazione del sistema operativo, quindi è possibile pensare di scrivere malware che potrebbe nascondersi sul chip della batteria. Ma servirà una vulnerabilità nell’SO, o qualcosa che la batteria potrebbe sfruttare per l’attacco. ”

I componenti diventano più intelligenti, ma anche più vulnerabili.

Fonte: Hacking Apple Laptop Batteries


Posted in Bruce Schneier, Traduzioni inglese-italiano by with no comments yet.

ShareMeNot

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

ShareMeNot è un componente aggiuntivo per Firefox che impedisce il monitoraggio dei pulsanti di terze parti (come il pulsante “Mi piace” di Facebook , o “+1 ” di Google ), a meno che l’utente non scelga di interagire con quest’ultimi. ShareMeNot non disabilita/rimuove completamente questi pulsanti, ne permette il rendering sulla pagina, ma impedisce l’invio dei cookie, fino a quando l’utente non faccia effettivamente clic su di loro; a quel punto ShareMeNot rilascia il cookie e l’utente ottiene il comportamento desiderato (ad esempio, usare il “Mi piace”, o “+1″ su una pagina).

Fonte: ShareMeNot


Posted in Bruce Schneier, Traduzioni inglese-italiano and tagged by with no comments yet.

Delle minacce di Android: Spyware:Android/SndApps.A e Trojan:Android/SmsSpy.D

Il post seguente è stato tradotto per gentile concessione di F-Secure

Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.

Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.

Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:

permissions_internet (104k image)

Le versioni successive, però, tendono ad andare un po’ più sul personale:

application_permissions (47k image)

new_permissions (169k image)

Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.

services (92k image)

Le informazioni vengono inviate a un server remoto.

Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.

applications (66k image)

La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:

comparison (56k image)

Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A

Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.

Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.

In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.

Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:

smsspy_loopback (131k image)

Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C

In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:

smsspy_link (160k image)

Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D

—–

Analisi e post di: Zimry, Irene, Raulf e Leong

Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Malware di Android spia i vostri messaggi sms. Ma fa parte della famiglia di Zeus?

Il post seguente è stato tradotto per gentile concessione di Naked Security

Malware di Android I moduli Symbian , Windows Mobile e Blackberry del famigerato toolkit di malware Zeus (noto anche come ZBot), sono noti da mesi ed era chiaro che la gang di Zeus fosse interessata allo sviluppo di malware per piattaforme mobili.

Tuttavia, finora, non abbiamo visto alcuna prova che Zeus prenda di mira gli utenti che possiedono dispositivi Android o IOS (iPhone/iPad).

Questo fatto ci ha abbastanza sorpreso, considerando la popolarità delle piattaforme Android e IOS e la crescente diffusione di malware scritti in particolare per il sistema operativo Android di Google.

Negli ultimi due giorni, però, ci sono state parecchie discussioni sulle mailing list dedicate all’analisi del malware mobile in merito a una versione Android di Zeus.

Alla fine siamo giunti alla conclusione che si trattasse di un’applicazione nociva che i prodotti Sophos rilevano, già dal 31 maggio 2011, come Andr/SMSRep-B .

L’applicazione nociva finge di essere una versione Android del software di sicurezza bancaria Trusteer Rapport ed è stata inviata ai dispositivi con l’SO Android di Google da un web server creato per distribuire il malware Zbot a diverse piattaforme.

Dopo il fatto, non è stato difficile connettere l’applicazione Android allo Zeus toolkit, anche se non siamo certi al 100% che ci fosse una connessione.

L’applicazione installata utilizza un’icona rubata a Rapport e mostra una semplice schermata quando viene lanciata sul dispositivo colpito.

Zeus Rapport

La falsa applicazione Rapport si registra come Broadcast receiver, intercetta tutti gli SMS ricevuti e inoltra i messaggi a un server web nocivo mediante richieste HTTP POST. I messaggi SMS rubati sono codificati utilizzando uno schema di codifica JSON, spesso utilizzato da vari servizi web.

Anche se l’applicazione è chiaramente progettata per sottrarre il contenuto dei messaggi SMS, non è molto elaborata.

Per questo non possiamo essere sicuri al 100% che sia realmente parte del kit Zeus. L’URL del server command and control è hardcoded nel codice sorgente, ad esempio, e ciò non rende l’applicazione molto versatile per essere installata su un server alternativo.

Tuttavia, questa applicazione nociva per Android è interessante, in quanto combina le funzionalità spyware con il concetto di software di sicurezza fasullo. Come abbiamo visto di recente nel mondo di Mac OS X, il falso software antivirus è uno dei temi più comuni adottato dagli hacker malintenzionati durante i loro attacchi.

Alla fine il dubbio se questo faccia realmente parte della famiglia Zeus o meno, rimane.

Suppongo che solo gli sviluppatori dello Zeus kit lo sappiano per certo. Purtroppo non ho modo di contattarli e anche se l’avessi, dubito che sarebbero disposti a confermare o smentire questa teoria.

Fonte: Android malware spies on your SMS messages – but is it part of the Zeus family?


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , , by with no comments yet.