Всем привет, дорогие друзья. Рад вас видеть! Рассказ начну с одного очень интересного случая: есть в майнкрафте (это такая игра с кубиками) сервер - 2B2T. Самый старый анархо-сервер, где игроки не просто взламывали, а натурально перекапывали как сам майнкрафт, так и сервак. Реальные программисты писали эксплойты, чтобы получить преимущество над другими игроками в игре.
И ты хочешь сказать, что компьютер взломали... Через игру?
Виновник - фреймворк Apache Log4j, который нужен для ведения журнала в Java-приложениях. Если он по какой-то причине создавал в логе определенную строчку, эксплоит получал доступ к выполнению произвольного кода на любом зараженном компьютере. Еще раз - фреймворк через лог мог сгенерировать строчку кода, которая открывала злоумышленникам доступ к компьютеру, при этом делалось это с помощью обычного чата.
Что самое страшное - эту строчку можно было сгенерировать, написав в чате сервера определенное сообщение, то есть, короче говоря - вы играете в майнкрафт со включенным антивирусом, никаких модов и тому подобного у вас нет, весь софт - лицензионный, в общем - все очень безопасно. Вы видите в чате сервера странное сообщение, после чего... Да, злоумышленники через игру получают ПОЛНЫЙ ДОСТУП к вашему компьютеру.
Как вам? Взлом через игру. Я бы очень хотел сказать, что история выдуманная, но она реальна.
Точно неизвестно, сколько игроков пострадали, но факт, что у ряда игроков на 2B2T и hypixel (крупнейший сервер) были угнаны дискорд-аккаунты, причем точно известно, что доступ к их компьютеру был получен именно через этот эксплойт.
Также никто не знает о том, был ли использован этот эксплойт для атаки на сервер. Давайте так, если вам не кажется, что это серьезно, то вот что могло произойти в худшем случае:
- Есть некая плохая организация, которая зашла на сервер, написала это сообщение (оно, в принципе, выглядит как набор символов);
- Получила доступ к нескольким компьютерам пользователей, которые ни о чем не подозревают;
- Запустила вредоносное ПО, которое может "заразить" роутер;
- А дальше - все зависит от ПО. Таким образом злоумышленники могут получить доступ к телефону, к всем вашим данным - они напрямую управляют вашим компьютером.
И это все через простую игру, еще раз!
Zero-click exploit
Все мы знаем, что Apple - это синоним слова безопасность. Даже те, кто яблоки усиленно хейтят, ничего не могут противопоставить фактам - данные на самом устройстве аппаратно зашифрованы, и дешифруются только тогда, когда к ним нужен доступ. Ключи лежат на серверах Apple, и они тоже зашифрованы, а во все процессоры, начиная с Apple A12, интегрирована система Secure Enclave, которая имеет приоритет над командами процессора, если очень грубо говорить.
В общем, про безопасность Apple говорят не просто так - может, эти устройства и не неуязвимы, но написание вредоносного ПО для них у жуликов явно непопулярно (вы уже догадались почему, да?). Систему безопасности яблочных устройств обойти очень непросто, однако не просто так я вам все это пишу.
Гифка. (Не) просто гифка
Обычная гифка смогла то, что не может 99.99999% самых сильных вредоносных программ. Фишка в том, что у Apple для сообщений используется встроенный мессенджер iMessage, в котором есть поддержка GIF-ок. Чтобы гифки выглядели красиво, iMessage как бы самостоятельно их "зацикливает", и вот тут зарылась одна очень большая собака.
Когда iPhone получал гифку, вызывался метод в процессе IMTranscoderAgent (судя по всему, эта штука и отвечала за зацикливание гифки. Но это не точно), который выполнялся за пределами "песочницы" Blastdoor. Этот "выход за пределы песочницы" хакеры и смогли использовать как базу.
Да, у Apple потенциально опасный код изолирован в отдельное место, где он никак не моет взаимодействовать с телефоном. Короче, выполняется в песочнице.
В "гифки" закодировали PDF-файлы, и так как я человек, который не программист, объяснить все сложным языком я вам не смогу. Они использовали формат документов от старых ксероксов, чтобы через паттерны создать мать его работающий компьютер внутри операционной системы внутри компьютера, и это позволяло выполнять на устройствах Apple, опять же, произвольный код.
Таким образом израильская организация NSO Group начала заражать iPhone оппозиционеров троянами Pegasus, которые, фактически, получали доступ к сообщениям, звонкам, паролям, микрофону и камере. Опять же - вы просто вдумайтесь - вам в iMessage приходит гифка, но еще до того, как вы успеете ее открыть, на ваш защищенный iPhone попадает троян, который имеет доступ почти ко всем вашим личным данным.
Но спешу вас огорчить - вы никому не нужны
Да, если у вас есть действительно ценные данные, то рано или поздно найдется способ, чтобы проникнуть через сеть защиты - какой бы сильной она не была. В то же самое время, никто намеренно не будет ломать всю систему безопасности iPhone, чтобы получить данные к телефону бригадира Васи Пупкина, который растит двоих детей и ездит на Хёнде Тусон.
В таких ребятах вроде меня или вас заинтересованы обычные мелкие "фишеры", максимум которых - развести вас через авито доставку. От таких, как правило, помогает простейшее соблюдение цифровой гигиены. На всякий случай, напомню вам правила:
- Не ставить один пароль на все аккаунты, а также хотя бы раз в полгода менять пароли;
- Сократите количество данных о себе, которые выкладываете в интернет;
- Обновляйте ПО, не важно - винда это или андроид/IOS, да даже прошивку айкоса;
- По возможности пользуйтесь двухфакторной аутентификацией;
- Никому не скидывайте CVV-код своей карты, и уж тем более коды.
В общем-то на этом у меня все. Если было интересно - не забудь поставить лайк и подписаться на канал. Скоро увидимся!
Подпишись на телеграм (там IT-новости), Ютуб (там иногда выходят прикольные видео), и группу ВК (там пока ничего нет, но это только пока).
А если хочешь помочь мне с развитием канала - буду благодарен за каждый репост! Спасибо!