L'étude des vulnérabilités des puces mobiles Qualcomm utilisées dans un grand nombre d'appareils Android (jusqu'à 40% du marché) a été l'une des présentations les plus, sinon intéressantes, à grande échelle. Les six vulnérabilités corrigées ont provoqué un déni de service, l'exécution de code arbitraire, un accès direct à la caméra, au microphone, aux capteurs GPS, etc. En février-mars, les données sur ces trous ont été transmises au fabricant, qui les a corrigées en juillet, mais on ne sait pas encore quand les correctifs atteindront de vrais appareils. Pour cette raison , il n'y a pas de détails techniques dans l' annonce de l' étude sur le site, mais ils sont dans la présentation au DEF CON.
L'hexagone est essentiellement un processeur séparé au sein d'un SoC Qualcomm, responsable de la communication avec les périphériques, de la caméra au circuit de charge de l'appareil. Pour travailler avec lui, le constructeur distribue le SDK, mais en fait, seul le code signé par Qualcomm peut fonctionner avec la partie DSP. En utilisant le fuzzing, les chercheurs ont trouvé beaucoup de petits bogues dans toutes les bibliothèques pour travailler avec DSP, plus de 400 au total. Ils provoquent un échec dans l'exécution du code avec des conséquences différentes, et dans certains cas conduisent soit à un redémarrage ou à un gel du téléphone, soit à l'exécution de code, ou ouvrir l'accès incontrôlé aux périphériques. L'exploitation des vulnérabilités implique le lancement d'une application malveillante sur un appareil qui accède au DSP, se bloque et obtient des droits étendus.
Il est encore impossible d'évaluer l'ampleur réelle du problème sans détails. Nous savons seulement que les développeurs de Qualcomm ont fermé les vulnérabilités, mais les correctifs doivent encore être livrés aux appareils. L'analyse du dernier ensemble de mises à jour de sécurité pour Android a montré que les correctifs n'y étaient pas inclus. En outre, Check Point suggère que les fournisseurs devront également recompiler leur propre code pour travailler avec Hexagon afin d'éliminer complètement les vulnérabilités. Les appareils non pris en charge qui ne reçoivent pas de mises à jour de sécurité resteront probablement vulnérables.
Autres présentations intéressantes avec DEF CON et Black Hat:
- Discussion sur une attaque hypothétique contre des appareils IoT haute puissance tels que les machines à laver et les radiateurs. Les auteurs proposent des scénarios de piratage intéressants. Par exemple, allumer des milliers de radiateurs en même temps peut affecter le coût de l'électricité. Et cela, à son tour, affecte indirectement le taux de change des crypto-monnaies, qui dépend de l'exploitation minière ( news ).
- 19 vulnérabilités ont été trouvées et fermées dans le système multimédia des voitures Mercedes Classe E, l'une d'elles vous permet d'ouvrir les portes à distance et de démarrer le moteur. Une analyse du firmware de l'appareil a également montré la possibilité d'une attaque sur les serveurs de contrôle du constructeur ( news ).
- Recherche de James Pavour sur les résultats de la "pêche par satellite" - une méthode d'interception des données satellitaires. Il semblerait qu'avec la propagation de la transmission de données cryptées, un tel scénario aurait dû devenir une chose du passé, mais non. Ce ne sont pas seulement les systèmes hérités qui fonctionnent sur HTTP. L'auteur a réussi à intercepter les communications d'un avion de la compagnie aérienne chinoise, à se connecter au panneau d'administration d'une éolienne en France, aux négociations sur la réparation d'un générateur sur un pétrolier en Egypte (voir aussi l' article d'ArsTechnica).
Que s'est-il passé d'autre:
Intel enquête sur une fuite de 20 gigaoctets de données, y compris les codes sources ( article ArsTechnica, discussion sur Habré). Très probablement, des informations ont fui, que le fournisseur partage avec des partenaires dans le cadre de la NDA. Article
intéressantbasé sur les observations des utilisateurs de la colonne intelligente Google Home. Le propriétaire de l'appareil a déclenché une alarme incendie et a reçu une notification sur le téléphone à ce sujet. C'est généralement bon, mais cela suppose que le son est toujours enregistré sur l'appareil intelligent, et pas seulement lorsque le mot de code est prononcé. Google a qualifié l'incident d'erreur - la fonctionnalité testée est entrée accidentellement en production.
Canon a été victime d' une attaque de ransomware.
Le réseau a divulgué des données sur 900 serveurs VPN à l'aide du logiciel Pulse Secure. C'est la conséquence d'une grave vulnérabilité découverte l'année dernière. En raison de la possibilité de lecture à distance arbitraire de données à partir d'un serveur vulnérable, la base de données contient non seulement des domaines et des adresses IP, mais également des clés SSH et d'autres informations.