Поиск

В мобильных телефонах, поставляемых четырьмя американскими операторами связи, обнаружена серьезная уязвимость, позволяющая хакерам получить доступ ко всем пользовательским данным, следует из проведенного экспертами из Kryptowire и финансируемого Министерством внутренней безопасности США исследования. Согласно докладу, уязвимость может позволить хакерам получить доступ ко всем пользовательским данным, включая электронные письма и сообщения. Кроме того, хакеры могут легко получить контроль над устройством. Уязвимые телефоны поставляются компаниями Verizon, AT&T, T-Mobile и Sprint. Уязвимость присутствует на миллионах устройств, в том числе принадлежащих правительственным чиновникам, отметили специалисты. В настоящее время нет свидетельств эксплуатации данной уязвимости хакерами. Исследователи уже уведомили производителей телефонов о своей находке.

Специалисты Израильского технологического института обнаружили криптографическую уязвимость (CVE-2018-5383), затрагивающую многочисленные реализации Bluetooth и драйверы ряда производителей, включая Apple, Broadcom, Intel и Qualcomm. Проблема существует из-за некорректной проверки Bluetooth-устройствами криптографических параметров, используемых при считающихся безопасными соединениями по Bluetooth. В частности, при сопряжении устройства не проверяют должным образом параметры, определяющие эллиптическую кривую, используемые для генерации открытых ключей в рамках алгоритма Диффи - Хеллмана. Данная уязвимость предоставляет возможность злоумышленнику удаленно получить доступ к ключу шифрования, используемому устройством, и перехватить и расшифровать данные, которыми обмениваются гаджеты, или внедрить вредоносные сообщения. Проблема распространяется на стандарты Bluetooth и Bluetooth LE (паринговые процессы Secure Simple Pairing и Secure Connections). Как пояснили представители организации Bluetooth Special Interest Group (SIG), курирующей разработку стандартов Bluetooth, для «успешной эксплуатации уязвимости вредоносное устройство должно располагаться в радиусе действия сети двух уязвимых Bluetooth-гаджетов, находящихся в процессе сопряжения». Атакующему потребуется перехватить процесс обмена открытыми ключами и отправить вредоносный пакет устройству-получателю в короткий промежуток времени. Атака работает только в случае, если уязвимости подвержены оба устройства. Apple, Broadcom, Intel и Qualcomm подтвердили наличие уязвимости в своих драйверах и реализациях Bluetooth. Broadcom и Apple уже выпустили соответствующие исправления, когда Intel и Qualcomm намерены устранить проблему, неизвестно. Устройства Microsoft уязвимости не подвержены, исследователям не удалось выяснить, распространяется ли проблема на ОС Android, устройства Google и ядро Linux. Протокол Диффи-Хеллмана — криптографический протокол, позволяющий двум и более сторонам получить общий закрытый ключ, используя незащищенный от прослушивания канал связи. Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.

В Google Chrome обнаружена опасная уязвимость, затрагивающая все версии браузера для Windows, Mac, Linux и других операционных систем. Инженеры Google отказались раскрывать суть уязвимости, лишь описали ее как проблему, связанную с «некорректной обработкой CSP заголовка» (CVE-2018-6148). Как поясняется в блоге команды Chrome, решение придержать технические подробности о проблеме связано с желанием предоставить пользователям время на установку корректирующего обновления. Уязвимость исправлена в стабильной версии Chrome 67.0.3396.79 для Windows, Mac и Linux. Пользователям рекомендуется обновить браузер как можно скорее. Content Security Policy (CSP) — механизм безопасности, направленный на защиту от XSS- и Clickjacking- атак. CSP позволяет указать доверенные источники загрузки ресурсов, такие как Javascript, шрифты, CSS и другие, а также запретить исполнение встроенного Javascript-кода. В конце минувшего мая Google представила стабильную версию браузера Chrome 67 с поддержкой стандарта WebAuthn, позволяющего авторизоваться на большинстве сайтов без использования пароля.

На геостационарном спутнике связи Intelsat 33e выявлена проблема, связанная с повышенным расходом топлива при удержании космического аппарата в нужном положении. Как пишет SpaceIntelReport.com, ссылаясь на представителей спутниковой промышленности, причины проблемы до конца не ясны. Компания Intelsat подала заявку на получение страховых выплат в размере $78 млн и уже начала получать платежи от андеррайтеров. Однако, по сведениям SpaceIntelReport.com, некоторые страховщики удерживают платеж до разъяснения причин проблемы в работе спутника. В Intelsat заявили, что из-за отказа на борту спутника истощился запас ракетного топлива, а значит, заявленный изначально срок активной работы аппарата в 15 лет придется скорректировать. Дайан Дж. ВанБебер, вице-президент Intelsat по связям с инвесторами и коммуникациям, подтвердила наличие проблемы управления позицией у Intelsat 33e и добавила, что производитель спутника, Boeing Satellite Systems International (BSSI), до сих пор не установил причину сбоя. Спутник Intelsat 33e является вторым из семи спутников высокой пропускной способности Intelsat Epic NG. Первый, Intelsat 29e, был запущен в январе 2016 года. Еще три — Intelsat 32e, Intelsat 33e и Intelsat 35e – выведены на орбиту в период с февраля по июль 2017 г. Пятый, Intelsat 37e, планируется запустить 5 сентября. Все, космические аппараты, кроме Intelsat 32e, произведены BSSI. При этом ни у одного из аппаратов до сих пор не были выявлены проблемы с двигателем. На борту спутника Intelstat 33e установлено оборудование Global Eagle Entertainment, Gogo, Marlink, Panasonic Avionics и Speedcast. Напомним, данный аппарат Intelstat 33e был запущен с космодрома Куру во Французской Гвиане в августе 2016 года. Intelstat 33e находится на позиции 60°в.д., откуда обеспечивает вещание C- и Ku-диапазонов на регионы Африки, Европы, Ближнего Востока.