Мошенники атакуют: в Mozilla критическая уязвимость, а приложения Android похищают данные
Coinbase Security и исследователь в сфере безопасности Google Сэмюэл Гросс обнаружили в браузере Mozilla Firefox уязвимость, позволявшую манипулировать объектами Javascript. Она уже использовалась для атак на пользователей криптовалют. Об этом сообщается на Medium.
Уязвимость нулевого дня получила идентификатор CVE-2019-11707, а в Firefox багу присвоили критический или высший уровень угрозы.
«Критическая уязвимость — она может использоваться для запуска кода злоумышленника и установки программного обеспечения, не требующего взаимодействия с пользователем, кроме обычного просмотра».
Фактически злоумышленники могли вынудить пользователей переходить на вредоносные сайты и таким образом получать возможность выполнять произвольный код на устройствах своих жертв. Воспользовавшиеся багом мошенники могли устанавливать программы, просматривать, изменять или удалять данные, а также создать новые учетные записи.
Пользователей призвали как можно скорее обновиться до новой версии Firefox 67.0.3 и Firefox ESR 60.7.1, в которых уязвимость устранена.
Context: https://t.co/EQX4Ev42tx
— Samuel Groß (@5aelo) 19 июня 2019 г.
Помимо этого, обнаружены вредоносные приложения для ОС Android. Они могли похищать одноразовые пароли двухфакторной аутентификации, используя систему уведомлений.
New technique to bypass SMS permission restriction on Google Play to obtain 2FA & OTP codes.
It intercepts SMS notifications.
Discovered fake cryptocurrency exchanges with such functionality on Play Store.https://t.co/t5Vtm3DrJW— Lukas Stefanko (@LukasStefanko) 17 июня 2019 г.
Исследователь компании ESET Лукаш Стефанко выявил целый ряд приложений (BTCTurk Pro Beta и BtcTurk Pro Beta), выдающих себя за турецкую криптовалютную биржу BtcTurk. Они могли похищать данные учетных записей и использовать их в сервисах, защищенных двухфакторной аутентификацией.
Отметим, в начале года Google наложил ограничения для приложений, запретив им получать доступ к SMS-сообщениям и журналам звонков без серьезного обоснования. Тем не менее злоумышленники смогли обойти эти ограничения: приложения запрашивают разрешение на проверку уведомлений и управление ими.
Как только оно получено, пользователям предлагалось ввести свои учетные данные от различных криптовалютных сервисов в фальшивые формы. Собранная информация передавалась на сервер злоумышленников, а они получали доступ к уведомлениям, поступающих от других приложений. Примечательно, что мошенники также могли выключать звук, оповещающий о приходящих уведомлениях, так что жертвы даже не знали о несанкционированном вмешательстве.
Так, исследователь обнаружил фильтры, выделяющие своего рода целевые приложения, чьи имена содержат ключевые слова gm, yandex, mail, k9, outlook, sms и messaging.
Напомним, недавно аналитики компании ESET обнаружили в магазине Google Play фейковое приложение Trezor Mobile Wallet, замаскированное под популярный кошелек и похищавшее криптовалюту пользователей.
Подписывайтесь на новости Forklog в Facebook!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!