Как защитить свое устройство - Уязвимости IOS, IPhone, Android

[Carder]

Уязвимости IOS​

Привет, друзья, сегодня мы начинаем серию постов об уязвимостях разных устройств и операционных систем. ?А также посты с рекомендациями, как защитить свой девайс от взлома. ??‍? Отнеситесь к материалу с внимательностью, ведь безопасность превыше всего. ? Обязательно делитесь своим опытом по защите личных гаджетов в нашем чате для обсуждений.?

Нашу серию материалов о защите личных устройств мы начнем с IOS. Сегодня мы поговорим об уязвимостях операционки, которыми пользуются множество хакеров для взлома мобильных яблочных девайсов. И хоть большинство считает, что данная операционная система идеальна, мы докажем вам, что в любом механизме бывают сбои. И этими сбоями успешно пользуются злоумышленники. Конечно есть сложности с универсальностью информации, ведь у людей разные версии устройств, а соответственно разные версии ios, но мы попытались собрать самые популярные уязвимости из ныне известных. А уже завтра выйдет продолжение рубрики, с советами, как защитить свой Iphone от взлома. Ну что ж, приступим.

Для наглядности, стоит определять 2 типа уязвимости: внешняя и внутренняя я. В первом случае, устройство находится у вас на руках, вы можете проделывать с ним манипуляции, которые включают в себя подключение к компьютеру например. Во втором случае, устройство взламывается удаленно.

Внешняя. Вначале стоит похвалить компанию Apple. Над безопасностью они заморочились. Начиная с самого простого уровня - приложения «Найти Iphone», с помощью которого можно удаленно удалить устройство и заканчивая многоуровневым шифрованием данных и дополнительным укреплением безопасности резервных копий. Даже если вы разберете Iphone на запчасти, то вытянуть из них какую либо информацию у вас не удастся. Новые системы разблокировки устройства touch-id и face-id так же надежны, число попыток ограничено, а если телефон давно не разблокировался, то функция отключается. Но есть одна уязвимость, которая полностью перечеркивает все инвестиции компании в безопасность. Проблема кроется на поверхности. Это код блокировки экрана, и в любом яблочном устройстве данный код имеет абсолютную силу. Если вы знаете 4-х значный код устройства, который в основном довольно-таки банален (Аля 0000), то вы можете: подключить к новому компьютеру, сбросить пароль от резервной копии, сбросить и изменить пароль от учетной записи Apple ID, сменить средства двухфакторной аутентификации, отвязать телефон от сервиса Find My iPhone и снять блокировку iCloud. Грубо говоря все. Окей, но как мне узнать этот код, спросите вы. Там еще есть ограниченное количество попыток. Представители компаний Cellebrite и GraySHift наверно так же задавались этим вопросом. Возможно им надо было взломать мобильник жены или дочери подростка. Как бы то ни было, они выкатили софт, который позволяет подобрать пароль к любому Ios устройству. Единственный нюанс, желательно чтобы его хоть раз включали до блокировки. Тогда будет попроще. Конечно Яблочная компания знала о такой маленькой проблеме и активно пыталась устранить ее, добавив режим USB Restricted Mode, который блокировал передачу данных через кабель после блокировки устройства. Но софту по взлому это не сильно помешало, ведь так задалось, что хакеры действуют на упреждение.

Но, предположим, специального софта от вышеупомянутых компаний у вас нет. Можно ли в таком случае выжать что-то из кирпича? Скорее всего нет, но если попытаться обмануть девайс, и представить свой компьютер как доверительный, то все может получится. Но это сложно, и опять же требуется дополнительное ПО.

Внутренняя. Все мы слышали о взломе Icloud и о том как тысячи интимных фоток знаменитостей утекли в сеть. Тогда общество с недоверием посмотрело в сторону Apple. Но так ли у них все плохо с безопасностью на самом деле? Что хранится в Icloud? Это резервные копии устройств, почта, вкладки браузера, медиафайлы и прочее. Большинство людей этой функцией пользуются, ведь Icloud - это отличное решение, когда у тебя несколько яблочных устройств. Но ее можно и отключить. Где Apple хранит наши облачные данные? На серверах Microsoft, Amazon и Google. Так просто удобнее ведь у этих компаний-гигантов уже построена крупная инфраструктура. Но все данные, которые хранятся там, разбиты на блоки, а каждый блок зашифрован собственным уникальным ключом, который физически хранится на серверах Apple. Сами понимаете, взломать такую систему практически невозможно. Для этого как минимум нужно быть супер-шпионом из известных американских боевиков. В случае с Icloud, главная уязвимость это вы. Ведь для того, чтобы получить доступ ко всем данным достаточно знать лишь логин и пароль. А поскольку звезды - люди публичные, взломать их аккаунты путем подбора не было супер сложной задачей. Тем не менее с моментом ввода двухфакторной аутентификации взломы практически прекратились. Единственным способом остался вход с компьютера жертвы через приложение Icloud.

Почта. Совсем недавно в IOS нашли еще одну серьезную уязвимость. И связанна она со встроенным почтовым клиентом, а называется 0-day. Как же хакеры ее используют? Они отправляют вредоносное письмо, которое запускает удаленный код во внутренней почтовой системе и дает полный доступ к почтовому ящику. Злоумышленнику открывается возможность читать, изменять и удалять ваши электронные письма удаленно. Поэтому лучше использовать сторонние почтовые клиенты.

Вредоносное ПО. В этом плане устройства Apple защищенные практически идеально. Поскольку на Iphone скачивать сторонние программы может только разработчик, обычным юзерам заражения вирусами не грозит. Хоть они и могут случайно проникнуть через какое-либо приложение в App Store, это случается крайне редко, ведь свой магазин Apple тщательно модерируют.

__________________________________________________________________________

Итог. IOS не такая защищенная, какой хочет казаться. И имея определенные навыки, взломать яблочный смартфон все таки возможно. И конечно, в этом материале мы рассказали далеко не о всех уязвимостях, ведь они появляются на постоянной основе. Но, думаю общее понимание картины у вас сложилось. А осведомлен, значит вооружен.

 

[Carder]

Iphone

Привет.Подготовили для вас материал по базовой защите своего Iphone от разного вида угроз, как взлома и кражи личных данных.? Постарались сделать максимально короткую и эффективную подборку принципов безопасности. ? Если у вас смартфон либо же планшет «яблочной» компании, то не проходите мимо.? Сегодня у нас вторая часть серии материалов о защите своих личных девайсов. Сегодня вы узнаете как защитить свой Iphone от взлома, персональную информацию от кражи и еще некоторые полезные лайфхаки. Если же у вас Android, то не расстраивайтесь, материал про операционку от google выйдет уже на следующей неделе.

Базовая цифровая грамотность. Не устану повторять своим знакомым и вам подписчикам о базовых принципах защиты в интернете, ведь до сих пор десятки тысяч людей попадаются на совсем уж очевидные уловки скаммеров. Люди теряют миллионы рублей, а однажды увидев excel документ с доходами мошенников могу им только позавидовать.

Пароль. Прежде всего установите нормальный пароль. Длинный с кучей разных цифер и символов. Установите разные пароли для разных сервисов. Запишите их на бумажку, купите сейф и поставьте в него. Просто сделайте это. Знаю, это сложно и вам лень, но ка говорится: Just do it! Поскольку наша жизнь все дальше двигается в цифру, ценность паролей возрастает и превышает любые деньги. Так что не пренебрегайте своей безопасностью.

Аккуратнее с подозрительными ссылками

Ссылки. Не переходите по подозрительным ссылках. 90% всех лохотронов, всего скамма в интернете, фишинга и прочего происходит с помощью ссылок. Еще раз не переходите по подозрительных ссылках, а особенно, если они просят от вас ввести какую либо персональную информацию.

Правила безопасности вашего Iphone. Также есть некоторые обязательные правила безопасности мобильных устройств, которые связанны только с Iphone. Это крутые фичи, о которых любезно позаботилась компания Apple и было бы очень тупо их не использовать.

Find my iPhone. Если айфон у вас недавно, то вы наверняка еще не знаете об этой функции. Это предустановленное приложение, которое помогает юзерам уже почти 10 лет. Имея доступ к интернету, с помощью данной утилиты вы можете: увидеть где ваш айфон на карте; если не можете найти его у себя дома, то удаленно включить на нем некий сигнал, который поможет с легкостью отследить девайс; заблокировать и стереть устройство. Но для этого конечно же, нужно включить данный сервис в настройках.

Двухфакторная аутентификация. Эта мера безопасности, внедренная Apple несколько лет назад успела изрядно подпортить нервишки всем злоумышленникам, ведь с включенной двухфакторкой взломать ваше устройство становится на порядок сложнее. Поэтому обязательно убедитесь, что данная опция у вас включена. А сделать это можно в разделе «Безопасность» в настройках. К слову на новых моделях двухфакторная защита настраивается уже при первом включении.

Код доступа. Здесь коротко. Не делайте его слишком очевидным. По типу «0000» либо «1234». Лучше поставьте 6 цифр ну или хотя бы рандомную последовательность. Это как минимум защитит вас от попыток мамки почитать вашу переписку с закладчиком.

Email. Как вы уже знаете с предыдущего поста, знание злоумышленниками вашего логина от Icloud, значительно усиливает их желание взломать вашу учетку и взглянуть на ваши частные файлы. А поскольку логином выступает ваш электронный ящик, от сюда выплывает логический вывод - его не должен знать никто. А поэтому обязательно используйте разные email. Один для работы, один для регистрации на сомнительных порно сайтах и форумах, а один специально для облака. Спрячьте его и никому не показывайте.

Фото. Еще раз об Icloud и о том как защитить свои данные которые постоянно отправляются в облачное хранилище. Если у вас есть что-то, что не должен видеть никто, например фото члена вашего темнокожего бойфренда, то вам нужно предпринять определенные меры. О них в свое время не знали несколько десятков интернет знаменитостей, фотки которых успешно утекли из Icloud. Об этом известном сливе мы кстати планируем сделать отдельный материал. Если короче, то чтобы ваши данные не утекли из-за взлома Icloud, то отключите автоматическую синхронизацию с Icloud. Логично? Логично!

Стереть Iphone. Если вы племянник депутата или промышляете мутными темками, то включите эту функцию. Он сотрет все данные вашей мобилы после 10-попыток угадать ваш код доступа. Потом вы всегда сможете восстановить все содержимое через клауд. Если делали резервные копии конечно же. Ну а их в свою очередь я советую делать не в облаке, а на комп. Тогда ваши данные будут точно в безопасности.

Ну и напоследок еще несколько лайфхаков:

1. Покопайтесь в настройках приватности и поотключайте доступ к геолокации, динамикам, камере, и тд тем приложениям, которыми не пользуетесь

2. Не устанавливаете долгое время блокировки экрана. Ведь если щипач вытащит ваш телефон где-нибудь в людном месте, он может случайно добраться к вашим личным данным.

3. Включите ограничитель отслеживания рекламы. В настройках приватности доскрольте до самого низа.

На этом инструктаж по базовым принципам безопасности Iphone подошел к концу. Этого всего в принципе достаточно знать, чтобы жить спокойной счастливой жизнью. Но предупреждаю, на 100% от взлома вас сможет защитить разве что золотой крестик на шее. Будьте бдительны. Удачи.

 

[Carder]

Уязвимости Android​

Продолжаем серию материалов о том, как защитить ваше личное устройство. С Ios разобрались, теперь, очевидно, дело дошло до Android. Данная ОС кардинально отличается от Яблока своей философией. Это система для программистов, креативщиков, людей свободных, выступающих против всяческих ограничений. Ну и для людей с невысоким достатком само собой. Android - это платформа инноваций. Именно на ней тестируются и выпускаются новейшие технологии, которые только спустя год внедряет в свой Iphone Apple и как обычно заявляет о прорыве. Все мы об этом отлично знаем. А еще одна прелесть ОС - она персонализированная. Ты с легкостью устанавливаешь любой лаунчер. Качаешь из интернетов все что душа пожелает. Но такая открытость несет не только безусловные плюсы, но также и открывает целый спектр возможностей для киберпреступников. Поэтому в этом материале мы поговорим об уязвимостях Android, а также о том, как смартфоны с данной ОС взламывают хакеры. А уже завтра выйдет материал о том, как собственно защитится от всех этих угроз. Так что не пропускайте, ведь проинформирован, значит вооружен.

Уязвимости

Strandhog

Самая известная и, пожалуй, довольно свежая уязвимость. Последняя версия Srandhog 2.0. была обнаружена только в прошлом году и присутствует во всех версиях операционки, кроме Android 10. В чем же вся соль? Дело тут во вредоносных приложениях. Данная уязвимость позволяет маскировать зараженное ПО под добропорядочное. Ну, а последствия думаю каждый из нас может предугадать. Это перспектива удаленного доступа к устройству и потеря личных данных. Но о подобных уязвимостях было известно довольно давно. Еще в 2017 существовала похожая, под названием Android Task Hijacking. И стоит сказать, что Standhog довольно противоречива. С одной стороны, ей довольно трудно воспользоваться, нужен определенный ряд условий, а с другой стороны Google не хочет ее пока исправлять, так как починка поломает весь софт. Ну и напоследок, от нее очень легко защитится. Нужно всего лишь указать taskAffinity="" в элементе Application, и все активности твоего приложения станут неуязвимы к атаке.

Уязвимость Twitter

Совсем недавно, компания Twitter оповестила пользователей своего Android приложения об уязвимости, которая могла дать полный доступ к аккаунту человека в Twitte, а также к личным сообщениям. Но насколько нам известно уязвимыми были только устройства 8 и 9 версии Androida и ее вроде как устранили, но это не точно. Но так, как в СНГ не то чтобы часто сидят в Twitter, беспокоится не о чем.

CVE-2019-2234

В ноябре 2019 года, ряд исследователей в сфере кибербезопасности предъявили Google за то, что их приложения «Камера» напрочь дырявое, и с помощью некоторых манипуляций можно получить доступ к камере владельца смартфона. Уязвимость тестировали на смартфонах Samsung и Google Pixel. В чем же собственно была проблема. Поскольку приложение «Камера» сохраняет все фотки на SD карте, для доступа к ним, сторонние приложения просят и доступ к Sd карте. А данный доступ открывает очень широкий спектр возможностей, который позволяет всяким вредоносным вирусам не только получить фото и видео жертвы, но также фоткать и снимать видосы. Google тут же извинились и поправили ошибку.

Короче подобных уязвимостей было куча. Постоянно возникают новые, их чинят, выпускают новую версию ОС, там находят новые уязвимости. И так по кругу. Но почему же я привел вам в пример эти случаи? Ведь как вы могли заметить, они уже неактуальны. Их либо пофиксили, либо они попросту не опасны. Дело в том, что я хотел посмотреть, заметите ли вы закономерность, которая подведет вас к определению главной уязвимости Android. А эта уязвимость - возможность скачивать сторонние приложения из сети. Благодаря этому, тысячи юзеров скачивают Трояны, вирусы и прочую нечисть на свои смартфоны и таким образом отдают полный доступ к ним злоумышленникам. А ниже мы распишем алгоритм взлома Android смартфона.

Как ломают Android хакеры

1. Создание Трояна

Естественно, запускаем Kali Linux. и создаем троянское apk-приложение. Ну либо же используем готовые решения по типу termux или Metasploit. Далее настраивается Listener, Ip, еще несколько моментов, загрузка. И после нее уже хакер успешно нажимает exploit. Вредоносное ПО готово.

2. Подготовка к распространению

Созданное приложение, (Upgrader.apk) копируется из Корневой папки, на Android-телефон. После чего загружается на любой обменник. Вирус готов к распространению.

3. Ввод жертве

Теперь самое сложное. Нужно, чтобы жертва как то скачала приложение с Трояном. Тут вы уже должны задействовать все свое мастерство социальной инженерии. Но о ней мы тут писать не будем. Все еще впереди. Когда жертва загрузила приложение, телефон под вашим контролем. Вуаля.

Android​

вполне логичным будет вопрос: как защитить свое Android устройство от взлома и прочих злодеяний. Для того чтобы ваш смартфон был в безопасности, нужно все ничего. Достаточно придерживаться стандартных правил кибербезопасности, а также соблюдать еще несколько вещей, о которых мы и поговорим в нашем материале.

Базовые принципы защиты

В выпуске об Ios мы уже расписывали о стандартных мерах соблюдения информационной безопасности вашего устройства. Но для тех, кто не читал, мы продублируем еще раз. А те кто уже хорошо знаю о классических правилах безопасности, просим пропустить следующий абзац.

Пароль. Прежде всего установите нормальный пароль. Длинный с кучей разных цифр и символов. Установите разные пароли для разных сервисов. Запишите их на бумажку, купите сейф и поставьте в него. Просто сделайте это. Знаю, это сложно и вам лень, но ка говорится: Just do it! Поскольку наша жизнь все дальше двигается в цифру, ценность паролей возрастает и превышает любые деньги. Так что не пренебрегайте своей безопасностью. Ссылки. Не переходите по стремных ссылках. 90% всех лохотронов, всего скамма в интернете, фишинга и прочего происходит с помощью ссылок. Еще раз не переходите по подозрительных ссылках, а особенно, если они просят от вас ввести какую либо персональную информацию.

Правила безопасности вашего Android.

Отслеживание устройства.

Хоть на Android и нет сервиса, как Find my Iphone, есть очень похожие аналоги,

которыми и советуем воспользоваться. Самый популярный это, пожалуй, Google Find my device. Функционал идентичен с яблочным коллегой, с помощью данной аппки вы можете отследить локацию вашего устройства, воспроизвести звук и заблокировать его, используя свою учетку от Google. Но есть еще несколько интересных приложений, которые помогут защитить ваш телефон от кражи.

Например, CrookCatcher – Anti Theft

Максимально простое приложение, которое не только отслеживает ваше устройство, но и делает снимок на фронтальную камеру во время ввода неправильного пароля. Это позволяет с легкостью опознать вора.

Lost Android

Еще один интересный экземпляр. Через данное приложение вы можете удаленно управлять вашим смартфоном, от отправки сообщений до фото и видео. Но для того, чтобы оно работало, нужна сеть.

Двухфакторная аутентификация.

И да, у гугла она тоже появилась. Поэтому если до сих пор об этом не знали, включайте немедленно. Как это сделать:

• Перейдите в “Настройки” > “Google” > “Аккаунт Google”
• Найдите вкладку “Безопасность”
• Выберите пункт “Двухфакторная аутентификация” и войдите в аккаунт
• Укажите свой номер телефона и/или адрес электронной почты на тот случай, если вам потребуется восстановить аккаунт

Защита от вредоносных приложений

Ну а теперь перейдем к самому главному. Как вы уже узнали из предыдущей статьи, основную угрозу для Android смартфона несут сторонние приложения, скачанные из сети. Прежде всего нужно конечно же быть внимательным и не качать их, ну а если с этим у вас проблемы, то самым верным решением будет скачать антивирус. Такой же, как и на компе.

Мы любезно подобрали для вас несколько хороших вариантов.

Google Play Protect

Видимо, компания Google заботится о пользователях Android как минимум так же сильно, как и мы. Свидетельство этого - наличие фирменного антивируса Google play Protect. Он работает через облако и регулярно сканирует ваши приложение на наличие вредоносных программ. Но самое примечательное, что сканирует он абсолютно все, вне зависимости от того, качали ли вы приложение из встроенного магазина, либо же из сети.

Kaspersky

Ну а если вы не очень доверяете ребятам из солнечной Калифорнии, то вот вам отечественно решение - Kaspersky Mobile Antivirus. Он не только защитит ваш смартфон от троянов, но и предложит несколько полезных «противоугонных» функций как например отслеживание местоположения и фото на фронталку. Два в одном, как говорится.

McAfee

Довольно таки хороший мобильный антивирус с такими же защитными функциями. Но кроме этого есть несколько полезных фич, как например блокировка девайса после 3х неправильных вводов пароля.

Защита от слежки

Тут пошаговая инструкция:

• 1. Скрываем свое местоположение. Для этого отключаем все беспроводные интерфейсы. Сеть, вай-фай и даже Bluetooth. С Gps посложнее. Для его отключения необходимо перейти в «Настройки» — «Данные местоположения» и деактивировать технологию определения местоположения.
• 2. Не пользуйтесь беспроводными аксессуарами. Через них так же можно следить.
• 3. Отключите всем сторонним приложениям доступ к геолокации, камере, микрофону и тд.
• 4. Рекламные идентификаторы, встроенные в смартфоны, накапливают большие объёмы данных о пользователях, формируя их виртуальный портрет. Поэтому нужно время от времени их сбрасывать. Для этого перейдите в «Настройки» — «Реклама и конфиденциальность» — «Сброс Ad ID», а также отключите адресную рекламу.

 

[Carding 4 Carders]

Топ 10 уязвимостей в приложениях на твоём смартфоне

Сейчас в мире больше 3,5 млрд пользователей смартфонов. Количество приложений на рынке тоже растёт, а вместе с этим увеличивается количество уязвимостей, желающих их эксплуатировать и жертв атак.

OWASP сделал рейтинг 10-и самых актуальных уязвимостей в приложениях и параллельно способы их устранения.

Громких атак за последние годы было достаточно. В памяти сразу всплывает шпионское ПО Pegasus, благодаря которому хакеры смогли получить управление телефоном через WhatsApp. Нашумевшим был и взлом Pokémon Go, когда проводились манипуляции GPS-данными для ловли большего количества покемонов.