Accueil Le blog

Chromebooks may get Apple Boot Camp-like Windows 10 dual boot with “Campfire”

Hits: 10

Chromebooks may get Apple Boot Camp-like Windows 10 dual boot with “Campfire”

Everything we know about Campfire, Google’s secretive project to get Windows 10 running on Chromebooks. Since first reporting on Windows 10 capabilities on the Google Pixelbook, we’ve been closely tracking development to understand what’s going on behind Google’s doors. We’ve since found evidence that “Campfire” may be the Chromebook equivalent of Apple’s Boot Camp.

Earlier this year, a mysterious project appeared on the Chromium Git. The Chrome OS developers had created a new firmware branch of the Google Pixelbook called eve-campfire and were working on a new “Alt OS mode” for this branch. We have since confirmed this Alt OS refers to Microsoft Windows 10 and found evidence that it wasn’t just an internal project but intended for public release.

It’s been a few weeks since our last feature, we’ve got more interesting details to share.

The Google Pixelbook won’t be the only Campfire-enabled Chromebook

It would be fair to say that Alt OS and Campfire won’t make it to the hundreds of Chromebooks out there, but developer time would be wasted if this was only destined for the Google Pixelbook. Mentions of multiple “campfire variants,” and changes merging into the master branch instead of device-specific branches indicate that the Google Pixelbook won’t be the only Chromebook with Campfire support. However, given that support means putting devices through added testing and configuration, it could be limited to select Chromebooks—perhaps only new devices, or even only to Google-branded devices. It’s too early to tell.

Campfire won’t require enabling Developer Mode in Chrome OS

Dual-booting other OSes on a Chromebook traditionally requires enabling Developer Mode, an inconvenient yet powerful mode on Chrome OS that makes your Chromebook wipeable at the tap of a spacebar every boot. Unfortunately, enabling Developer Mode also renders your Chromebook less secure by disabling features like Verified Boot. As dual-booting on a Chromebook will be supported directly by Google, enabling Alt OS mode and booting into Microsoft Windows 10 won’t require Developer Mode.

Setting up Campfire to dual boot Windows 10 is seamless

The developers have reworked the way in which they distribute updates to a rarely-used section of ROM on Chromebooks called RW_LEGACY. The RW_LEGACY section on a Chromebook’s ROM traditionally gives users the ability to dual-boot into an alternative OS, but it is something of an afterthought during production and the section is rarely updated after a device leaves the factory. Now, with Campfire, Google will push signed updates to RW_LEGACY via the regular auto-update process, so firmware flashing won’t be a concern for Joe Public. A recent commit for enabling Alt OS through crosh with a simple [alt_os enable] command indicates that it will be a fairly easy setup process from the user’s end too.

Campfire is closer to release than you think

Campfire and Alt OS mode are visibly incomplete at this stage with no UI changes to speak of. However, the developers have been pushing fairly hard to get changes merged sooner rather than later, indicating a tight timescale on Chrome’s roadmap. Google’s hardware event is just around the corner, with rumours of a Google Pixelbook v2 featuring alongside the heavily leaked Google Pixel 3 and Google Pixel 3 XL. It would be reasonable to expect an announcement or demo at this event, even if the full functionality isn’t ready yet.

Campfire will take up a sizeable chunk of your storage

If you were holding out hope that your 2013 Acer C720 would somehow receive support, 16GB of storage isn’t going to cut it. A recent comment and the crosh source code suggests that the minimum storage requirement will be 40GB (30GB for Windows and 10GB remaining reserved for Chrome OS), which puts this out of the realm of possibility for most Chromebooks with soldered eMMC.

Campfire introduces an exciting new dynamic to Chrome OS that we’ve never seen before. If you were to suggest Google-backed Windows 10 dual boot on Chrome OS a year ago, you’d be laughed out of the room. Buy a Chromebook and don’t like the software? Tough luck, you’re stuck with it unless you want to jump through many technical hoops. Put that in light of Apple’s Boot Camp and Google looks positively prickly.

Whether you’re a Chrome OS fan or not, safe and easy dual-boot is a clear win for consumers—something that Google sorely needs to demonstrate after their €5 billion anti-trust fine last month. Painless dual-boot would also give users a way to continue using their device safely beyond Google’s arbitrary 6.5-year EOL milestone—a better outcome than landfill for perfectly functional hardware. Whatever the motivation, Google has our interest piqued, and we’ll continue to follow Campfire and Alt OS throughout development.

xda

Cisco Patches Its Operating Systems Against New IKE Crypto Attack

Hits: 9

Cisco logo

Cisco, one of the world’s largest vendor of networking equipment, released security updates today to patch a vulnerability in the IOS and IOS XE operating systems that run the vast majority of its devices.

The vulnerability is tracked as CVE-2018-0131 and is one of four CVE identifiers for a new Bleichenbacher oracle cryptographic attack against the IKE (Internet  Key Exchange) protocol.

Patches address new cryptographic attack

This new attack is described is a recently published research paper entitled “The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE,” set to be presented at the 27th Usenix Security Symposium later this week in Baltimore, USA. From the paper’s abstract:In this paper, we show that reusing a key pair across different versions and modes of IKE can lead to cross-protocol authentication bypasses, enabling the impersonation of a victim host or network by attackers. We exploit a Bleichenbacher oracle in an IKEv1 mode, where RSA encrypted nonces are used for authentication. Using this exploit, we break these RSA encryption based modes, and in addition break RSA signature based authentication in both IKEv1 and IKEv2. Additionally, we describe an offline dictionary attack against the PSK (Pre-Shared Key) based IKE modes, thus covering all available authentication mechanisms of IKE.

Researchers say their attack works against the IKEv1 implementations of Cisco (CVE-2018-0131), Hua­wei (CVE-2017-17305), Cla­vis­ter (CVE-2018-8753), and ZyXEL (CVE-2018-9129).

The research team, made up of three academics from the Ruhr-University Bochum, Germany and two from the University of Opole, Poland, say they notified vendors that had products vulnerable to this attack.

“All ven­dors pu­blis­hed fixes or re­mo­ved the par­ti­cu­lar au­then­ti­ca­ti­on me­thod from their de­vices’ firm­wares in re­s­pon­se to our re­ports,” researchers said.

Cisco IOS and IOS XE affected, but not IOS XR

Cisco was by far the biggest vendor affected by this flaw, and the hardest hit. CVE-2018-0131 affects the company’s main product, the IOS (Internetworking Operating System), and its Linux-based offshoot, IOS XE.

The IOS XR operating system, which runs on a different codebase and is used mainly for carrier-grade routers, is not affected.

Cisco released patches today for both OSes. The company says that any IOS and IOS XE device that’s configured with the “authentication rsa-encr” option is vulnerable.

Attackers can recover VPN sessions

According to Cisco, this flaw “could allow an unauthenticated, remote attacker to obtain the encrypted nonces of an Internet Key Exchange Version 1 (IKEv1) session.”

“The vulnerability exists because the affected software responds incorrectly to decryption failures. An attacker could exploit this vulnerability sending crafted ciphertexts to a device configured with IKEv1 that uses RSA-encrypted nonces,” Cisco said in a security advisory.

An attacker that has the ability to recover IKEv1 nonces can recover data sent via IPsec, the protocol at the base of most VPN traffic. With this in mind, applying the Cisco patches is highly recommended.

bleepingcomputer

Sécurité cloud : AWS expose des données d’infrastructure de GoDaddy

Hits: 11

Amazon Web Services (AWS) a exposé par accident options de tarification et configurations détaillées de 31 000 serveurs utilisés par GoDaddy.

AWS, référence mondiale du cloud public, et GoDaddy, poids lourd de l’enregistrement de noms de domaine et de l’hébergement web, se seraient bien passés de cette exposition.

Des documents détaillant l’infrastructure et des ressources utilisées par GoDaddy dans le cloud d’Amazon (AWS) ont été accessibles publiquement sur Internet. C’est ce qu’indique un rapport de la société de cybersécurité UpGuard, dont Engadget s’est fait l’écho.

Le 19 juin 2018, un chercheur de l’équipe UpGuard Cyber Risk a découvert un « bucket » (seau) du service de stockage Amazon S3 (Simple Storage Service) publiquement lisible, nommé abbottgodaddy. S’y trouvaient des feuilles de calcul appartenant à GoDaddy, dont un fichier Excel de 17 Mo.

Dans son analyse mise en ligne le 9 août, UpGuard indique que les fichiers en accès public contenaient « des informations de configuration de haut niveau pour des dizaines de milliers de systèmes et des options de tarification pour l’exécution de ces systèmes dans le cloud d’AWS ».

Ce sont ainsi 31 000 serveurs dont les détails ont été exposés (noms d’hôtes, systèmes d’exploitation, CPU, ressources mémoire, charges de travail, régions AWS, etc.).

« Les remises offertes en fonction de différents scénarios » étaient également disponibles. En fait, « ces données permettaient de cartographier un déploiement à très grande échelle d’une infrastructure basée sur le cloud AWS », a expliqué l’entreprise de cybersécurité.

Comme pour d’autres expositions de données sensibles répérées par ses soins, UpGuard a rapidement alerté les sociétés concernées par sa découverte. Des dispositions ont été prises dans la foulée pour colmater la brèche, selon la firme californienne.

Les « meilleures pratiques » négligées ?

AWS a confirmé l’information. En revanche, ni un tiers, ni le client n’ont été mis en cause. « Le bucket en question a été créé par un commercial AWS pour stocker des scénarios de tarification AWS prospectifs », a expliqué un(e) porte-parole à Engadget. Mais ce commercial n’aurait « pas suivi les meilleures pratiques » d’AWS en la matière. Lampiste ?

Normalement, les buckets d’Amazon S3 sont privés par défaut (accessibles au titulaire du compte et à l’administrateur root). Mais, ils peuvent être configurés de manière à permettre un accès public. Que ce soit par erreur ou à dessein. Dans ce cas, toute personne qui visite l’URL du seau concerné peut accéder à son contenu et le télécharger…

Au risque de tomber entre de mauvaises mains et d’impacter les finances et l’activité des organisations ciblées. AWS a donc tenté d’apaiser. « Aucune information de clients GoDaddy n’était dans le bucket exposé », a indiqué le fournisseur cloud. De quoi rassurer les 18 millions de clients revendiqués dans le monde par le registrar américain GoDaddy ?

silicon

Vulnerabilities Found in the Firmware of 25 Android Smartphone Models

Hits: 13

Mobile device

Last week, at the DEF CON security conference held in Las Vegas, security researchers presented details about 47 vulnerabilities in the firmware and default apps of 25 Android smartphone models, 11 of which are also sold in the US.

These vulnerabilities, embedded in full in the table at the bottom of this article, range from simple flaws that crash devices to dangerous bugs that grant attackers the ability to get root access on users’ devices.

Some of the most dangerous of these vulnerabilities allow an attacker to retrieve or send SMS texts from the user’s phone, take screenshots or record videos of the phone’s screen, retrieve the user’s contacts list, force the installation of third-party arbitrary apps without the user’s knowledge or consent, or even wipe the user’s data from the device.

Some big OEM brands listed

These vulnerabilities were discovered in both the default apps that come preinstalled on some devices by default (and are sometimes unremovable), but also in the firmware of core device drivers that can’t be removed without losing some of the phone’s functionality, if not access to the device as a whole.

US mobile and IoT security firm Kryptowire unearthed these vulnerabilities as part of a grant awarded by the Department of Homeland Security (DHS).

The smartphone brands (OEMs) included on Kryptowire’s list include big names such as ZTE, Sony, Nokia, LG, Asus, and Alcatel, but also smaller companies such as Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee, and Coolpad.

“With the hundreds of mobile phone makes and models on the market and thousands of versions of firmware, best-effort manual testing and evaluations simply cannot scale to address the problem of identifying vulnerabilities in mobile phone pre-installed apps and firmware,” said Angelos Stavrou, CEO of Kryptowire, in a press release also announcing the release of a new enterprise-targeted platform for automatically testing the firmware and apps of Android mobile devices.

Some old names on the list

Some of the OEM brands are old acquaintances. For example, ZTE. Leagoo and Doogee have been listed in previous reports about insecure Android device makers. Devices from these two vendors were found on two different occasions [12] to come preinstalled with banking trojans.

Back in November 2016, Kryptowire also discovered a backdoor mechanism in the FOTA (Firmware Over The Air) update software system produced by Chinese firm Adups. That FOTA system was included in the firmware of many Android phone makers, and a year later was found to be still active, despite public disclosure.

Below are the vulnerabilities discovered by the Kryptowire team, and presented last week at DEF CON.

OEMModelOS VersionDescriptionAttack RequirementsBuild Fingerprint
ZTEZMAX Pro6.0.1Send text messagesLocal app on the device without any permissionsZTE/P895T20/urd:6.0.1/MMB29M/20170418.114928:user/release-keys
ZTEZMAX Pro6.0.1Obtain all the text messages of the user and also insert, modify, and delete text messagesLocal app on the device without any permissionsZTE/P895T20/urd:6.0.1/MMB29M/20170418.114928:user/release-keys
ZTEZMAX Champ6.0.1A pre-installed app allows any app on the device to cause the device to get stuck in an unfixable recovery bootloop.Local app on the device without any permissionsZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys
ZTEZMAX Champ6.0.1A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device without any permissionsZTE/Z917VL/fortune:6.0.1/MMB29M/20170327.120922:user/release-keys
ZTEZMAX Pro6.0.1Obtain the numbers of contacts and numbers of people that the user has textedLocal app on the device without any permissionsZTE/P895T20/urd:6.0.1/MMB29M/20170418.114928:user/release-keys
ZTEBlade Spark7.1.1Obtain the logcat log which get written to the sdcard. This can be mined for user data. This does leave a sticky notification.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardZTE/Z971/peony:7.1.1/NMF26V/20171129.143111:user/release-keys
ZTEBlade Vantage7.1.1A pre-installed app allows any app on the device to make the system write the modem log to the sdcard. This contains the send and received text messages and the call data.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardZTE/Z839/sweet:7.1.1/NMF26V/20180120.095344:user/release-keys
VivoV77.1.2Record the screen and write it to app’s private directory. A notification and floating icon pop up initiatlly, but these can be quickly removed.Local app on the device that does not require any permissionsvivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys
VivoV77.1.2Obtain the kernel log and also the logcat log which get written to the sdcard. This can be mined for user data. This does leave a sticky notification.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardvivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys
VivoV77.1.2Provides the capability to set system properties as the com.android.phone user. With this and vulnerability above, you can caputre the input of the user (where they touch the screen) and the bluetooth snoop log.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardvivo/1718/1718:7.1.2/N2G47H/compil11021857:user/release-keys
SonyXperia L17.0Take screenshot of the screen which can be used to examine the user’s notifications.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and the EXPAND_STATUS_BAR permission is needed to expand the status barSony/G3313/G3313:7.0/43.0.A.6.49/2867558199:user/release-keys
SKYElite 6.0L+6.0Command execution as the system user via old version of Adups softwareLocal app on the device that does not require any permissionsSKY/x6069_trx_l601_sky/x6069_trx_l601_sky:6.0/MRA58K/1482897127:user/release-keys
PlumCompass6.0A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionsPLUM/c179_hwf_221/c179_hwf_221:6.0/MRA58K/W16.51.5-22:user/release-keys
OrbicWonder7.1Pairing with the vulnerability above, the user can get the body of text messages and call data since the default messaging apps is in debug mode, so the telephony data is written to the log. The log is written to the sdcard so any app can use the vulnerability above to get this data.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardOrbic/RC555L/RC555L:7.1.2/N2G47H/329100b:user/release-keys
OrbicWonder7.1.2A pre-installed app allows the user to obtain the logcat log that get written to the sdcard continuosly. The logcat log is not available to third-party apps since it contains sensitive user data. The user can start the app with so it will not show up in the recent apps list and then dismiss it by going to the home screen so it will not be accessible to the user. It will continuosly write the log file to the sdcard.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardOrbic/RC555L/RC555L:7.1.2/N2G47H/329100b:user/release-keys
OrbicWonder7.1.2A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionsOrbic/RC555L/RC555L:7.1.2/N2G47H/329100b:user/release-keys
OppoF57.1.1Surreptitiously audio record the user and write it to the sdcard. This does require the command execution as system user to copy the recording file.Local app on the device without any permissionsOPPO/CPH1723/CPH1723:7.1.1/N6F26Q/1513597833:user/release-keys
OppoF57.1.1Command execution as the system userLocal app on the device without any permissionsOPPO/CPH1723/CPH1723:7.1.1/N6F26Q/1513597833:user/release-keys
Nokia6 TA-10257.1.1Take screenshot of the screen which can be used to examine the user’s notifications.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and the EXPAND_STATUS_BAR permission is needed to expand the status barNokia/TA-1025_00WW/PLE:7.1.1/NMF26F/00WW_3_32F:user/release-keys
MXQTV Box4.4.2A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionsMBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys
MXQTV Box4.4.2Make the device non-functional. The device will not boot properly even after a factory reset. The device can likely be recovered by placing clean firmware images on the sdcard and flashing them.Local app on the device that does not require any permissionsMBX/m201_N/m201_N:4.4.2/KOT49H/20160106:user/test-keys
LGG67.0Can lock a user out of their own phone (even in safe mode) and the user will be forced to factory reset in recovery mode. The user may be able to unlock the device if they have ADB enabled prior to the locking of the screen and can figure out how to unlock it hich may be difficult for the average user. This acts as a Denial of Service attack and results in data loss if a factory reset occurs.Local app on the device that does not require any permissionslge/lucye_nao_us_nr/lucye:7.0/NRD90U/17265155644e4:user/release-keys
LGG67.0Obtain the logcat logs continuosly which are not available to third party apps since they leak senstive user data. The log file can be written to the app’s private directory by using path traversal.Local app on the device and INTERNET permission to send out the data.lge/lucye_nao_us_nr/lucye:7.0/NRD90U/17265155644e4:user/release-keys
LGG67.0Obtain the kernel log and also the logcat log which get written to the sdcard. This can be mined for user data. It also creates a file on the sdcard containing the phone IMEI and serial number.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardlge/lucye_nao_us_nr/lucye:7.0/NRD90U/17265155644e4:user/release-keys
LeagooZ5C6.0Read the last text message from each conversation. The last message will containt the phone number, text body, timestamp, and the contact’s name (if any)Local app on the device that does not require any permissionssp7731c_1h10_32v4_bird:6.0/MRA58K/android.20180125.183848:user/release-keys
LeagooP17.0Take screenshot of the screen which can be used to examine the user’s notifications.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and the EXPAND_STATUS_BAR permission is needed to expand the status barLEAGOO/t592_otd_p1/t592_otd_p1:7.0/NRD90M/1508151212:user/release-keys
LeagooP17.0Local root privilege escalation via ADB. The vendor allows read only properties to be modified. They could also peform this behavior to get root privileges.Physical access to deviceLEAGOO/t592_otd_p1/t592_otd_p1:7.0/NRD90M/1508151212:user/release-keys
LeagooP17.0A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionsLEAGOO/t592_otd_p1/t592_otd_p1:7.0/NRD90M/1508151212:user/release-keys
LeagooZ5C6.0Send text messagesLocal app on the device that does not require any permissionssp7731c_1h10_32v4_bird:6.0/MRA58K/android.20180125.183848:user/release-keys
LeagooZ5C6.0A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionssp7731c_1h10_32v4_bird:6.0/MRA58K/android.20180125.183848:user/release-keys
EssentialEssential7.1.1A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device that does not require any permissionsessential/mata/mata:7.1.1/NMJ88C/464:user/release-keys & essential/mata/mata:8.1.0/OPM1.180104.166/297:user/release-keys
DoogeeX56.0Video record of the screen. This capability can be used in a similar way as taking screenshots by opening apps that show the user’s messages. The recording is not transparent to the user.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and the INTERNET permission to send out the dataDOOGEE/full_hct6580_weg_c_m/hct6580_weg_c_m:6.0/MRA58K/1479906828:user/test-keys
CoolpadRevvl Plus7.1.1Obtain all the text messages of the user and also insert, modify, and delete text messagesLocal app on the device without any permissionsCoolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys
CoolpadCanvas7.0Provides the capability to set system properties as the com.android.phone user.Local app on the device without any permissionsCoolpad/cp3636a/cp3636a:7.0/NRD90M/093031423:user/release-keys
CoolpadDefiant7.1.1Send text messagesLocal app on the device without any permissionsCoolpad/cp3632a/cp3632a:7.1.1/NMF26F/099480857:user/release-keys
CoolpadRevvl Plus7.1.1Provides the capability to set system properties as the com.android.phone user.Local app on the device without any permissionsCoolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys
CoolpadRevvl Plus7.1.1A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device without any permissionsCoolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys
CoolpadRevvl Plus7.1.1Send text messagesLocal app on the device without any permissionsCoolpad/alchemy/alchemy:7.1.1/143.14.171129.3701A-TMO/buildf_nj_02-206:user/release-keys
CoolpadCanvas7.0Obtain the logcat logs, kernel logs, and tcpdump capture which are written to the sdcard. This leaves a notification active. The logs contain the body of sent and received text messages.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardCoolpad/cp3636a/cp3636a:7.0/NRD90M/093031423:user/release-keys
CoolpadDefiant7.1.1A pre-installed app allows any app on the device to wipe all user data via a factory reset. There is no user intervention required and it will result in data loss.Local app on the device without any permissionsCoolpad/cp3632a/cp3632a:7.1.1/NMF26F/099480857:user/release-keys
CoolpadDefiant7.1.1Obtain all the text messages of the user and also insert, modify, and delete text messagesLocal app on the device without any permissionsCoolpad/cp3632a/cp3632a:7.1.1/NMF26F/099480857:user/release-keys
AsusZenFone 3 Max7.0A pre-installed app with an exposed interface allows any app on the phone to obtain a bugreport (kernel log, logcat log, dump of system services (includes text of active notifications), WiFi Passwords, and other system data gets written to the sdcard. The numbers for received and placed telephone calls show up in the log, as well as the sending and receving telephone numbers for text messages.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcardasus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys
AsusZenFone 3 Max7.0Arbitrary app installation over the internet. Then this app can also be uninstalled after it is run using the same interface.Local app on the device without any permissionsasus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys
AsusZenFone 3 Max7.0Take screenshot of the screen which can be used to examine the user’s notifications.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and EXPAND_STATUS_BAR permission is needed to expand the status barasus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys
AsusZenFone 3 Max & ZenFone V Live7.0Command execution as the system userLocal app on the device without any permissionsasus/US_Phone/ASUS_X008_1:7.0/NRD90M/US_Phone-14.14.1711.92-20171208:user/release-keys & asus/VZW_ASUS_A009/ASUS_A009:7.1.1/NMF26F/14.0610.1709.56-20171017:user/release-keys
AlcatelA307.0Take screenshot of the screen which can be used to examine the user’s notifications.Local app on the device with the READ_EXTERNAL_STORAGE permission to read from the sdcard and the EXPAND_STATUS_BAR permission is needed to expand the status barTCL/5046G/MICKEY6US:7.0/NRD90M/J63:user/release-keys
AlcatelA307.0Local root privilege escalation via ADB. The vendor allows read only properties to be modified. They could also peform this behavior to get root privileges. This was an Amazon Prime exclusive device.The user needs physical access to the device and needs to bypass the screen-lock if it existsTCL/5046G/MICKEY6US:7.0/NRD90M/J63:user/release-keys

bleepingcomputer

LibreOffice 6.1 n’est pas une version de maintenance

Hits: 11

LibreOffice-6.1

The Document Foundation annonce la disponibilité de la suite libre et open source LibreOffice 6.1. Cette version 6.1 estivale est présentée non pas comme une mise à jour de maintenance, mais la deuxième publication majeure de la famille LibreOffice 6 introduite en début d’année. Cette dernière avait mis l’accent sur la productivité et pour faciliter la bascule depuis Microsoft Office.

Pour LibreOffice 6.1, ce n’est toujours pas l’heure d’un remaniement en profondeur de son interface utilisateur qui n’a que peu évolué dans le temps. Toutefois, c’est un coup de jeune sur Windows avec Colibre comme thème d’icônes par défaut (tandis que c’est un thème Elementary avec l’environnement Gnome pour Linux).

Ce thème Colibre a pour effet d’améliorer l’apparence visuelle générale de LibreOffice avec une meilleure adéquation par rapport aux directives de design de Microsoft.

Grâce à un nouveau gestionnaire graphique, la gestion des images a été retravaillée. La promesse est une plus grande rapidité et fluidité lors de l’ajout, l’édition et la gestion d’images dans des documents, y compris des formats propriétaires de Microsoft.

Pour Writer, l’exportation au format EPUB a été améliorée comme au niveau de la gestion de liens, tables, images, l’intégration de polices d’écriture, ainsi que pour le support des notes de bas de page et des métadonnées.

Dans la vidéo ci-dessous, The Document Foundation fait le tour de quelques nouveautés proposées avec LibreOffice 6.1 :

Pour Windows, macOS, Linux, ainsi que pour le cloud (LibreOffice Online ; images Docker), LibreOffice 6.1 est d’abord disponible dans la branche Évolution qui s’adresse aux utilisateurs avancés. Dans des environnements de production, c’est la version 6.0.6 qui est conseillée.

generation-nt

Faute d’hébergeur, le site sera bientôt fermé

Hits: 13

Le site fermera en décembre 2018 faute d’hébergeur. Ce message sera réitéré tous les mois.

Les éléments qui peuvent nuire à vos appareils mobiles et où les trouver — deuxième partie

Hits: 14

Ransomwares mobiles

Comme nous l’avons déjà dit, les gens sont tellement accros à leur smartphone que si l’accès leur est refusé, ils vont faire des pieds et des mains pour le récupérer. Sachant cela, les développeurs malintentionnés créent des ransomwares cheval de Troie pour mobiles afin de bloquer les appareils des victimes et de restaurer l’accès en échange d’un paiement.

Tout comme pour l’ordinateur, il existe deux types de ransomwares d’appareils mobiles : les bloqueurs et les ransomwares à chiffrement. Comme son nom l’indique, ces derniers chiffrent les fichiers, et les bloqueurs bloquent l’accès, la plupart du temps en affichant une bannière douteuse sur l’écran ou en demandant un code PIN.

D’ailleurs, les malwares d’appareils mobiles font souvent les deux : ils chiffrent et bloquent. Par exemple, c’est comme ça qu’une modification de notre vieil ami le cheval de Troie Sypeng a pu gagner de l’argent.

Alors que les bloqueurs sur ordinateur ont presque disparu (il est facile de les contourner), ils font boule de neige sur les appareils mobiles. Par exemple, 83 % des ransomwares détectés en 2017 venait de la famille du cheval de Troie Congur, un virus qui bloquait les appareils des victimes en utilisant un code PIN.

Tout comme les bloqueurs sur ordinateur, les versions pour mobiles accusent généralement l’utilisateur d’avoir enfreint la loi, la plupart du temps en regardent des contenus pornographiques, et lui exige de payer une pénalité, soi-disant à une agence gouvernementale. Il va de soi que cet argent va directement dans les poches des escrocs. La plupart de ces malwares sont distribués sur des sites pornographiques, ce qui rend ces accusations d’autant plus crédibles pour les victimes.

Wipers mobiles

Là encore, vous avez un indice dans le nom du malware : les wipers effacent tous les fichiers qui se trouvent sur l’appareil de la victime. Pour les escrocs ordinaires qui essaient de gagner de l’argent en demandant des rançons, effacer les données utilisateurs n’a aucun sens au niveau des affaires. Au contraire, les wipers sont généralement utiliser dans des batailles politiques, ou au sein d’entreprises.

Il est beaucoup moins probable de trouver un wiper sur les appareils mobiles que sur les ordinateurs. Même lorsqu’ils apparaissent sur les appareils portables, la plupart du temps ils agissent en partenariat avec d’autres actions dangereuses. Par exemple, le malware connu sous le nom de Mazarpeut effacer des données, mais aussi transformer votre téléphone mobile en un botnet, c’est-à-dire un réseau utilisé pour commettre des attaques informatiques. Nous parlerons de ces virus deux-en-un dans un autre article.

Mineurs mobiles

Si votre smartphone commence à surchauffer soudainement, à ralentir et à se décharger rapidement, il est fort probable que le coupable soit un mineur de crypto-monnaie caché. Ces éléments minent secrètement de la crypto-monnaie pour quelqu’un à vos frais.

Vous pouvez même être infecté en utilisant les boutiques officielles d’applications : ces programmes sont parfaitement déguisés en applications de bonne foi puisque les caractéristiques techniques figurent dans la description, tout en minant des monnaies virtuelles en arrière-plan pour leurs créateurs. Pendant ce temps, les applications téléchargées à partir de sources tierces font de leur mieux pour imiter les applications du système. Parfois le malware se fait passer pour une application qui permet de mettre à jour Google Play, comme ça a été le cas avec HiddenMiner, par exemple.

Même si les mineurs ne volent pas votre argent et n’effacent pas vos fichiers, vous ne devriez pas sous-estimer le risque qu’ils représentent : une charge excessive peut ralentir l’appareil, le décharger rapidement mais aussi entraîner une surchauffe catastrophique.

Comment vous protéger ?

Peu importe à quel point ces invasions sont désagréables, vous pouvez vous protéger de la plupart d’entre elles en suivant ces quelques règles :

  • Installez uniquement les applications de boutiques officielles, comme Google Play or Amazon Store : il n’y a aucune garantie mais cette méthode réduit considérablement les risques d’avoir un malware sur votre appareil.
  • Entrez dans les paramètres de votre appareil et désactivez l’installation d’applications venant de sources tierces. Cette action élimine les menaces téléchargées au hasard qui essaient d’imiter les mises à jour du système et autres.
  • Sauvegardez régulièrement les données importantes de votre appareil sur le Cloud, sur une clé USB, ou sur un disque dur externe.
  • Mettez à jour votre système d’exploitation et vos applications dès que possible pour corriger les vulnérabilités que les criminels peuvent exploiter.
  • Ne cliquez pas sur les liens suspects qui figurent dans les e-mails, textes ou messages instantanés.
  • Protégez tous vos appareils mobiles en utilisant un antivirus de confiance. Par exemple, la version payante de Kaspersky Internet Security for Android réalise des analyses en temps réel d’applications, liens et sites Internet, et bloque tout ce qui semble suspect ou dangereux.

kaspersky

Let’s Encrypt root certificates now trusted by major root programmes

Hits: 11

The Let’s Encrypt project, which is trying to make the web more secure, has announced that its root certificate is now recognised and trusted by all major root programmes, including those run by Microsoft, Google, Apple, Mozilla, Oracle, and BlackBerry.

Most browsers and operating systems trusted Let’s Encrypt because of a cross-signature from another authority called IdenTrust which was already trusted. Today’s news means newer software should recognise Let’s Encrypt certificates directly.

While most newer operating systems and browsers now support Let’s Encrypt out of the box without cross-signatures, older browsers and operating systems do not. In order to accommodate for this, Let’s Encrypt will continue to use a cross signature. According to the project, this period of waiting for older devices to fall out of the web ecosystem could take at least five years or more.

Let’s Encrypt says that those using its software do not need to do anything to accommodate for the latest piece of news, but the project does state that you should keep up best practises, such as keeping your AMCE client (such as Certbot) up-to-date.

In its announcement, the project clarified that it currently provides certificates for more than 115 million websites, after recently passing the 100 million secured sites milestone.


neowin

PowerGhost : Attention au minage fantôme

Hits: 12

Après avoir réussi à entrer dans l’infrastructure de l’entreprise, PowerGhost essaie de se connecter aux comptes utilisateurs du réseau en utilisant l’outil légitime d’administration à distance, Windows Management Instrumentation (WMI). Le malware obtient les identifiants et mots de passe grâce à un outil qui extrait les données, Mimikatz. Le mineur peut aussi se propager à travers l’exploit de Windows EternalBlue, que les créateurs de WannaCry et ExPetr ont déjà utilisé. En théorie, cette vulnérabilité a été corrigée il y a un an, mais en pratique, cette méthode est encore efficace.

Une fois dans le dispositif de la victime, le malware essaie d’obtenir plus de privilèges en utilisant plusieurs vulnérabilités du système d’exploitation (consultez l’article publié sur notre blog Securelistpour obtenir plus de détails techniques). Ensuite, le mineur s’implante dans le système et commence à produire de la crypto-monnaie pour ses créateurs.

Pourquoi PowerGhost est-il dangereux ?

PowerGhost, tout comme n’importe quel mineur, utilise les ressources de votre ordinateur pour générer de la crypto-monnaie. Cette action réduit les performances du serveur et d’autre appareils, mais provoque aussi une usure significativement plus rapide, ce qui engendre des frais de remplacement.

Cependant, si nous comparons PowerGhost à la plupart des programmes similaires, nous observons qu’il est beaucoup plus difficile de le détecter puisqu’il ne télécharge pas de fichiers malveillants sur l’appareil. Cela signifie qu’il peut fonctionner sur votre serveur, ou poste de travail, sans être détecté pendant plus longtemps, et par conséquent fait davantage de dégâts.

De plus, nos experts ont trouvé un outil pour les attaques DDoS dans une des versions du malware. L’utilisation des serveurs de l’entreprise pour attaquer une autre victime peut ralentir, voire paralyser les activités opérationnelles. Un aspect intéressant est la capacité du malware à vérifier s’il est exécuté dans un vrai système d’exploitation ou dans une sandbox, ce qui lui permet de contourner les solutions de sécurité standards.

Anti-PowerGhost

Si vous voulez éviter les infections et protéger vos équipements d’attaques perpétrées par PowerGhost et des logiciels similaires, vous devriez surveiller minutieusement la sécurité des réseaux d’entreprise.

  • Mettez à jour vos logiciels et votre système d’exploitation. Toutes les vulnérabilités exploitées par le mineur ont été corrigées il y a longtemps par les vendeurs. Les développements faits par les auteurs de virus reposent généralement sur des exploits de vulnérabilités qui ont été corrigés il y a longtemps.
  • Améliorez les compétences de vos employés pour les sensibiliser à la sécurité. N’oubliez pas que le facteur humain est à l’origine de nombreux incidents informatiques.
  • Utilisez des solutions de sécurité de confiance qui ont la technologie de l’analyse comportementale. Il s’agit de la seule technique permettent de détecter les menaces sans fichier. Les produits d’entreprise de Kaspersky Lab détectent PowerGhost et ses composants individuels, ainsi que de nombreux programmes malveillants, y compris ceux qui sont encore inconnus.

kaspersky

Des fausses cartes cadeaux pour inciter à divulguer ses données personnelles

Hits: 18

Tandis que les entreprises et les forces de l’ordre du monde entier sont occupées à combattre la cybercriminalité, les malfaiteurs eux-mêmes recherchent constamment de nouveaux moyens de gagner de l’argent, en dehors des simples malwares. Offrir gratuitement aux internautes des produits de valeur est toujours un outil marketing efficace, que des criminels peuvent mettre à profit. Les sites web proposant aux consommateurs de générer gratuitement des cartes cadeaux pour des plateformes bien connues – par exemple iTunes, Google Play, Spotify, Amazon ou Steam – n’ont rien de nouveau.

Des applications authentiques telles que Tokenfire ou Swagbucks achètent ainsi des codes de carte à des e-commerçants pour ensuite en faire cadeau à leurs clients en récompense de certaines activités. Des escrocs, ayant apparemment remarqué le succès de ces sites, ont entrepris de tromper leurs utilisateurs à l’aide d’un algorithme simple.

Des procédés interminables et inutiles pour l’utilisateur, des gains sans effort pour les escrocs

Lorsqu’il arrive sur un faux site, l’internaute se voit invité à sélectionner la carte cadeau de son choix pour recevoir le code correspondant, ce qui met en route le mécanisme frauduleux. En effet, afin d’obtenir le code généré, la personne doit prouver qu’elle n’est pas un robot. Pour ce faire, il lui faut suivre le lien indiqué et accomplir diverses tâches, dont le nombre et le type dépendent du réseau partenaire vers lequel elle est redirigée. Par exemple, il peut lui être demandé de remplir un formulaire, de laisser un numéro de téléphone ou une adresse e-mail, de s’abonner à un service de SMS payant, d’installer un logiciel publicitaire, etc.

Le résultat est prévisible : soit la victime se lasse de ces opérations interminables, soit elle finit par obtenir un code inutile. Les gains pour les escrocs peuvent aller de quelques centimes par clic sur le lien en question à plusieurs dizaines d’euros pour le remplissage d’un formulaire ou l’abonnement à un service payant. Ainsi, les escrocs réalisent un profit pratiquement sans effort, puisqu’ils sont rémunérés par les actions des utilisateurs sur des sites partenaires qui y trouvent eux aussi leur compte en accédant à des données personnelles exploitables à des fins privées.

« Le succès de ces nouveaux stratagèmes de fraude repose sur l’exploitation par des escrocs de la propension des internautes à souhaiter obtenir des avantages sans rien débourser. Or, au mieux ces derniers vont perdre des heures à accomplir des tâches inutiles et, au pire, ils risquent de perdre de l’argent sans rien recevoir en retour. Par conséquent, si vous voulez gagner une carte cadeau gratuite, mieux vaut tenter votre chance sur des sites légaux et fiables« , commente Lyubov Nikolenko, analyste en contenus web chez Kaspersky Lab.

Quelles règles à suivre pour ne pas se faire avoir par des stratagèmes frauduleux.

Pour leur éviter d’être victimes des stratagèmes frauduleux des cybercriminels et de divulguer des données personnelles, les chercheurs de Kaspersky Lab conseillent aux utilisateurs d’observer quelques règles élémentaires :

  • Rappelez-vous que rien n’est jamais gratuit et que les offres qui paraissent trop belles pour être vraies doivent toujours être traitées avec scepticisme.
  • Vérifiez la connexion HTTPS et le nom de domaine lorsque vous ouvrez une page web. C’est d’autant plus important dans le cas de sites contenant des données sensibles : banque en ligne, e-commerce, messagerie, réseaux sociaux, etc.
  • Ne communiquez jamais vos données sensibles (identifiant, mot de passe, numéro de carte bancaire, etc.) à un tiers. Les entreprises dignes de confiance ne vous demanderont jamais de transmettre ces informations par e-mail.
  • Ne diffusez pas de liens douteux auprès de vos amis.
  • Vérifiez auprès de la société concernée si elle distribue bien des codes cadeaux gratuitement et si le site en question est son partenaire officiel. Pour ce faire, contactez son service de support via son site web officiel.
  • Utilisez une solution de sécurité fiable, dotée de technologies antiphishing à analyse comportementale, afin de détecter et de bloquer les attaques de spam et de phishing. Kaspersky Total Security, par exemple, bloque les faux sites de cartes cadeaux.

Pour en savoir plus sur le mécanisme de la fraude au générateur de cartes cadeaux, consultez notre rapport complet sur Securelist.com.

kaspersky