شماره: IRCNE2014102351
تاريخ: 29/07/93

روش جديدي كه به مهاجمان اجازه مي دهد تا برنامه هاي اندرويدي رمزگذاري شده مخرب را در داخل تصاوير پنهان كنند مي تواند براي فرار از تشخيص داده شدن توسط محصولات آنتي ويروس و اسكنر بدافزار گوگل پلي، مورد استفاده قرار گيرد.
اين حمله توسط Axelle Apvrille، محققي از Fortinet طراحي شده است و Albertini روز پنج شنبه در كنفرانس كلاه سياه اروپا كه در آمستردام برگزار شده بود اثبات ادعاي خود را نشان داد.
روشي كه توسط Albertini نشان داده شد AngeCryption نام دارد كه مي تواند عمليات رمزگذاري فايل هاي ورودي و خروجي كه از AES استفاده مي كنند را با بهره گيري از ويژگي هاي برخي فرمت هاي فايل ها كه به فايل ها اجازه مي دهد عليرغم داشتن داده هاي بدردنخور معتبر باقي بمانند كنترل كند.
AngeCryption به كاربر اجازه مي دهد تا يك فايل ورودي و يك فايل خروجي را انتخاب نمايد و تغييرات لازم را اعمال نمايد در نتيجه هنگامي كه فايل ورودي با يك كليد خصوصي با استفاده از AES در حالت CBC رمزگذاري مي شود، اين روش فايل خروجي مورد نظر را ايجاد مي كند.
محققان امنيتي ايده خود را فراتر بردند و اين روش را بر روي فايل هاي APK (بسته هاي برنامه هاي كاربردي اندرويد) اعمال كردند. آن ها براي نشان دادن ادعاي خود برنامه كاربردي ايجاد كردند كه به راحتي مي تواند يك تصوير PNG از بازيگر جنگ ستارگان با نام Anakin Skywalker را نشان دهد. با اين حال، اين برنامه مي تواند به منظور ساختن فايل دوم APK كه قابل نصب است، تصوير را با كليد خصوصي رمزگشايي كند.
در نمايش محققان، APK مخفي شده در تصوير براي نمايش تصويري از Darth Vader طراحي شده است اما مهاجم واقعي مي تواند به جاي آن از يك برنامه مخرب براي سرقت پيام هاي متني، عكس ها، تماس ها يا ساير داده ها استفاده نمايد.
Apvrille گفت: اين حملات بر روي اندرويد 4.4.2، آخرين نسخه از سيستم عامل كار مي كند. اين مساله به گروه امنيتي اندرويد اطلاع داده شده است و آن ها در حال بررسي براي انتشار يك برطرف كننده مي باشند.
او افزود: اين آسيب پذيري ممكن است براي يك يا دو سال بر روي بسياري از گوشي ها باقي بماند.

شماره: IRCNE2014102350
تاريخ: 29/07/93

تنها حدود يك ماه از انتشار iOS 8.0 مي گذرد كه شركت اپل نسخه 8.1 اين سيستم عامل را منتشر كرد. در iOS 8.0، 53 آسيب پذيري موجود در نسخه 7.1 برطرف شد. در حال حاضر 5 آسيب پذيري در نسخه 8.0 برطرف شده است. يكي از اين آسيب پذيري ها مربوط به آسيب پذيري POODLE در پروتكل SSL نسخه 3 است كه در حال حاضر در اغلب نرم افزارهاي ديگر اپل اصلاح شده است.
ساير مشكلاتي كه در اين به روز رساني اصلاح شده اند عبارتند از:
· اگر يك دستگاه iOS با يك نوع خاص از دستگاه هايي كه بلوتوث دارند زوج شده باشد در نتيجه مهاجم مي تواند آن دستگاه را جعل كرده و يك ارتباط رمزگذاري نشده با دستگاه iOS برقرار نمايد.
· برخي اوقات فايل هايي كه در دايركتوري Documents برنامه ها نوشته مي شود با كليد ضعيفي رمزگذاري مي شود.
· مهاجمي كه بر روي شبكه اي يكسان با دستگاه iOS قرار دارد مي تواند كلاينت هايي كه به داده هاي iCloud دسترسي دارند را مجبور كند تا اطلاعات حساس را افشاء نمايند.
· QuickType، نرم افزار جديد كيبورد در iOS 8 مي تواند اعتبارنامه هاي كاربران را در حافظه خود نگه دارد.
هم چنين شركت اپل Apple TV نسخه 7.0.1 را منتشر كرد كه دو آسيب پذيري در آن اصلاح شده است. يكي از آن ها آسيب پذيري POODLE بوده است و ديگري مشكل زوج شدن بلوتوث ها كه در بالا به آن اشاره شد.

شماره: IRCNE2014102348
تاريخ: 29/07/93

كاربراني كه دقت مي كنند فايل ها را تنها از وب سايت هاي معتبر دانلود نمايند ممكن است فريب نوع جديدي از آسيب پذيري وب را بخورند. اين آسيب پذيري باعث مي شود تا فايل هاي اجرايي مخربي دانلود شوند كه در واقع از جايي كه به نظر مي رسد اين فايل را ميزباني مي كند نيست.
اين حمله باعنوان RFD شناسايي مي شود و در برخي موارد شبيه حملات اسكريپت بين سايتي است كه در آن كاربر را براي كليك بر روي لينك هاي دستكاري شده خاص فريب مي دهند.
در مورد RFD، مرورگر قرباني كدي را اجرا نمي كند اما فايلي را براي دانلود با پسوند اجرايي .bat يا .cmd كه حاوي دستورات shell يا فايل هاي اسكريپتي مانند JS، VBS، WSH كه از طريق ميزبان مبتني بر ويندوز اجرا خواهد شد، پيشنهاد مي دهد. محتوي اين فايل از طريق آدرس URLتوليد شده توسط مهاجم كه كاربر بر روي آن كليك كرده است منتقل مي شود. وب سايت مذكور ورودي را به عنوان يك فايل قابل دانلود به مرورگر برمي گرداند.
اين حمله مي تواند حملات مهندسي اجتماعي قدرتمندي را فعال نمايد زيرا اگرچه فايل مخرب به طور فيزيكي بر روي وب سايت هدف ميزباني نمي شود ولي به نظر مي رسد كه بر روي اين سايت قرار دارد. در نتيجه مهاجمان به راحتي مي توانند كاربران را متقاعد نمايند تا آن را دانلود كنند.
به عنوان مثال، يك ايميل جعلي از بانك كه از كاربر مي خواهد تا يك محصول امنيتي جديد را دانلود و نصب نمايد تا از نشست هاي بانكي آن محافظت نمايد مي تواند براي كاربر بسيار متقاعدكننده باشد تا آن را دانلود و نصب كند به خصوص كه لينك دانلود به وب سايت اصلي بانك اشاره كند و اين دقيقا چيزي است كه آسيب پذيري RFD اجازه آن را مي دهد.
با توجه به گفته هاي محقق امنيتي از Trustwave كه اين مشكل را كشف كرده است، وب سايتي نسبت به اين حملات آسيب پذير است كه از فناوري هاي JSON يا JSONP استفاده كند. البته وب سايت هايي كه از JSON استفاده نمي كنند نيز ممكن است نسبت به اين مشكل آسيب پذير باشند.

ID: IRCNE2014102352
Date: 2014-10-21

According to “TechWorld”, Network-attached storage (NAS) devices are riddled with vulnerabilities that can put the security of sensitive data and networks at risk, a researcher has found. To prove his point, he has created a proof-of-concept worm that can infect devices from three different manufacturers.
Earlier this year, Jacob Holcomb, a security analyst at Baltimore-based firm Independent Security Evaluators, started researching the security of NAS devices. He selected popular devices from 10 manufacturers and found that they were all were susceptible to root compromise. In addition, he found that exploiting half of them did not require authentication.
The tested devices were: Asustor AS-602T, TRENDnet TN-200 and TN-200T1, QNAP TS-870, Seagate BlackArmor 1BW5A3-570, Netgear ReadyNAS104, D-LINK DNS-345, Lenovo IX4-300D, Buffalo TeraStation 5600, Western Digital MyCloud EX4 and ZyXEL NSA325 v2.
During a presentation last week at the Black Hat Europe security conference in Amsterdam, Holcomb demonstrated a proof-of-concept worm that can automatically infect the D-LINK DNS-345, TRENDnet TN-200/TN-200T1 and Western Digital MyCloud EX4 devices by exploiting command injection and authentication bypass vulnerabilities, which as far as he knows, are still unpatched.
Holcomb's worm can scan predefined ranges of IP (Internet Protocol) addresses to find devices that respond over TCP port 80 and match certain digital fingerprints associated with the targeted NAS devices. Once it identifies a vulnerable device, the worm launches the necessary exploit to obtain root access and installs an interactive shell. It then downloads and runs a binary copy of itself and begins scanning from the new device.
Holcomb has not released the worm's code publicly, but plans to do so in the future after the affected vendors patch the vulnerabilities and users have a chance to upgrade. His demonstration was intended to show that creating self-propagating malware for NAS devices is relatively easy, because many of these systems share the same architecture and even code that was provided by chipset vendors.
Furthermore, some manufacturers reuse code across entire product lines, so one vulnerability found in a low-end consumer NAS device can also be present in expensive, enterprise-grade devices from the same manufacturer, according to Holcomb. When it comes to NAS devices, paying more does not necessarily mean better security, he said.
While Holcomb's proof-of-concept worm did nothing more than propagate within a local area network, attackers could create similar malware to compromise NAS devices that are accessible from the Internet and use them for performing distributed denial-of-service (DDoS) attacks and other malicious activities.

Number: IRCNE2014102351
Date: 2014/10/21

According to “techworld”, a new technique that allows attackers to hide encrypted malicious Android applications inside images could be used to evade detection by antivirus products and possibly Google Play's own malware scanner.
The attack was developed by Axelle Apvrille, a researcher at Fortinet, and reverse engineer Ange Albertini, who presented their proof-of-concept at the Black Hat Europe security conference in Amsterdam Thursday.
It's based on a technique devised by Albertini dubbed AngeCryption that allows controlling both the input and the output of a file encryption operation using the Advanced Encryption Standard (AES) by taking advantage of the properties of some file formats that allow files to remain valid despite having junk data appended to them.
AngeCryption, which was implemented as a Python script available for download on Google Code, allows the user to choose an input and an output file and makes the necessary modifications so that when the input file is encrypted with a specified key using AES in cipher-block chaining (CBC) mode, it produces the desired output file.
Apvrille and Albertini took the idea further and applied it to APK (Android application package) files. They created a proof-of-concept wrapping application that simply displays a PNG image of Star Wars character Anakin Skywalker. However, the app can also decrypt the image with a particular key in order to produce a second APK file that it can then install.
In the researchers' demonstration, the APK hidden inside the image was designed to display a picture of Darth Vader, but a real attacker could use a malicious application instead to steal text messages, photos, contacts, or other data.
The attack works on Android 4.4.2, the latest version of the OS, but the Android security team has been notified and is developing a fix, Apvrille said.
The situation with the distribution of Android security updates is better than it was three years ago, but this vulnerability will probably remain active on many phones for one or two years, Apvrille said.

Number: IRCNE2014102350
Date: 2014/10/21

According to “zdnet”, the big news about iOS 8.1, released today, is support for Apple Pay and a few less-notable features. But there are some new security updates.
It's only about a month since iOS 8.0 was released fixing 53 vulnerabilities in 7.1, so not much is likely to have crept up in the meantime.
iOS 8.1 fixes five vulnerabilities in version 8.0. One of them is the POODLE vulnerability in SSL version 3, already fixed in most other Apple software.
Other bugs fixed in this update:
If an iOS device had already been paired with a Bluetooth accessory of a certain type, then an attacker could spoof the accessory and establish an unencrypted connection with the iOS device.
Sometimes files written to an app's Documents directory were encrypted with a weak key.
An attacker on the same network segment could force iCloud data access clients to leak sensitive information.
QuickType, the new software keyboard in iOS 8, could learn user credentials.
Apple also released Apple TV 7.0.1 today, fixing two vulnerabilities. One of these is the POODLE bug and the other is the Bluetooth pairing bug described above for iOS.

Number: IRCNE2014102349
Date: 2014/10/20

According to “techworld”, users who are careful to download files only from trusted websites may be tricked by a new type of Web vulnerability: this one cons them into downloading malicious executable files that are not actually hosted where they appear to be.
The attack has been dubbed reflected file download (RFD) and is somewhat similar in concept to reflected cross-site scripting (XSS) attacks where users are tricked to click on specifically crafted links to legitimate sites that force their browsers to execute rogue code contained in the URLs themselves.
In the case of RFD, the victim's browser does not execute code, but offers a file for download with an executable extension like .bat or .cmd that contains shell commands or script files like JS, VBS, WSH that will be executed through the Windows-based script host (Wscript.exe). The contents of the file are passed through the attacker-generated URL that the user clicks on, the website reflecting the input back to the browser as a file download.
This enables powerful social engineering attacks because, even though it's not physically hosted on the targeted site, the file appears to originate from it. Users would still have to approve the download and execute the file themselves, but it wouldn't be hard for the attacker to convince them to do it.
For example, a spoofed email from a bank asking users to download and install a new security product that protects their banking sessions could be very convincing if the included download link pointed back at the bank's real website -- and that's exactly what RFD vulnerabilities allow for.
According to Trustwave security researcher Oren Hafif, who discovered the problem, a website is vulnerable to this attack if three conditions are met. The vast majority of sites that use JSON (JavaScript Object Notation) or JSONP (JSON with padding) -- two very popular Web technologies -- meet those criteria. Sites that don't use JSON can also be vulnerable, he said.

شماره: IRCNE2014102348
تاريخ: 28/7/93

يك تروجان جديد كه دستگاه‌هاي اندرويد را هدف قرار مي‌دهد توسط محققان امنيتي شناسايي شده است كه خود را به صورت يك بازي X-O وانمود مي‌كند.
به گفته يك تحليلگر آنتي ويروس در كسپراسكاي به نام آنتون كيوا، تروجان Gomal تمامي عملكردهاي جاسوس‌افزارهاي معمول از جمله قابليت ضبط صدا، پردازش تماس‌ها و سرقت پيام‌هاي كوتاه را دارا است.
اين بدافزار Tic-Tac-Toe همچنين از ابزارهايي كه دسترسي به سرويس‌هاي مختلف لينوكس را با حمله به سيستم عامل اندرويد فراهم مي‌آورند و همچنين مي‌توانند حافظه پردازه دستگاه را بخوانند كه به گفته كيوا مي‌توانند بسياري از برنامه‌هاي ارتباطي را به خطر بيندازند، استفاده مي‌كند.
Gomal همچنين داده‌ها را از logcat (سرويس داخلي لاگ برداري اندرويد كه براي عيب يابي برنامه مورد استفاده قرار مي‌گيرد) سرقت مي‌كند. اين محقق امنيتي گفت كه بسياري اوقات توسعه دهندگان طوري برنامه‌هاي خود را طراحي مي‌كنند كه داده‌هاي حياتي را حتي پس از عرضه برنامه در Logcat ثبت مي‌كنند. اين مسأله تروجان را قادر مي‌سازد كه داده‌هاي محرمانه‌تري را از ساير برنامه‌ها سرقت كند.
اين محقق افزود كه اين بدافزار قادر است ايميل‌ها را از Good for Enterprise كه يك كلاينت ايميل امن براي استفاده‌هاي شركتي است سرقت نمايد. داده‌هاي سرقت شده در اين وضعيت مي‌توانند منجر به مسائل جدي براي شركتي كه صاحب دستگاه در آن كار مي‌كنند گردند.
كيوا در وبلاگ خود نوشت كه براي حمله به Good for Enterprise، اين تروجان از كنسولي براي به دست آوردن شناسه پردازه مربوطه استفاده مي‌كند و file /proc//maps را مي‌خواند. اين فايل حاوي اطلاعاتي درباره بلوك‌هاي حافظه تخصيص داده شده به برنامه است.
تكنيك‌هاي مورد استفاده توسط Gomal ابتدا در تروجان‌هاي ويندوزي پياده شده بودند، اما اكنون به بدافزارهاي اندرويدي گسترش يافته‌اند.

شماره: IRCNE2014102347
تاريخ: 28/7/93

هكرهاي شناخته نشده اخيراً چندصد تركيب آدرس ايميل و كلمه عبور متعلق به حساب‌هاي Dropbpx را بر روي Pastebin ارسال كرده‌اند و ادعا كرده‌اند كه در مجموع 6931081 حساب هك شده است.
در پاسخ، مهندس امنيت Dropbox آنتون ميتياگين در وبلاگش نوشت كه Dropbox هك نشده است و هر انطباق آدرس ايميل و كلمه عبوري نتيجه استفاده مجدد از كلمات عبور است نه نشت داده‌ها.
وي نوشت كه داده‌هاي شما امن است. نام‌هاي كاربري و كلمات عبور از سرويس‌هاي غيرمرتبط به سرقت رفته‌اند نه از Dropbox. سپس مهاجمان از اين اطلاعات سرقتي براي ورود به سايت‌هاي مختلفي از جمله Dropbox استفاده كرده‌اند. وي نوشت كه Dropbox داراي معيارهايي براي تشخيص فعاليت لاگين مشكوك است و هنگامي كه چنين اتفاقي رخ دهد، به طور خودكار كلمات عبور بازنشاني مي‌شوند.
اين شركت در جاي ديگري افزوده است كه اين حملات قبلاً شناسايي شده‌اند و بخش عمده‌اي از كلمات عبور ارسال شده بر روي Pastebin، مدت‌هاست كه منقضي شده و تغيير كرده‌اند.
ميتياگين توضيح داد كه حملاتي مثل اين، يكي از دلايلي است كه ما قوياً به كاربران توصيه مي‌كنيم كه از كلمات عبور يكسان در سرويس‌هاي متخلف استفاده نكنند. وي نوشت كه به عنوان يك لايه ديگر امنيتي هميشه توصيه مي‌كنيم كه اعتبارسنجي دو مرحله‌اي را در حساب خود فعال نماييد.
در اتفاقي مشابه ماه گذشته يك هكر اطلاعات لاگين 4929090 حساب جيميل را منتشر كرد. در پاسخ، جيميل نيز ادعا كرد كه اين اطلاعات حاصل هك كردن جيميل نيست.
گوگل نيز در آن زمان توضيح داد كه معمولاً اين اطلاعات از طريق تركيبي از منابع مختلف به دست مي‌آيند. براي مثال در صورتي كه از نام كاربري و كلمه عبور يكسان براي وب‌سايت‌هاي مختلف استفاده كنيد، و يكي از آن وب‌سايت‌ها هك شود، اطلاعات شما مي‌تواند براي ساير وب‌سايت‌ها نيز مورد استفاده قرار گيرد.

ID: IRCNE2014102348
Date: 2014-10-20

According to “ITPro”, A new Trojan that targets Android devices while pretending to be a game of noughts and crosses has been uncovered by security researchers.
According to Anton Kivva, antivirus analyst at Kaspersky Lab, the Gomal Trojan sports all of the usual spyware functionality, including the ability to record sounds, process calls and steal SMS messages.
The Tic-Tac-Toe malware also uses tools that provide access to various Linux services by attacking the Android operating system and can also read the device’s process memory, which, according to Kivva, can jeopardise many communication applications.
Gomal also steals data from logcat – the logging service built into Android that is used for application debugging. “Developers very often have their applications outputting critically important data to Logcat even after the apps have been released. This enables the Trojan to steal even more confidential data from other programs,” said the security researcher.
The malware is capable of stealing emails from Good for Enterprise, a secure email client for corporate use, the researcher added. Data theft in this situation could lead to serious issues for the company where the device owner works.
“In order to attack Good for Enterprise, the Trojan uses the console to get the ID of the relevant process (ps command) and reads virtual file /proc//maps. The file contains information about memory blocks allocated to the application,” said Kivva in a blog post.
The techniques used by Gomal were originally implemented in Windows Trojans, but have now progressed to Android malware.