Number: IRCNE2014102351
Date: 2014/10/21

According to “techworld”, a new technique that allows attackers to hide encrypted malicious Android applications inside images could be used to evade detection by antivirus products and possibly Google Play's own malware scanner.
The attack was developed by Axelle Apvrille, a researcher at Fortinet, and reverse engineer Ange Albertini, who presented their proof-of-concept at the Black Hat Europe security conference in Amsterdam Thursday.
It's based on a technique devised by Albertini dubbed AngeCryption that allows controlling both the input and the output of a file encryption operation using the Advanced Encryption Standard (AES) by taking advantage of the properties of some file formats that allow files to remain valid despite having junk data appended to them.
AngeCryption, which was implemented as a Python script available for download on Google Code, allows the user to choose an input and an output file and makes the necessary modifications so that when the input file is encrypted with a specified key using AES in cipher-block chaining (CBC) mode, it produces the desired output file.
Apvrille and Albertini took the idea further and applied it to APK (Android application package) files. They created a proof-of-concept wrapping application that simply displays a PNG image of Star Wars character Anakin Skywalker. However, the app can also decrypt the image with a particular key in order to produce a second APK file that it can then install.
In the researchers' demonstration, the APK hidden inside the image was designed to display a picture of Darth Vader, but a real attacker could use a malicious application instead to steal text messages, photos, contacts, or other data.
The attack works on Android 4.4.2, the latest version of the OS, but the Android security team has been notified and is developing a fix, Apvrille said.
The situation with the distribution of Android security updates is better than it was three years ago, but this vulnerability will probably remain active on many phones for one or two years, Apvrille said.

Number: IRCNE2014102350
Date: 2014/10/21

According to “zdnet”, the big news about iOS 8.1, released today, is support for Apple Pay and a few less-notable features. But there are some new security updates.
It's only about a month since iOS 8.0 was released fixing 53 vulnerabilities in 7.1, so not much is likely to have crept up in the meantime.
iOS 8.1 fixes five vulnerabilities in version 8.0. One of them is the POODLE vulnerability in SSL version 3, already fixed in most other Apple software.
Other bugs fixed in this update:
If an iOS device had already been paired with a Bluetooth accessory of a certain type, then an attacker could spoof the accessory and establish an unencrypted connection with the iOS device.
Sometimes files written to an app's Documents directory were encrypted with a weak key.
An attacker on the same network segment could force iCloud data access clients to leak sensitive information.
QuickType, the new software keyboard in iOS 8, could learn user credentials.
Apple also released Apple TV 7.0.1 today, fixing two vulnerabilities. One of these is the POODLE bug and the other is the Bluetooth pairing bug described above for iOS.

Number: IRCNE2014102349
Date: 2014/10/20

According to “techworld”, users who are careful to download files only from trusted websites may be tricked by a new type of Web vulnerability: this one cons them into downloading malicious executable files that are not actually hosted where they appear to be.
The attack has been dubbed reflected file download (RFD) and is somewhat similar in concept to reflected cross-site scripting (XSS) attacks where users are tricked to click on specifically crafted links to legitimate sites that force their browsers to execute rogue code contained in the URLs themselves.
In the case of RFD, the victim's browser does not execute code, but offers a file for download with an executable extension like .bat or .cmd that contains shell commands or script files like JS, VBS, WSH that will be executed through the Windows-based script host (Wscript.exe). The contents of the file are passed through the attacker-generated URL that the user clicks on, the website reflecting the input back to the browser as a file download.
This enables powerful social engineering attacks because, even though it's not physically hosted on the targeted site, the file appears to originate from it. Users would still have to approve the download and execute the file themselves, but it wouldn't be hard for the attacker to convince them to do it.
For example, a spoofed email from a bank asking users to download and install a new security product that protects their banking sessions could be very convincing if the included download link pointed back at the bank's real website -- and that's exactly what RFD vulnerabilities allow for.
According to Trustwave security researcher Oren Hafif, who discovered the problem, a website is vulnerable to this attack if three conditions are met. The vast majority of sites that use JSON (JavaScript Object Notation) or JSONP (JSON with padding) -- two very popular Web technologies -- meet those criteria. Sites that don't use JSON can also be vulnerable, he said.

شماره: IRCNE2014102348
تاريخ: 28/7/93

يك تروجان جديد كه دستگاه‌هاي اندرويد را هدف قرار مي‌دهد توسط محققان امنيتي شناسايي شده است كه خود را به صورت يك بازي X-O وانمود مي‌كند.
به گفته يك تحليلگر آنتي ويروس در كسپراسكاي به نام آنتون كيوا، تروجان Gomal تمامي عملكردهاي جاسوس‌افزارهاي معمول از جمله قابليت ضبط صدا، پردازش تماس‌ها و سرقت پيام‌هاي كوتاه را دارا است.
اين بدافزار Tic-Tac-Toe همچنين از ابزارهايي كه دسترسي به سرويس‌هاي مختلف لينوكس را با حمله به سيستم عامل اندرويد فراهم مي‌آورند و همچنين مي‌توانند حافظه پردازه دستگاه را بخوانند كه به گفته كيوا مي‌توانند بسياري از برنامه‌هاي ارتباطي را به خطر بيندازند، استفاده مي‌كند.
Gomal همچنين داده‌ها را از logcat (سرويس داخلي لاگ برداري اندرويد كه براي عيب يابي برنامه مورد استفاده قرار مي‌گيرد) سرقت مي‌كند. اين محقق امنيتي گفت كه بسياري اوقات توسعه دهندگان طوري برنامه‌هاي خود را طراحي مي‌كنند كه داده‌هاي حياتي را حتي پس از عرضه برنامه در Logcat ثبت مي‌كنند. اين مسأله تروجان را قادر مي‌سازد كه داده‌هاي محرمانه‌تري را از ساير برنامه‌ها سرقت كند.
اين محقق افزود كه اين بدافزار قادر است ايميل‌ها را از Good for Enterprise كه يك كلاينت ايميل امن براي استفاده‌هاي شركتي است سرقت نمايد. داده‌هاي سرقت شده در اين وضعيت مي‌توانند منجر به مسائل جدي براي شركتي كه صاحب دستگاه در آن كار مي‌كنند گردند.
كيوا در وبلاگ خود نوشت كه براي حمله به Good for Enterprise، اين تروجان از كنسولي براي به دست آوردن شناسه پردازه مربوطه استفاده مي‌كند و file /proc//maps را مي‌خواند. اين فايل حاوي اطلاعاتي درباره بلوك‌هاي حافظه تخصيص داده شده به برنامه است.
تكنيك‌هاي مورد استفاده توسط Gomal ابتدا در تروجان‌هاي ويندوزي پياده شده بودند، اما اكنون به بدافزارهاي اندرويدي گسترش يافته‌اند.

شماره: IRCNE2014102347
تاريخ: 28/7/93

هكرهاي شناخته نشده اخيراً چندصد تركيب آدرس ايميل و كلمه عبور متعلق به حساب‌هاي Dropbpx را بر روي Pastebin ارسال كرده‌اند و ادعا كرده‌اند كه در مجموع 6931081 حساب هك شده است.
در پاسخ، مهندس امنيت Dropbox آنتون ميتياگين در وبلاگش نوشت كه Dropbox هك نشده است و هر انطباق آدرس ايميل و كلمه عبوري نتيجه استفاده مجدد از كلمات عبور است نه نشت داده‌ها.
وي نوشت كه داده‌هاي شما امن است. نام‌هاي كاربري و كلمات عبور از سرويس‌هاي غيرمرتبط به سرقت رفته‌اند نه از Dropbox. سپس مهاجمان از اين اطلاعات سرقتي براي ورود به سايت‌هاي مختلفي از جمله Dropbox استفاده كرده‌اند. وي نوشت كه Dropbox داراي معيارهايي براي تشخيص فعاليت لاگين مشكوك است و هنگامي كه چنين اتفاقي رخ دهد، به طور خودكار كلمات عبور بازنشاني مي‌شوند.
اين شركت در جاي ديگري افزوده است كه اين حملات قبلاً شناسايي شده‌اند و بخش عمده‌اي از كلمات عبور ارسال شده بر روي Pastebin، مدت‌هاست كه منقضي شده و تغيير كرده‌اند.
ميتياگين توضيح داد كه حملاتي مثل اين، يكي از دلايلي است كه ما قوياً به كاربران توصيه مي‌كنيم كه از كلمات عبور يكسان در سرويس‌هاي متخلف استفاده نكنند. وي نوشت كه به عنوان يك لايه ديگر امنيتي هميشه توصيه مي‌كنيم كه اعتبارسنجي دو مرحله‌اي را در حساب خود فعال نماييد.
در اتفاقي مشابه ماه گذشته يك هكر اطلاعات لاگين 4929090 حساب جيميل را منتشر كرد. در پاسخ، جيميل نيز ادعا كرد كه اين اطلاعات حاصل هك كردن جيميل نيست.
گوگل نيز در آن زمان توضيح داد كه معمولاً اين اطلاعات از طريق تركيبي از منابع مختلف به دست مي‌آيند. براي مثال در صورتي كه از نام كاربري و كلمه عبور يكسان براي وب‌سايت‌هاي مختلف استفاده كنيد، و يكي از آن وب‌سايت‌ها هك شود، اطلاعات شما مي‌تواند براي ساير وب‌سايت‌ها نيز مورد استفاده قرار گيرد.

ID: IRCNE2014102348
Date: 2014-10-20

According to “ITPro”, A new Trojan that targets Android devices while pretending to be a game of noughts and crosses has been uncovered by security researchers.
According to Anton Kivva, antivirus analyst at Kaspersky Lab, the Gomal Trojan sports all of the usual spyware functionality, including the ability to record sounds, process calls and steal SMS messages.
The Tic-Tac-Toe malware also uses tools that provide access to various Linux services by attacking the Android operating system and can also read the device’s process memory, which, according to Kivva, can jeopardise many communication applications.
Gomal also steals data from logcat – the logging service built into Android that is used for application debugging. “Developers very often have their applications outputting critically important data to Logcat even after the apps have been released. This enables the Trojan to steal even more confidential data from other programs,” said the security researcher.
The malware is capable of stealing emails from Good for Enterprise, a secure email client for corporate use, the researcher added. Data theft in this situation could lead to serious issues for the company where the device owner works.
“In order to attack Good for Enterprise, the Trojan uses the console to get the ID of the relevant process (ps command) and reads virtual file /proc//maps. The file contains information about memory blocks allocated to the application,” said Kivva in a blog post.
The techniques used by Gomal were originally implemented in Windows Trojans, but have now progressed to Android malware.

ID: IRCNE2014102347
Date: 2014-10-20

According to “ESecurityPlanet”, Unidentified hackers recently posted several hundred email address and password combinations for Dropbox accounts on Pastebin, claiming that a total of 6,931,081 accounts had been hacked and asking for Bitcoin donations.
"As more BTC is donated, more Pastebin pastes will appear," the hackers wrote.
In response, Dropbox security engineer Anton Mityagin stated in a blog post that Dropbox had not been hacked, and that any matching credentials were the result of password reuse, not a breach.
"Your stuff is safe," Mityagin wrote. "The usernames and passwords ... were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the Internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens."
In a statement provided to The Next Web, the company added, "We'd previously detected these attacks and the vast majority of passwords posted have been expired for some time now."
"Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services," Mityagin explained. "For an added layer of security, we always recommend enabling two step verification on your account."
Still, it may be difficult to do so in the short term -- several people posted comments on the Dropbox blog complaining that the two-step verification process wasn't working. "Dropbox says to enable 2-step auth... and it doesn't work," Josh S wrote. "Been trying it for 3 hours now. Never get the code."
In a similar breach last month, a hacker published login credentials for 4,929,090 Gmail accounts. In response, Google claimed that the leak was not the result of a Gmail breach.
"Often, these credentials are obtained through a combination of other sources," Google explained at the time. "For instance, if you reuse the same username and password across websites, and one of those websites gets hacked, your credentials could be used to log into the others."

شماره: IRCNE2014102346
تاريخ: 27/7/93

يك تكنولوژي جديد از اينتل، داده‌هاي در حال انتقال در دستگاه‌هاي كارت خوان را در برابر نرم‌افزارهاي خرابكاري كه بر روي اين دستگاه‌ها اجرا مي‌شوند محافظت مي‌كند.
فروشگاه‌هايي كه از ترمينال‌هاي كارت خوان استفاده مي‌كنند، از طريق بدافزارهايي كه بر روي اين دستگاه‌ها اجرا مي‌شوند در معرض خطر نشت داده‌ها قرار دارند. چنين ترمينال‌هايي معمولاً سيستم‌هاي ويندوز با سخت افزار خاصي هستند كه نرم‌افزار كارت خوان بر روي آن اجرا مي‌شود.
Data Protection Technology for Transactions اينتل، از تكنولوژي بارگذاري پوياي برنامه (DAL) كه در هسته نسل دو و سه و برخي پردازشگرهاي Atom وجود دارد استفاده مي‌كند. DAL به يك محدوده اجرايي محافظت شده CPU دسترسي پيدا مي‌كند كه تمامي ارتباطات از و به اين محدوده، از طريق رمزنگاري محافظت مي‌شود.
اين تكنولوژي جديد حتي از ارتباطات هر دستگاه پرداخت ديگري كه به كارت خوان متصل شده باشد محافظت مي‌كند. در نتيجه، نرم افزار كارت خوان كه در محيطهاي معمول ويندوز اجرا مي‌شود و همچنين بدافزاري كه بر روي كارت خوان مستقر است، هرگز داده‌هاي حساس را مشاهده نمي‌كنند. اينتل در توسعه Data Protection Technology for Transactions با NCR مشاركت داشته است كه در سال 2015 در اختيار فروشگاه‌ها قرار خواهد گرفت.
به طور خاص هنگامي كه اين روش جديد با ساير تكنولوژي‌هاي دفاعي مانند ليست سفيد نرم افزاري تركيب مي‌گردد، بسياري از تكنيك‌هاي حملات كه اخيراً مورد استفاده قرار گرفته‌اند را مسدود مي‌سازد.
اينتل در مورد اين تكنولوژي مي‌گويد كه تمامي اشكال جديد پرداخت شامل كارت خوان‌هاي EMV، نوارمغناطيسي و NFC را پشتيباني مي‌كند.

شماره: IRCNE2014102345
تاريخ: 27/7/93

گروه امنيتي Drupal گزارش داده است كه نسخه‌هايي از Drupal 7 تا پيش از 7.32 در برابر يك نقص امنيتي تزريق SQL بسيار حياتي آسيب‌پذير هستند. نسخه 7.32 اكنون براي پوشش دادن اين نقص امنيتي در دسترس قرار گرفته است و گروه Drupal به شكل جدي توصيه كرده است كه مديران Drupal 7 سايت‌هاي خود را فوراً به‌روز رساني نمايند. Drupal يك سيستم مديريت محتواي مشهور است كه رايگان و متن باز است.
يك فرد مهاجم مي‌تواند از اين آسيب‌پذيري براي دستيابي به حق دسترسي بالاتر يا اجراي كد PHP دلخواه سوء استفاده كند. همچنين گفته مي‌شود كه حملات نامشخص ديگري نيز با استفاده از اين آسيب‌پذيري ممكن مي‌شوند. در هنگام افشاي اين آسيب‌پذيري هيچ سوء استفاده‌اي از آن شناسايي نشده است. چنين حمله‌اي مي‌تواند توسط يك كاربر ناشناس صورت پذيرد كه اين بدان معني است كه هيچ مهندسي اجتماعي يا كار ديگري براي آن مورد نياز نيست.
گروه Drupal توصيه كرده است كه سايت‌ها آخرين نسخه اين سيستم را نصب نمايند، ولي يك اصلاحيه نيز براي كساني كه ترجيح مي‌دهند همچنان از نسخه فعلي خود استفاده كنند عرضه كرده است.
اين آسيب‌پذيري در API انتزاعي پايگاه داده وجود دارد، كه يكي از اهداف آن امن سازي درخواست‌هاي پايگاه داده عليه چنين حملاتي است.
آسيب‌پذيري مذكور توسط يك شركت آلماني امنيت PHP به نام سكشن انيس كشف شده است كه توسط يك مشتري ناشناس براي بررسي و مميزي Drupal به كار گرفته شده بود.
اين نقص امنيتي با شناسه CVE-2014-3704 شناخته مي‌شود.

شماره: IRCNE2014102344
تاريخ: 26/07/93

يك آسيب پذيري در استاندارد رمزگذاري وب SSL نسخه 3.0 توسط محققان امنيتي شركت گوگل كشف شده است كه اين پروتكل براي استفاده به صورت ناامني ارائه مي شود.
اين نقص Poodle نامگذاري شده است و مي تواند براي اجراي حملات MitM آنلاين مورد سوء استفاده قرار بگيرد.
شركت گوگل در پستي توضيح داد كه SSL نسخه 3.0 يك پروتكل 15 ساله است اما بسياري از برنامه ها از اين استاندارد استفاده مي كنند. تقريبا تمامي مرورگرها از اين پروتكل استفاده مي كنند.
در راهنمايي امنيتي آمده است كه عليرغم وجود پروتكل هاي جديدتر مانند TLS 1.0، TLS 1.1و TLS 1.2 اما پروتكل SSL 3.0 به طور گسترده استفاده مي شود.
اگر پروتكل SSL 3.0 بر روي وب سايت ها و در مرورگرهاي وب استفاده مي شود، اين مساله ميي تواند به طور بالقوه براي بسياري از كاربران ايجاد مشكل كند و هكرها راحت تر مي توانند اطلاعات حساس را به دست آورند.
در تنظيمات وب، اين ضعف SSL 3.0 مي تواند توسط يك هكر MitM براي رمزگشايي كوكي هاي امن HTTP مورد سوء استفاده قرار بگيرد.
براي اجتناب از اينگونه حملات، شركت گوگل توصيه مي كند كه كاربران استفاده از پروتكل SSL 3.0 را متوقف نمايند اگرچه گوگل پذيرفته است كه اين راه حل براي عملياتي كه نياز به اجراي سيستم هاي وراثتي دارد مناسب نيست.