ID: IRCNE2013081912
Date:2013-08-03

According to “ZDNet”, three Georgia Tech hackers have revealed how to hack iPhones and iPads with malware imitating ordinary apps in under sixty seconds using a "malicious charger."
Today at a Black Hat USA 2013 press conference, the researchers revealed for the first time exactly how the USB charger they built can compromise iOS devices in less than a minute.
Billy Lau, Yeongjin Jang and Chengyu Song showed how they made an ordinary looking charger into a malicious vector for transmitting malware using an open source BeagleBoard, available for $125 (similar to a Raspberry Pi).
For the demonstration, the researchers used an iPhone. They plugged in the phone, and when the passcode was entered, the sign-code attack began.
For the demo, the Facebook app was used as an example.
Within seconds of plugging in the charger, the Facebook app was invisibly removed from the device and seamlessly replaced with a Facebook app imitation with a malicious payload.
The app's icon was in the exact same spot as it was before the attack - there is no way of knowing the application is not malware.
The researchers said that all the user needs to do to start the attack is enter their passcode - they pointed out that this is a pattern of ordinary use, such as to check a message while the phone is charging.
Once the app was launched, the malware was launched and the phone was compromised - and could do things such as take screenshots when other passwords are entered, send a spoofed screen, and more.
In this manner, depending on what payload the attacker has put on the fake app, sensitive data could be accessed and compromised in a variety of ways.
The attack works on physical weaknesses, and operates on all versions of iOS, stock (up to the beta developer version of 7, which is the only version that Apple has patched).
No root permission is accessed for the attack.The targeted iOS device does not need to be jailbroken in order for the attack to be successful. It only needs to be plugged in to the innocuous seeming, but poisoned, iOS charger.
The researchers disclosed the attack and vulnerability to Apple, but it appears that Apple hasn’t addressed or fixed the issue for versions prior to 7 (beta, developer release) - the hackers had previously stated they refused to reveal details until their Black Hat presentation.

شماره: IRCNE2013081912
تاريخ: 12/05/92

سه هكر Georgia Tech نشان دادند كه چگونه مي‌توان آيفون‌ها و آيپدها را با استفاده از بدافزارهايي كه از برنامه‌هاي معمولي تقليد مي‌كنند در كمتر از 60 ثانيه و با استفاده از يك شارژر خرابكار هك كرد.
اين محققان در كنفرانس Black Hat براي نخستين بار افشا كردند كه چگونه شارژر USB كه ساخته‌اند مي‌تواند در كمتر از يك دقيقه دستگاه‌هاي iOS را مورد سوء استفاده قرار دهد.
اين سه محقق نشان دادند كه چگونه با استفاده از ابزار متن‌باز BeagleBoard، يك شارژر به ظاهر معمولي را به برداري خرابكار براي انتقال بدافزار تبديل كرده‌اند.
اين محققان براي نمايش ادعاي خود از يك آيفون استفاده كردند. آنها اين تلفن هوشمند را به شارژر متصل كردند و زماني كه كد عبور وارد شد، حمله آغاز شد.
براي اين نمايش از برنامه فيس‌بوك به عنوان مثال استفاده شد.
در ظرف چند ثانيه پس از اتصال گوشي به شارژر، برنامه فيس‌بوك از روي گوشي حذف شد و بي‌درنگ با يك برنامه فيس‌بوك تقلبي با يك كد خرابكار جايگزين گشت.
آيكون اين برنامه با آنچه كه پيش از حمله بود هيچ تفاوتي نداشت و هيچ راهي براي شناسايي اين برنامه به عنوان بدافزار وجود ندارد.
به گفته اين محققين، تمام كاري كه لازم است كاربر براي آغاز حمله انجام دهد اين است كه كد عبور خود را وارد نمايد كه الگوي استفاده معمول از گوشي هوشمند است.
زماني كه برنامه اجراي مي‌شود، بدافزار نيز آغاز به كار مي‌كند و گوشي مورد سوء استفاده قرار مي‌گيرد و كارهايي از قبيل تهيه تصوير از صفحه نمايش در هنگام وارد كردن كلمات عبور و غيره را انجام مي‌دهد.
در اين حالت، بسته به كد مخربي كه مهاجم بر روي برنامه جعلي قرار داده است، داده‌هاي حساس مي‌تواند به روش‌هاي مختلفي مورد دسترسي و سوء استفاده قرار گيرد.
اين حمله مبتني بر ضعف‌هاي فيزيكي بوده و بر روي تمامي نسخه‌هاي iOS كار مي‌كند.
براي اين حمله نيازي به مجوز root نيست. نيازي نيست كه قفل دستگاه‌هاي iOS‌ براي موفقيت اين حمله شكسته شود. فقط كافي است كه دستگاه iOS هدف، به شارژر خرابكار به ظاهر بي‌گناه متصل گردد.
اين محققان در مورد اين آسيب‌پذيري به اپل اطلاع داده‌اند. اما به نظر مي‌رسد كه اپل اين مسأله را براي نسخه‌‌هاي پيش از 7 (نسخه بتا مخصوص توسعه دهندگان) ترميم نكرده است و تمامي نسخه‌هاي پيش از 7 آسيب‌پذير هستند. اين محققان پيش از اين از افشاي جزئيات اين مسأله خودداري كرده بودند.

شماره: IRCNE2013081911
تاريخ: 12/05/92

به گفته يك گروه از محققان امنيتي، مكانيزم راه‌اندازي امن در ويندوز 8 در رايانه‌هاي برخي از توليد كنندگان مي‌تواند دور زده شود، چراكه اشتباهاتي در نحوه پياده‌سازي UEFI در اين توليد كنندگان وجود دارد.
سه محقق امنيتي روز چهارشنبه در كنفرانس Black Hat در لاس وگاس، دو حمله را به نمايش گذاشتند كه براي نصب يك بوت‌كيت بر روي سيستم‌هاي تحت تأثير، راه‌اندازي امن را دور مي‌زند.
راه‌اندازي امن يك ويژگي UEFI است كه صرفاً به آن دسته از اجزاي نرم‌افزار كه داراي امضاهاي ديجيتالي مورد اعتماد هستند اجازه مي‌دهد كه در طول بازه زماني راه‌اندازي بارگذاري گردند. اين ويژگي به طور خاص براي جلوگيري از سوء استفاده بدافزارهايي مانند بوت‌كيت‌ها از فرآيند راه‌اندازي طراحي شده است.
به گفته اين محققان، اين سوء استفاده نه به علت آسيب‌پذيري‌هاي راه‌‌اندازي امن، بلكه به دليل خطاهاي پياده‌سازي توسط توليد كنندگان پلتفورم ممكن مي‌گردد.
به گفته يكي از اين محققين كه در مك‌آفي كار مي‌كند، نخستين كد سوء استفاده كننده به اين علت كار مي‌كند كه توليد كنندگان به طور مناسب از سفت‌افزار خود محافظت نكرده و به مهاجم اجازه مي‌دهند كد مسئول راه‌اندازي امن را تغيير دهند.
اين كد سوء استفاده كننده طوري طراحي شده است كه كليد پلتفورم را تغيير دهد (كليد اصلي در هسته بررسي كننده تمامي امضاهاي راه‌اندازي امن)، ولي براي اينكه اين كد كار كند بايد در مود هسته (kernel) يعني بيشترين حق دسترسي سيستم عامل اجرا گردد.
اين مسأله به نحوي حمله را محدود مي‌كند، چراكه مهاجم راه دور بايد ابتدا راهي براي اجراي كد در مود هسته در سيستم‌‌‌‌‌‌ هدف بيابد.
اين محققان كد سوء استفاده كننده مود هسته خود را بر روي يك لپ‌تاپ Asus VivoBook Q200E نمايش دادند، ولي برخي مادربردهاي رايانه‌هاي دسكتاپ ايسوس نيز تحت تأثير اين مشكل قرار دارند.
به گفته يكي از اين محققين، ايسوس به‌روز رساني‌هايي براي برخي مادربردهاي خود ارائه داده است كه لپ‌تاپ VivoBook را شامل نمي‌شود و ممكن است مدل‌هاي VivoBook آسيب‌پذير باشند.
ايسوس در اين مورد توضيحي نداده است.
كد سوء استفاده كننده دوم كه توسط اين محققين نمايش داده شد مي‌تواند در مود كاربر اجرا گردد، اين بدان معناست كه كافي است مهاجم با سوء استفاده از يك آسيب‌پذيري در برنامه معمولي مانند جاوا، ادوب فلش، مايكروسافت آفيس و يا برنامه‌هاي ديگر، به حق اجراي كد دست يابد.
اين محققان از افشاي جزئيات فني اين كد سوء استفاده يا معرفي توليد كنندگاني كه محصولات آنها آسيب‌پذير است خودداري كردند، چراكه آسيب‌پذيري هدف اخيراً كشف شده است.
به گفته يكي از اين محققين، مسأله كد سوء استفاده مود هسته، بيش از يك سال قبل كشف شده و به اطلاع توليد كنندگان رسانده شده است و پس از گذشت اين مدت زمان، اطلاع رساني عمومي آن لازم است.

شماره: IRCNE2013071910
تاريخ: 09/05/91

شركت امنيتي Trend Micro دو افزونه خرابكار مرورگر كشف كرده است كه حساب‌هاي كاربري توئيتر، فيس‌بوك و گوگل پلاس را سرقت مي‌كنند.
مهاجمان لينك‌هايي را به اين سايت‌هاي شبكه‌هاي اجتماعي در اين افزونه‌ها تعبيه كرده‌اند كه درصورتي‌كه بر روي آنها كليك شود، از كاربر مي‌خواهند كه يك به‌روز رساني video player را نصب نمايند. اين يك روش معمول هكرها براي به دام انداختن كاربران و نصب نرم‌افزارهاي خرابكار است.
اين به‌روز رساني جعلي video player كاربر را با اشاره به ويدئويي در مورد يك زن جوان كه خودكشي مي‌كند، فريب مي‌دهد.
اين به‌روز رساني حاوي يك امضاي رمزنگاري است كه براي صحت سنجي اين موضوع كه اين برنامه توسط يك توسعه دهنده معتبر توليد شده و دستكاري نشده است، به كار مي‌رود.
هنوز مشخص نيست كه اين امضا به طور جعلي ايجاد شده است يا اينكه كليد امضاي يك سازمان معتبر نشت يافته و براي اين مقصود مورد استفاده قرار گرفته است.
هكرها اغلب سعي مي‌كنند گواهي‌هاي ديجيتالي معتبر را از توسعه دهندگان معتبر سرقت كنند تا بدافزار توليد شده توسط آنها كمتر مشكوك به نظر برسد.
درصورت اجراي اين به‌روز رساني، اين بدافزار يك افزونه جعلي فايرفاكس يا كروم را نصب مي‌نمايد.
پلاگين‌هاي خرابكار سعي مي‌كنند با استفاده از نام‌هاي Chrome Service Pack 5.0.0 و Mozilla Service Pack 5.0، معتبر به نظر برسند. يك افزونه جعلي ديگر با نام F-Secure Security Pack 6.1.0 نيز سعي مي‌كند وانمود كند كه متعلق به شركت فنلاندي F-Secure است.
اين پلاگين‌ها به وب‌سايت ديگري متصل شده و يك فايل پيكربندي را دانلود مي‌كنند كه به آنها اجازه مي‌دهد اطلاعات ورود حساب‌هاي شبكه اجتماعي فيس‌بوك، گوگل پلاس و توئيتر را سرقت كنند.

شماره: IRCNE2013071909
تاريخ: 09/05/91

به گزارش شركت امنيتي سايمانتك، يك جريان ثابت از برنامه‌هاي مشكل‌دار روزانه وارد فروشگاه Google Play براي دستگاه‌هاي اندرويد مي‌شوند.
سايمانتك در طول 7 ماه گذشته بيش از 1200 برنامه مشكوك در فروشگاه Play كشف كرده است. گوگل بسياري از اين برنامه‌ها را بلافاصله پس از انتشار حذف مي‌كند، اما برخي از آنها نيز چند روز در اين فروشگاه باقي مي‌مانند.
به گفته سايمانتك، اگرچه اين برنامه‌ها طول عمر كوتاهي دارند، ولي بايد سود هنگفتي را براي توليد كنندگان به همراه داشته باشند، چرا كه اين افراد در توليد برنامه‌هاي جديد هيچ توقفي ايجاد نمي‌كنند.
به گزارش سايمانتك، يكي از اين برنامه‌ها سعي مي‌كند كاربران را ترغيب كند كه در يك سايت ويدئوي آنلاين با هزينه سالانه بيش از 3000 دلار ثبت نام كنند.
اين وب‌سايت از كاربر مي‌خواهد براي مشاهده ويدئو ثبت نام نمايد. يك فرم ايميل به كاربر نمايش داده شده و از وي خواسته مي‌شود دكمه «ارسال» را فشار دهد. اين ايميل كه براي كاربر ارسال مي‌گردد، حاوي لينكي به يك سرويس ديگر در يك وب‌سايت ديگر است.
اين بار از كاربر خواسته مي‌شود كه كلمه عبوري را وارد نمايد. درصورت كليك بر روي اين دكمه، يك كلمه عبور در طي يك تماس تلفني به كاربر داده مي‌شود. در اين مرحله كاربر جزئيات ثبت نام را دريافت كرده و در مورد هزينه سالانه 3200 دلار مطلع مي‌گردد.
اپل به دقت برنامه‌هاي ثبت شده براي فروشگاه App Store خود را بررسي مي‌كند كه اين كار باعث شده است اين فروشگاه تقريباً عاري از بدافزار باشد. گوگل نيز برنامه‌هاي فروشگاه Play را اسكن مي‌كند. همچنين گوگل يك ويژگي به اندرويد 4.3 اضافه كرده است كه هر برنامه‌اي را در مورد كد خرابكار بررسي مي‌كند.

ID: IRCNE2013071910
Date: 2013-07-31

According to “TechWorld”, Trend Micro has found two malicious browser extensions that hijack Twitter, Facebook and Google+ accounts.
The attackers plant links on social media sites that, if clicked, implore users to install a video player update. It is a common method hackers use to bait people into downloading malicious software.
The bogus video player update lures people in a macabre manner: it says it leads to a video of a young woman committing suicide, according to Trend's description.
The video player update carries a cryptographic signature that is used to verify that an application came from a certain developer and has not been modified, wrote Don Ladores, a threat response engineer, with Trend.
"It is not yet clear if this signature was fraudulently issued, or a valid organization had their signing key compromised and used for this type of purpose," he wrote.
Hackers often try to steal legitimate digital certificates from other developers in an attempt to make their malware look less suspicious.
If the video update is executed, the malware then installs a bogus Firefox or Chrome extension depending on which browser the victim uses.
The malicious plugins try to appear legitimate, bearing the names Chrome Service Pack 5.0.0 and the Mozilla Service Pack 5.0. Ladores wrote that Google now blocks the extension that uses its name. Another variation of the extension claims it is the F-Secure Security Pack 6.1.0, a fake product from the Finnish security vendor.
The plugins connect to another website and download a configuration file, which allow them to steal the login credentials from a victim's social networking accounts such as Facebook, Google+, and Twitter.

ID: IRCNE2013071909
Date: 2013-07-31

According to “ComputerWorldUK”, a steady stream of questionable applications is flowing daily into Google's Play store for Android devices, according to security vendor Symantec.
Over the last seven months, Symantec found more than 1,200 suspicious applications in the Play store. Google removes many shortly after they're published, but others stay in the store for a few days.
"Although they have short lives, the apps must provide ample profit for the scammers as they show no signs of halting their development of new ones," wrote Joji Hamada of Symantec.
The applications can be difficult to assess and employ a series of maneuvers and layers in order to attempt to rip off users.
Hamada wrote one application aims to get users to subscribe to an online adult video site at a cost of more than US$3,000 a year. The application's sole purpose is to launch a link to an adult website.
The website then asks the user to register in order to play videos. An email form is drafted, and the user is asked to hit send. The email, sent to the user, contains a link to another service on a different website.
This time, the user is prompted to enter a password. If that button is clicked, the phone is supplied with a number. When called, the number gives out a password. The person is then given registration details and told of a ¥315,000 ($3,200) annual fee that is due within three days.
Apple closely examines applications submitted for its App Store, which has kept its marketplace relatively free of malware. Google also scans applications in the Play store. It also added a feature to the latest 4.3 version of the Android OS that scans any application for malicious code.

شماره: IRCNE2013071908
تاريخ:02/05/92

روز يكشنبه شركت اپل اظهار داشت كه وب سايت توسعه دهنده اين شركت كه از روز پنجشنبه آفلاين است، هك شده است. اين شركت تاييد كرد كه برخي از اطلاعات نيز به سرقت رفته است.
شركت اپل در يك پست الكترونيكي كه براي برنامه نويسان فرستاد، گفت: روز پنج شنبه مهاجمان وب سايت را از كار انداختند. اين وب سايت از روز پنج شنبه به صورت آفلاين بوده و تا صبح دوشنبه نيز غيرقابل دسترس بوده است. مهاجمان اطلاعات شخصي برنامه نويسان عضو اين وب سايت را رمزگذاري كرده اند و در نتيجه دسترسي به اين اطلاعات امكان پذير نبوده است.
شركت Cupertino اظهار داشت كه بايد سايت، تعميرات اساسي شود و بايد نرم افزار سرور به روز رساني شده و پايگاه داده توسعه دهندگان دوباره ايجاد شود تا بتوان در آينده از بروز چنين تهديدات امنيتي جلوگيري نمود.
پرتال اپل به برنامه نويسان اجازه مي دهد تا به نرم افزارها، ابزارها و اسناد منتشر شده دسترسي يابند و شامل انجمني است كه برنامه نويسان مي توانند اطلاعات و راهنمايي هاي خود را مبادله كنند.
اين حمله بسياري از كاربران و متخصصان را نگران كرده است كه آيا گواهينامه هاي ديجيتالي كه اپل براي برنامه نويسان منتشر كرده است تا برنامه هاي كاربردي خود را با آن امضاء نمايند، به سرقت رفته است يا خير. زيرا در صورت به سرقت رفتن اين گواهينامه ها راهي براي هكرها باز مي شود تا با استفاده از جعل هويت نرم افزارهاي اپل، بدافزارهاي خود را منتشر نمايند.
پس از اين حمله نام شركت اپل در فهرست بلند شركت هاي فناوري كه شبكه آن ها نقض شده است و اطلاعات مشتريان آن ها توسط هكرها به سرقت رفته است، قرار گرفت.

ID: IRCNE2013071908
Date: 2013-07-24

According to "computerworld", Apple on Sunday admitted that its developer website, which has been offline since Thursday, had been hacked. Some information may have been stolen, the company acknowledged.
In an email to developers, Apple said that intruders had broken into the site -- which is restricted to registered iOS and OS X developers -- last Thursday. Apple posted a similar message on the website.
All but the home page of the site has been offline since Thursday, and remained inaccessible Monday morning.
"An intruder attempted to secure personal information of our registered developers from our developer website," the email and on-site message read. "Sensitive personal information was encrypted and cannot be accessed, however, we have not been able to rule out the possibility that some developers' names, mailing addresses, and/or email addresses may have been accessed."
The Cupertino, Calif. company told developers that it was "completely overhauling" the site in response, and that it was updating the server software and rebuilding the developer database "to prevent a security threat like this from happening again."
Apple's portal lets developers access pre-release software, tools and documentation, and includes developer-only forums where they can exchange information and tips.
Others have wondered whether digital certificates -- Apple issues them to developers to sign their apps -- may have been compromised, opening the window to hackers impersonating Apple or third-party software with malware of their own.
With the attack, Apple joins the long list of technology companies whose networks have been breached and customer information stolen by attackers, including Sony in 2011, Dropbox last year and Twitter in 2013.

شماره: IRCNE2013071907
تاريخ:30/04/92

محققان امنيتي از شركت لهستاني Security Explorations ادعا مي كنند كه آسيب پذيري جديدي را در جاوا 7 شناسايي كرده اند . اين آسيب پذيري مي تواند به مهاجمان اجازه دهد تا sanbox امنيتي نرم افزار را دور زنند و كد دلخواه را در سيستم اجرا نمايند.
Adam Gowdiak مدير عامل شركت Security Explorations گفت: اين آسيب پذيري روز پنج شنبه همراه با كد سوء استفاده براي اثبات اين ادعا به شركت اوراكل گزارش شده است.
با توجه به گفته هاي Gowdiak، اين آسيب پذيري در Reflection API قرار دارد. Reflection API ويژگي است كه پس از معرفي آن در جاوا 7 منبع بسياري از آسيب پذيري هاي جاوا بوده است. شركت امنيتي Security Explorations تاييد مي كند كه كد سوء استفاده اين آسيب پذيري، جاوا SE 7 به روز رساني 25 و نسخه هاي پيش از آن را تحت تاثير قرار مي دهد.
مساله جديد شناسايي شده توسط شركت Security Explorationsمي تواند به هكرها اجازه دهد تا حمله "classic" را پياده سازي نمايند. اين حمله 10 سال پيش شناسايي شده است.
محققان براين باورند كه اين آسيب پذيري مي تواند به مهاجمان اجازه دهد تا اساس ويژگي امنيتي جاوا VM تحت تاثير قرار گيرد.
اواخر ماه مي، Nandini Ramani مدير واحد مهندسي اوراكل براي Java Client و Mobile Platformsمتعهد شد كه امنيت جاوا را تقويت خواهند كرد. او گفت: گروه توسعه دهنده جاوا استفاده از ابزارهاي تست امنيت خودكار را گسترش داده اند تا بتوانند به طور منظم بخش وسيعي از كدهاي پلت فرم جاوا را مورد بررسي قرار دهند.
Gowdiak گفت: ابزارهاي تجزيه و تحليل پيچيده نبايد رخنه هاي ساده Reflection API را از دست بدهد.