Инциденты

Лазейка в Safari

В рамках работ по поиску разного рода вредоносного кода для MAC мы наткнулись на очень интересную особенность Safari. Оказалось, что Safari под MAC OS, как и многие другие современные браузеры, умеет восстанавливать прошлую рабочую сессию. То есть пользователь, открыв свой браузер, путём простейших манипуляций может восстановить все открытые им в прошлую рабочую сессию сайты и даже автоматически на них авторизоваться. Удобно? Бесспорно. Безопасно? Увы, нет.

Всё просто: для того чтобы браузер знал, на чем пользователь закончил прошлую сессию, эту информацию надо где-то сохранить. Очевидно, что это надо сделать в месте, которое не будет легко доступно кому угодно, и уж точно информация должна быть в зашифрованном виде.

Оказалось, что Safari хранит последние рабочие сессии в незашифрованном виде в обычном plist файле в свободном доступе. Соответственно, из них легко добыть учетные данные пользователей:

 
Скриншот plist файла после попытки логина в gmail

Даже невооруженным глазом видно, что логин и пароль не зашифрованы (на скрине выделены красным овалом).

В plist файле полностью сохраняется сессия авторизации на сайте в открытом виде, несмотря на https. Сам же файл располагается в скрытой папке, но доступной на чтение кому угодно.

Plist файл легко распаковывается самой системой. Он в структурированном виде хранит информацию о сохранённой сессии, в том числе http–запросы, шифрованные простейшим алгоритмом base64.

 
Распакованный plist файл

В Safari существует специальная функция, которая позволяет открыть сайты в том виде, в котором они оставались при завершении сессии – «Reopen All Windows from Last Session». Эта функция и использует LastSession.plist.

 
Функция «Reopen All Windows from Last Session» в Safari

Эта функция работает в следующих версиях MAC OS X и Safari:

  • OSX10.8.5 Safari, 6.0.5 (8536.30.1)
  • OSX10.7.5 Safari, 6.0.5 (7536.30.1)

Легко себе представить, что будет, если злоумышленник или вредоносная программа получит доступ к файлу LastSession.plist в системе, на которой пользователь логинится на сервисы Facebook, Twitter, Linkedin — или же на сайт своего банка.

Мы считаем, что хранение конфиденциальной информации в открытом виде с неограниченным доступом — это катастрофическая дыра в безопасности, позволяющая злоумышленникам беспрепятственно воровать пользовательские данные, затрачивая при этом минимум усилий.

Мы проинформировали компанию Apple о проблеме.

На данный момент мы не можем подтвердить или опровергнуть существование реального вредоносного кода, обращающегося к этому файлу. Но готовы биться об заклад, что такое ПО не заставит себя долго ждать.

В Safari 6.1 эта уязвимость была устранена.

Лазейка в Safari

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике