Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Análise de APPs relacionadas ao COVID19 usando Tacyt (I)Andrés Naranjo Amador Aparicio 31 agosto, 2020 Aproveitando toda a atenção monopolizada por esse assunto, os markets oficiais de aplicativos , Google Play e Apple Store, recebem uma enxurrada de aplicativos diariamente . Ambas as plataformas, especialmente o Android, já limitam a publicação e a pesquisa de termos como «covid» ou «coronavirus»: o Google declarou guerra àqueles que tentam tirar proveito do medo para obter downloads. Atualmente, apenas aqueles que pertencem a propriedades oficiais dos diferentes governos permanecem no Google Play. Para esta análise rápida, usaremos a ferramenta Tacyt da ElevenPaths, o ecossistema de inteligência cibernética móvel , onde sua estrutura de Big Data monitora, armazena, analisa, correlaciona milhares de novos aplicativos todos os dias e cujas informações podemos acessar para comparar ou comparar com base em consultas fáceis e simples. Uma das vantagens que a Tacyt nos oferece é que podemos ter todos os aplicativos acessíveis, independentemente da localização. Como o Google Play só pode oferecer resultados, dependendo do país de origem, de acordo com a disponibilidade que o desenvolvedor propôs. Da Espanha, vamos ao repositório oficial do Google Play e procuramos os aplicativos relacionados ao COVID19. Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total) No entanto, nada a ver com o número de aplicativos encontrados em qualquer market não oficial: Aplicativos encontrados no market alternativo APTOIDE apenas com o termo «coronavírus» Como em outros markets, o Aptoide, por exemplo, não baixa diretamente o aplicativo que solicitamos, mas o «downloader» através do qual o download real será solicitado. Isso pode ser facilmente intuído, verificando se o tamanho do arquivo é o mesmo: Downloads de aplicativos da APTOIDE De fato, verificamos facilmente no Tacyt ao fazer o upload desses aplicativos, ele os detecta como um, com o mesmo hash: E é que o Tacyt não apenas inclui seus próprios mecanismos de descoberta e download de aplicativos, mas também, usando a função de upload (via web ou API), o usuário pode enviar os aplicativos a serem analisados, que podemos ver rotulados como «userUpload” e também rotule-os com nossas próprias etiquetas de identificação (como na imagem, o autor do upload ou o mercado de onde foi baixado). Essa função de upload pode ser muito útil para detectar em markets não oficiais versões alteradas de nossos aplicativos legítimos , por exemplo, de um banco. O Tacyt inclui um botão para comparar aplicativos na interface. De qualquer forma, não perdemos a oportunidade de desencorajar totalmente a instalação de aplicativos de fontes não oficiais . Pesquise com Tacyt no Google Play por aplicativos relacionados ao COVID19 desde o início da Pandemia Vamos focar a investigação no Google Play . Os filtros são usados para formar a seguinte pesquisa no Tacyt. Como você pode ver, essas consultas compostas comuns (dorks) na pesquisa do Google, por exemplo, são fáceis de ler: ((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (origem: "GooglePlay") AND (createDate: "2020-03-14 00:00:00 - hoje") Dorking para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme Resposta de Tacyt com a pesquisa anterior: Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha Agora, estamos procurando no Tacyt aplicativos não oficiais relacionados ao COVID19 a partir da data oficial de início da pandemia . Para esta tarefa, podemos usar o parâmetro ORIGIN indicando a exclusão, por exemplo -origin: GooglePlay, ou seja, todos aqueles cuja origem não é oficial. ((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (-origin: GooglePlay) AND (createDate: "2020-03-14 00:00:00 - hoje") Aplicativos não oficiais publicados desde o início da pandemia Por exemplo, examinamos as permissões do aplicativo com o nome do pacote » coronavirus.tracker.news » e faremos uma análise rápida. As seguintes permissões são suspeitas: (apenas comentamos permissões diferentes das permissões «normais» de aplicativos oficiais que violam a privacidade ou a segurança) android.permission.CHANGE_WIFI_STATE : permite que o APP altere o status da conectividade Wi-Fi.android.permission.INTERNET : permite que o APP abra conexões de rede.android.permission.WRITE_EXTERNAL_STORAGE: permite que o aplicativo grave no armazenamento externo do dispositivo.android.permission.READ_EXTERNAL_STORAGE : permite que o APP leia o armazenamento externo do dispositivo.android.permission.WAKE_LOCK – Permite usar o PowerManager WakeLocks para impedir que o processador entre no modo de suspensão ou a tela fique escura. Para qualquer investigação, podemos carregar os aplicativos no Tacyt em lotes e depois pesquisá-los usando uma tag personalizada e localizando, por exemplo, como dissemos, permissões suspeitas: Da mesma forma, poderíamos ter procurado por indicações sobre a data de validade do certificado (às vezes com duração suspeita), apikeys , seqüências de texto ou e-mails associados a malware e um longo período de tempo … Veremos na próxima parte mais algumas informações sobre os resultados. O que os criminosos da indústria de ransomware recomendam para que você não seja afetado por ransomware?FaceApp e dados pessoais, já não falamos sobre isso?
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...