Connect with us

Sicurezza Informatica

A rischio 100 milioni di password degli ultimi modelli top di gamma firmati Samsung

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un gruppo di accademici dell’Università di Tel Aviv ha rivelato i dettagli di un difetto di progettazione “grave” che colpisce circa 100 milioni di smartphone Samsung basati su Android e che potrebbe aver portato all’estrazione di chiavi crittografiche segrete.

I difetti sono il risultato di un’analisi del design crittografico e dell’implementazione del Keystore supportato dall’hardware di Android nei dispositivi di punta Galaxy S8, S9, S10, S20 e S21 di Samsung, hanno detto i ricercatori Alon Shakevsky, Eyal Ronen e Avishai Wool.

I Trusted Execution Environments (TEE) sono una zona sicura che fornisce un ambiente isolato per l’esecuzione di applicazioni fidate (TA) per svolgere compiti critici di sicurezza per garantire la riservatezza e l’integrità.

Su Android, il Keystore supportato dall’hardware è un sistema che facilita la creazione e la memorizzazione delle chiavi crittografiche all’interno del TEE, rendendone più difficile l’estrazione dal dispositivo in modo da impedire al sistema operativo sottostante di avere accesso diretto.

Invece, l’Android Keystore espone API sotto forma di Keymaster TA (applicazione fidata) per eseguire operazioni crittografiche all’interno di questo ambiente, tra cui la generazione di chiavi sicure, la memorizzazione e il loro utilizzo per la firma digitale e la crittografia. Sui dispositivi mobili Samsung, il Keymaster TA gira in un TEE basato su ARM TrustZone.

Tuttavia, le falle di sicurezza scoperte nell’implementazione di Samsung significano che potrebbero fornire ad un avversario con privilegi di root un percorso praticabile per recuperare le chiavi private protette da hardware dall’elemento sicuro.

L’elenco dei problemi identificati è il seguente:

  • Riutilizzo del vettore di inizializzazione (IV) in Keymaster TA (CVE-2021-25444) – Una vulnerabilità di riutilizzo IV in Keymaster prima di SMR AUG-2021 Release 1 consente la decrittazione di keyblob personalizzati con processo privilegiato. (Impatti Galaxy S9, J3 Top, J7 Top, J7 Duo, TabS4, Tab-A-S-Lite, A6 Plus e A9S)
  • Attacco downgrade in Keymaster TA (CVE-2021-25490) – Un attacco keyblob downgrade in Keymaster prima di SMR Oct-2021 Release 1 permette a [un] attaccante di attivare la vulnerabilità di riutilizzo IV con processo privilegiato. (Impatti Galaxy S10, S20 e S21)

In poche parole, uno sfruttamento riuscito delle falle contro il Keymaster TA potrebbe ottenere un accesso non autorizzato alle chiavi protette dall’hardware e ai dati protetti dal TEE. Le implicazioni di un tale attacco potrebbero andare da un bypass di autenticazione ad attacchi avanzati che possono rompere le garanzie di sicurezza fondamentali offerte dai sistemi crittografici.

Dopo la divulgazione responsabile a maggio e luglio 2021, i problemi sono stati affrontati tramite aggiornamenti di sicurezza spediti in agosto e ottobre 2021 per i dispositivi interessati. I risultati dovrebbero essere presentati all’USENIX Security Symposium alla fine di agosto.

I fornitori tra cui Samsung e Qualcomm mantengono la segretezza intorno alla loro implementazione e progettazione di [sistemi operativi TrustZone] e Tas“, hanno detto i ricercatori. “I dettagli del design e dell’implementazione dovrebbero essere ben controllati e rivisti da ricercatori indipendenti e non dovrebbero basarsi sulla difficoltà di reverse engineering dei sistemi proprietari“.

Sicurezza Informatica

Due studenti scoprono un bug lavatrici per lavaggi gratuiti

Tempo di lettura: 2 minuti. Due studenti scoprono una vulnerabilità nelle lavatrici connesse a Internet che permette lavaggi gratuiti: problemi di sicurezza nell’IoT.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un bug di sicurezza potrebbe permettere a milioni di studenti universitari di fare lavaggi gratuitamente, grazie a una vulnerabilità scoperta in alcune lavatrici connesse a Internet. Due studenti dell’Università della California, Santa Cruz, Alexander Sherbrooke e Iakov Taranenko, hanno trovato una falla nell’API dell’app utilizzata per comandare queste macchine, che permette di utilizzarle senza pagamento e di aggiornare un account di lavanderia con milioni di dollari.

La scoperta e le implicazioni

Le lavatrici in questione appartengono a CSC ServiceWorks, una società che possiede più di un milione di macchine per il bucato e distributori automatici in servizio presso università, comunità multi-abitative, lavanderie a gettoni e altri luoghi negli Stati Uniti, in Canada e in Europa. La vulnerabilità scoperta dagli studenti consente di collegarsi a tutte le lavatrici connesse alla rete di CSC e di controllarle senza effettuare pagamenti.

Sherbrooke e Taranenko hanno tentato di informare CSC ServiceWorks della vulnerabilità tramite email e una telefonata a gennaio, ma non hanno ricevuto risposta. Nonostante ciò, la società ha “silenziosamente cancellato” i milioni di dollari falsi dai loro account dopo essere stata contattata dai due studenti.

Problemi di sicurezza nell’Internet delle Cose (IoT)

Questa scoperta mette in luce i problemi di sicurezza ancora irrisolti nell’Internet delle Cose (IoT). La vulnerabilità di CSC ServiceWorks è solo uno dei tanti esempi di pratiche di cybersecurity insufficienti che possono essere sfruttate da hacker o altre entità. Altri casi simili includono la possibilità per hacker o dipendenti delle aziende di visualizzare filmati delle videocamere di sicurezza di estranei o di accedere a prese intelligenti.

Spesso, i ricercatori di sicurezza individuano e segnalano queste falle prima che possano essere sfruttate nel mondo reale. Tuttavia, questo sforzo è vano se le aziende responsabili non rispondono adeguatamente alle segnalazioni. La mancanza di reazione da parte di CSC ServiceWorks è un chiaro esempio di questa problematica.

Prosegui la lettura

Sicurezza Informatica

LATRODECTUS: potenziale sostituto per ICEDID

Tempo di lettura: 2 minuti. LATRODECTUS, un nuovo malware loader simile a ICEDID, guadagna popolarità tra i cybercriminali per la sua efficienza. Scopri le sue caratteristiche e come proteggerti.

Pubblicato

in data

Tempo di lettura: 2 minuti.

LATRODECTUS, un nuovo malware loader, è stato scoperto dai ricercatori di Walmart nell’ottobre 2023. Questo malware ha guadagnato popolarità tra i cybercriminali grazie alla sua somiglianza con ICEDID. LATRODECTUS utilizza un comando che scarica ed esegue payload criptati, proprio come ICEDID, e ha una forte connessione con l’infrastruttura di rete utilizzata dagli operatori di ICEDID.

Introduzione al malware

LATRODECTUS è un malware loader che offre una gamma di capacità standard che i cybercriminali possono utilizzare per distribuire ulteriori payload e condurre varie attività dopo la compromissione iniziale. Il codice non è offuscato e contiene solo 11 handler di comando focalizzati su enumerazione ed esecuzione. Questo tipo di loader rappresenta una recente ondata osservata dal team di Elastic Security, dove il codice è più leggero e diretto con un numero limitato di handler.

Campagna LATRODECTUS

Dall’inizio di marzo 2024, Elastic Security Labs ha osservato un aumento delle campagne email che distribuiscono LATRODECTUS. Queste campagne tipicamente coinvolgono file JavaScript sovradimensionati che utilizzano la capacità di WMI di invocare msiexec.exe per installare un file MSI ospitato remotamente su una condivisione WEBDAV.

Analisi di LATRODECTUS

Il sample di LATRODECTUS viene inizialmente confezionato con informazioni che lo mascherano come componente del driver in modalità kernel di Bitdefender (TRUFOS.SYS). Per analizzare il malware, il sample deve essere scompattato manualmente o tramite un servizio di scompattamento automatico come UnpacMe.

Il malware utilizza una tecnica di auto-eliminazione per eliminarsi mentre il processo è ancora in esecuzione, utilizzando un flusso di dati alternativo. Questo ostacola i processi di risposta agli incidenti interferendo con la raccolta e l’analisi.

Comunicazione e funzionalità

LATRODECTUS cripta le sue richieste utilizzando base64 e RC4 con una password hardcoded di “12345”. La prima richiesta POST invia informazioni sulla vittima insieme ai dettagli di configurazione, registrando il sistema infetto. LATRODECTUS rappresenta una minaccia significativa, con nuove capacità che lo rendono un potenziale sostituto di ICEDID. Le organizzazioni devono essere vigili e adottare misure di sicurezza proattive per rilevare e rispondere a queste minacce.

Prosegui la lettura

Sicurezza Informatica

Ransomware gang mira Windows con malvertising di PuTTy e WinSCP

Tempo di lettura: 2 minuti. Un’operazione ransomware prende di mira gli amministratori Windows tramite annunci pubblicitari falsi di PuTTy e WinSCP

Pubblicato

in data

Gruppo ransomware mira Windows con malvertising di PuTTy e WinSCP
Tempo di lettura: 2 minuti.

Un’operazione ransomware sta prendendo di mira gli amministratori di sistema Windows utilizzando annunci pubblicitari falsi su Google per promuovere siti di download fasulli di PuTTy e WinSCP. Questi strumenti sono comunemente usati dagli amministratori per la gestione remota di server, rendendoli obiettivi preziosi per i criminali informatici che desiderano diffondersi rapidamente attraverso una rete, rubare dati e ottenere l’accesso ai controller di dominio per distribuire ransomware.

Dettagli della campagna

Un recente rapporto di Rapid7 ha rilevato una campagna pubblicitaria sui motori di ricerca che mostrava annunci per siti falsi di PuTTy e WinSCP quando gli utenti cercavano “download winscp” o “download putty” dimostratisi poi vettori di ransomware. Questi annunci utilizzavano nomi di dominio typo-squatting come puutty.org, wnscp.net e vvinscp.net per ingannare gli utenti.

I siti falsi includevano link di download che, quando cliccati, indirizzavano l’utente a siti legittimi o scaricavano un archivio ZIP contenente un eseguibile Setup.exe, che era una versione rinominata e legittima di pythonw.exe per Windows, e un file DLL dannoso python311.dll.

Meccanismo di attacco

Quando l’eseguibile pythonw.exe viene lanciato, tenta di caricare un file DLL legittimo. Tuttavia, i criminali informatici hanno sostituito questo DLL con una versione dannosa che viene caricata utilizzando la tecnica del DLL Sideloading. L’esecuzione di Setup.exe carica il DLL malevolo, che estrae ed esegue uno script Python criptato.

Questo script infine installa il toolkit post-sfruttamento Sliver, utilizzato per ottenere l’accesso iniziale alle reti aziendali. Rapid7 ha osservato che gli attaccanti utilizzano Sliver per distribuire ulteriori payload, inclusi beacon di Cobalt Strike, per esfiltrare dati e tentare di distribuire un encryptor ransomware.

Similarità con campagne precedenti

Rapid7 ha osservato somiglianze tra questa campagna e quelle viste in passato da Malwarebytes e Trend Micro, che distribuivano il ransomware BlackCat/ALPHV, ora dismesso. Gli annunci sui motori di ricerca sono diventati un problema significativo negli ultimi anni, con numerosi attori malevoli che li utilizzano per diffondere malware e siti di phishing.

Misure di sicurezza

Gli amministratori di sistema devono essere cauti e verificare sempre l’autenticità dei siti di download, evitando di cliccare su annunci pubblicitari non verificati. È fondamentale utilizzare fonti ufficiali per scaricare software e mantenere aggiornati gli strumenti di sicurezza per rilevare e prevenire tentativi di attacco.

Prosegui la lettura

Facebook

CYBERSECURITY

D-Link EXO AX4800 D-Link EXO AX4800
Sicurezza Informatica2 giorni fa

Vulnerabilità RCE zero-day nei router D-Link EXO AX4800

Tempo di lettura: 2 minuti. Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router...

SEC logo SEC logo
Sicurezza Informatica2 giorni fa

SEC: “notificare la violazione dei dati entro 30 giorni”

Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati...

Sicurezza Informatica3 giorni fa

Microsoft Azure: autenticazione multi-fattore (MFA) obbligatoria da luglio 2024

Tempo di lettura: 2 minuti. Microsoft inizierà a imporre l'autenticazione multi-fattore (MFA) per gli utenti di Azure a partire da...

Sicurezza Informatica3 giorni fa

USA arrestati sospetti dietro schema riciclaggio da 73 milioni

Tempo di lettura: 2 minuti. Gli Stati Uniti arrestano due sospetti accusati di guidare uno schema di riciclaggio di $73...

quick assist quick assist
Sicurezza Informatica4 giorni fa

Quick Assist di Microsoft sfruttato per ingegneria sociale

Tempo di lettura: 2 minuti. Storm-1811 sfrutta Quick Assist di Microsoft in attacchi ransomware tramite tecniche di ingegneria sociale. Scopri...

breachforums offline breachforums offline
Sicurezza Informatica5 giorni fa

BreachForums è offline e sotto il controllo dell’FBI

Tempo di lettura: 2 minuti. Il noto portale di annunci legati al crimine informatico dove si vendono i dati trafugati...

Cisco Talos Cisco Talos
Sicurezza Informatica6 giorni fa

Talos e CISA collaborano contro minacce Cyber a ONG e attivisti

Tempo di lettura: 2 minuti. Talos e CISA collaborano per proteggere le organizzazioni della società civile da minacce cyber, promuovendo...

Unit 42 Unit 42
Sicurezza Informatica7 giorni fa

DNS Tunneling: per tracciare vittime di Phishing

Tempo di lettura: 2 minuti. Gli hacker utilizzano il tunneling DNS per scandagliare le reti e tracciare le vittime, sfruttando...

Synlab Italia rivendicazione di Black Basta Synlab Italia rivendicazione di Black Basta
Sicurezza Informatica1 settimana fa

Black Basta Ransomware è diventato un problema mondiale

Tempo di lettura: 2 minuti. Black Basta Ransomware ha colpito più di 500 entità in vari settori, sottolineando la crescente...

cy4gaTE cy4gaTE
Economia1 settimana fa

Cy4Gate: accordo da un milione con Innovery

Tempo di lettura: 2 minuti. Cy4Gate rafforza la sua presenza nel mercato con una nuova partnership strategica con Innovery e...

Truffe recenti

Pharmapiuit.com Pharmapiuit.com
Inchieste2 giorni fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 giorni fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste3 giorni fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica2 settimane fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica2 settimane fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online1 mese fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

OSINT2 mesi fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste3 mesi fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia4 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Sicurezza Informatica5 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Tech

Hdm Nokia Lumia Hdm Nokia Lumia
Smartphone14 minuti fa

HMD Global potrebbe lanciare una nuova versione del Nokia Lumia

Tempo di lettura: < 1 minuto. HMD Global sta per lanciare una nuova versione del Nokia Lumia con design classico...

Fwupd 1.9.20 Fwupd 1.9.20
Tech20 minuti fa

Fwupd 1.9.20: aggiunto supporto per i dispositivi di impronte digitali FPC FF2

Tempo di lettura: < 1 minuto. Fwupd 1.9.20 introduce il supporto per i dispositivi di impronte digitali FPC FF2, migliorando...

Vivo X Fold 3 Pro Vivo X Fold 3 Pro
Smartphone3 ore fa

Vivo X Fold 3 Pro: lancio in India anticipato su Flipkart

Tempo di lettura: 2 minuti. Il Vivo X Fold 3 Pro sarà lanciato in India con un design elegante, display...

Google AI Overviews Google AI Overviews
Intelligenza Artificiale3 ore fa

La ricerca AI di Google da fastidio? Disabilitare subito

Tempo di lettura: 2 minuti. Scopri come disabilitare la funzione AI Overviews di Google, che ha causato frustrazione tra gli...

Tech3 ore fa

iOS 18: l’Intelligenza Artificiale rivoluziona le notifiche

Tempo di lettura: 2 minuti. iOS 18 introduce notifiche intelligenti, miglioramenti a Siri e un chatbot AI di OpenAI, colmando...

Smartphone3 ore fa

iPhone 17 Slim: più sottile e costoso del Pro Max

Tempo di lettura: 2 minuti. L'iPhone 17 Slim sarà il più sottile e costoso della serie, superando il Pro Max....

Motorola Razr 50 Ultra Motorola Razr 50 Ultra
Smartphone3 ore fa

Galaxy Z Flip 6 e Moto RAZR 50 Ultra: confronto in anteprima

Tempo di lettura: 2 minuti. Il Moto RAZR 50 Ultra sfida il Galaxy Z Flip 6 con una fotocamera teleobiettivo...

Blackview HERO 10 Blackview HERO 10
Smartphone4 ore fa

Blackview HERO 10: fotocamera da 108MP e Dynamic Island Android

Tempo di lettura: 2 minuti. Blackview lancia il HERO 10, uno smartphone flip con doppio schermo, fotocamera da 108MP e...

HMD Pulse+ Business Edition HMD Pulse+ Business Edition
Smartphone4 ore fa

HMD Pulse+ Business Edition: è lui il telefono aziendale?

Tempo di lettura: 2 minuti. HMD lancia il Pulse+ Business Edition con sicurezza avanzata, auto-riparazione e supporto esteso : è...

Samsung Galaxy Watch 7 Ultra Samsung Galaxy Watch 7 Ultra
Tech5 ore fa

Samsung velocizza la ricarica wireless sul Galaxy Watch 7

Tempo di lettura: < 1 minuto. Galaxy Watch 7 di Samsung supporterà una ricarica wireless a 15W, migliorando del 50%...

Tendenza