Hacker News Digest

Исследователи с помощью обычного спутникового оборудования провели наиболее полный анализ геостационарных спутниковых коммуникаций и обнаружили шокирующее количество незашифрованного трафика. Среди уязвимых данных оказались критическая инфраструктура, корпоративные и правительственные коммуникации, личные голосовые звонки и SMS, а также интернет-трафик из бортовых Wi-Fi и мобильных сетей. Доступ к этой информации возможен с помощью оборудования стоимостью всего несколько сотен долларов, а один транспондер может быть виден с территории, покрывающей до 40% поверхности Земли.

Уязвимости выявлены в различных секторах: от мобильной связи и военных систем до коммерческих сетей и критической инфраструктуры. Исследователи связались с ответственными сторонами, и некоторые из них, включая T-Mobile, WalMart и KPU, уже внедрили исправления. Эксперты рекомендуют организациям рассматривать спутниковые каналы как незащищенные и использовать шифрование на всех уровнях, а обычным пользователям — применять VPN и приложения с end-to-end шифрованием для защиты своих данных.

• Сигналы спутниковой связи не зашифрованы, что делает их уязвимыми к перехвату и анализу, но это не новость для специалистов и, похоже, не для компаний, которые продолжают использовать незашифрованные каналы связи.
• Исследование показывает, что даже сегодня множество спутниковых каналов связи остаются незашифрованными, что делает возможным перехват трафика с помощью доступного оборудования.
• Участники обсуждения отмечают, что отсутствие шифрования в спутниковых каналах связи является известным фактом, и что исследование не вносит новизны, но вместо этого лишь подтверждает известное.
• Некоторые комментаторы подчеркивают, что отсутствие шифрования может быть связано с тем, что компании не хотят внедрять шифрование из-за дополнительных затрат и сложностей, а также из-за того, что это может повлиять на производительность и удобство использования.
• Также обсуждается, что хотя технически возможно перехватывать и анализировать трафик, но это не обязательно означает, что это будет сделано, и что в конечном счете ответственность за обеспечение безопасности каналов связи лежит на плечах самих пользователей.

Приложение AppLovin устанавливает игры и другие приложения на устройства Android без согласия пользователей — просто при нажатии на рекламу. Разработчик разбирает код AppLovin и находит, что он использует JavaScript для создания iframe, который загружает APK-файлы, и партнерские сервисы, такие как Samsung и T-Mobile, затем устанавливают их. Пользователи сообщают о нежелательных установках, при этом один пользователь предоставляет видео, показывающее, как нажатие кнопки «Назад» в объявлении приводит к установке приложения.

AppLovin оправдывается тем, что пятисекундный таймер перед установкой дает пользователям возможность отменить, но пользователи утверждают, что даже в этом случае они не давали согласия на установку приложений, а лишь хотели отменить. В ответ на жалобы AppLovin удалила свою страницу справки, но код продолжает работать.

В более широком смысле AppLovin — это публичная компания, недавно привлекшая внимание после обвинений в том, что она скрывает рекламу для онлайн-казино и отправляет пользовательские данные в Китай.

• Пользователи обсуждают, как рекламная сеть AppLovin и подобные ей компании устанавливают приложения без явного согласия пользователя, включая установку в фоновом режиме после нажатия на рекламу.
• Обсуждается, что такие практики затрагивают не только Android, но и iOS, хотя в последнем случае возможности для этого более ограничены.
• Участники обсуждают, что такие действия возможны из-за слабого контроля за качеством приложений в Google Play и других факторов.
• Также обсуждается, что такие действия могут быть препятствованы с помощью антивирусных приложений, но что они не могут предотвратить установку приложений, которые устанавливаются с помощью OTA-обновлений от оператора.
• Участники также обсуждают, что такие действия могут быть препятствованы с помощью MDM-решений, но что эти решения в основном предназначены для корпоративных пользователей и не доступны для обычных потребителей.

Исследователи из Калифорнийского университета в Сан-Диего и Мэрилендского университета провели масштабное исследование уязвимостей спутниковой связи. Используя общедоступное оборудование, они просканировали 411 транспондеров на 39 геостационарных спутниках, обнаружив, что 50% каналов передают данные в открытом виде, без шифрования.

В перехваченном трафике обнаружилась крайне чувствительная информация: внутренняя переписка крупных корпораций, данные систем управления промышленной инфраструктурой (включая энергосети), местоположение военных активов, инвентаризация международных ритейлеров и даже голосовые звонки через сотовые сети. Это означает, что коммерческие и государственные организации, использующие спутниковую связь для критической инфраструктуры, подвергают данные значительному риску, поскольку полагаются на устаревшие или несуществующие протоколы шифрования на уровне канала.

Особенно тревожно, что часть уязвимых каналов относится к инфраструктуре жизнеобеспечения — энергосетям и трубопроводам. Исследователи подчеркивают, что даже единичный наблюдатель со стандартным оборудованием может получить доступ к этим данным, что подрывает безопасность на государственном и корпоративном уровнях. Работа принята к публикации на одной из ведущих мировых конференций по информационной безопасности.

• Существует множество примеров, когда спутниковые каналы передают незашифрованный трафик, включая SMS, голосовой трафик и интернет-трафик, что подвергает пользователей риску перехвата и анализа трафика.
• Проблема не ограничивается только спутниковыми каналами, но и распространяется на все формы передачи данных, включая кабельные и оптоволоконные линии, что подчеркивает необходимость всегда использовать шифрование и аутентификацию.
• Некоторые компании, такие как T-Mobile и AT&T, были замечены в передаче незашифрованного трафика, что подвергает их пользователей риску перехвата и анализа трафика.
• Вопрос о том, почему спутниковые каналы не используют шифрование по умолчанию, вызывает обеспокоенность, так как это может быть связано с ограничениями в политике, технических ограничениях и дополнительных затратах.
• В конечном счете, отсутствие шифрования в спутниковых каналах и других формах передачи данных подвергает пользователей риску перехвата и анализа трафика, что может привести к утечке конфиденциальной информации и другим негативным последствиям.

• Апелляционный суд 2-го округа оставил в силе штраф FCC в $46,9 млн против Verizon за продажу геоданных без согласия абонентов.
• Verizon, T-Mobile и AT&T оспаривали санкции в разных срубах: Verizon и T-Mobile проиграли, AT&T выиграл в 5-м округе; появился судебный раскол, дело может уйти в Верховный суд.
• Суд отверг доводы Verizon, что данные о местоположении не подпадают под закон о конфиденциальной информации клиента (CPNI) и что штраф нарушает право на суд присяжных.

• Verizon оспаривал штраф не из-за денег (40 млн — копейки против 9 млрд дохода за квартал), а чтобы протестировать, можно ли нарушать закон без последствий.
• Суд признал продажу геоданных без согласия незаконной, но штраф всё равно воспринимается как «цена вопроса»: компании уже заработали на сделке больше.
• Участники сходятся: пока сумма штрафа ≤ прибыли и никто не сядет, нарушения будут повторяться; требуют процент от выручки и уголовную ответственность.
• Опасения, что операторы просто спрячут согласие в 50-страничный договор или превратят отказ в дорогой тариф.
• Решение касается только голосовой «телеком-услуги», не распространяется на мобильные приложения, ОС и банки-продавцы транзакций.

• Китайская группа Salt Typhoon взломала почти всех американцев, заявил заместитель директора ФБР по киберпреступлениям Брайан Ворондран.
• Хакеры продержались в сетях операторов связи США до 9 месяцев, перехватывая звонки, SMS и данные.
• Взлом затронул миллионы абонентов Verizon, AT&T, T-Mobile и Lumen, включая правительственные линии.
• Потери трудно оценить: злоумышленники могли читать SMS-коды, перенаправлять звонки и собирать метаданные.
• Секретные данные могли быть скомпрометированы, но точный масштаб расследуют.
• Китай отрицает причастность, называя обвинения «политически мотивированными».

• Атака Salt Typhoon стала возможной благодаря обязательным «законным» закладкам (CALEA) в телеком-оборудовании, которые теперь использует Китай для массовой слежки.
• Участники напоминают, что ещё NSA перехватывала трафик Google (Room 641A), поэтому удивляться «нарушению норм» странно.
• Инцидент всё ещё активен: данные продолжают утекать, а «пост-мортум» ещё не начался.
• Критика властей США: вместо защиты они продолжают расширять слежку и сокращают CISA.
• Вывод: любые обязательные backdoors делают уязвимыми не только «плохих парней», но и всех остальных.

• Апелляционный суд США подтвердил штраф $92 млн для T-Mobile за продажу данных о местоположении абонентов без согласия.
• FCC оштрафовала T-Mobile, AT&T и Verizon за передачу реального местоположения посредникам LocationSmart и Zumigo; злоупотребления стали известны в 2018 г.
• Суд: каждый смартфон — трекер, данные раскрывают «интимные детали жизни»; операторы не проверяли согласие и не ввели защиту после инцидентов.
• T-Mobile и Sprint не отрицали фактов, но заявляли, что FCC превысила полномочия; суд признал штрафы законными.
• Решения по апелляциям AT&T и Verizon ещё не вынесены.

• Пользователи в шоке: даже после отключения всех доступных опций в личном кабинете T-Mobile/ATT/Verizon данные о местоположении всё равно утекают и спам-связанные звонки «догоняют» человека по дороге.
• Оказалось, что в настройках T-Mobile появились новые пункты «профилирование и автоматические решения», которые снова включены по умолчанию; приходится отключать дважды.
• MVNO (Google Fi, Mint и др.) не дают прямого доступа к настройкам T-Mobile, поэтому полностью отказаться от трекинга нельзя.
• Единственные практические советы: включать «режим полёта + Wi-Fi», использовать «фарадеевы» чехлы или возвращаться к крупным операторам ради встроенных фильтров спама.
• Участники считают, что рынок США по сути является естественной монополией: спектр регулируется FCC, а мелкие игроки не могут конкурировать; проблему можно решить только через государственное регулирование и разделение инфраструктуры от сервиса.