Исследователи Ostorlab решили проверить, насколько «неприступным» на самом деле остаётся Signal для Android. Мессенджер, который Сноуден называет золотым стандартом приватности, журналисты используют для конфиденциальных бесед, а активисты — для того, чтобы спать спокойнее, внезапно оказался под прицелом технического аудита. Результат — две серьёзные уязвимости, позволявшие читать внутренние файлы приложения. Парадокс в том, что даже так сообщения пользователей остались за семью замками.

Первая брешь — Path Traversal в BlobContentProvider. Android-декодер в SDK слишком доверчиво обращался с последовательностями вида %2F и ../. Достаточно было подменить путь в запросе, чтобы приложение вместо ожидаемого объекта заглянуло в чужой «сейф». Пример, который использовали исследователи, выглядел почти невинно, но на деле позволял прочитать org.thoughtcrime.securesms_preferences.xml прямо из каталога shared_prefs.

Вторая — недосмотр в ShareActivity. Signal умеет принимать файлы через интернет от других приложений, и в случае с одиночным вложением проверка жёсткая: ничего из /data/ не пропустит. Но если отправить несколько файлов, то сторож заснёт. Один файл — настоящий, для отвода глаз, другой — маскированный под .png, но с референсом на конфигурационный XML в системном каталоге. В итоге мессенджер считал его изображением и открывал доступ к конфиденциальным данным.

Чтобы превратить эти находки в рабочую атаку, Ostorlab объединила несколько трюков: обход FileUriExposedException через file://system/../data/, MIME-маскировку с подложными расширениями, предсказание дескрипторов временных файлов и использование симлинков /proc/self/fd/... для доступа к реальным объектам.

Добычей стали имена из ярлыков контактов, настройки приложения, Firebase-токены и метаданные конфигурации. Но вот база сообщений осталась закрыта: SQLCipher, Android Keystore и аппаратная защита ключей отрезали все пути. Пароли резервных копий и сами ключи шифрования злоумышленнику не достались.

В этом — главный урок. Баги есть везде, но архитектура с несколькими слоями защиты делает так, что даже успешная эксплуатация одного уровня не рушит всю оборону. Здесь сработали шифрование базы, защита ключей на уровне ОС и железа, плюс изоляция критичных данных.

Реакция Signal стала отдельной иллюстрацией правильного responsible disclosure: через три часа после отчёта пришло подтверждение, спустя несколько дней — готовый патч, а версия 7.44.2 закрыла обе уязвимости. Google же на вопрос про исправление в SDK лишь ответил, что «это ожидаемое поведение» и обратная совместимость важнее.

Вывод для пользователей прост: продолжать использовать Signal. Баги нашли и устранили, а сама история показала, что многоуровневая защита — не маркетинговая фраза, а реально работающий механизм, который не даёт одним уязвимостям обрушить весь замок.

P/S Автору будет приятно если вы накидаете 🔥

Hacker's TOYS

В ИБ-сводках снова пахнет дымом — и в этот раз источник в самом сердце Москвы. Microsoft раскрыла операцию Turla (она же Secret Blizzard) — и это не просто очередной шпионский вирус, а хладнокровный, почти театральный спектакль на уровне провайдера. Около года хакеры вели охоту за дипломатами, подсовывая им фальшивый антивирус «Лаборатории Касперского» вместо чистого ПО и заражая машины через знакомые всем captive portal-ы — те самые «согласитесь с условиями» страницы в гостиницах и аэропортах.

Но подделанный интерфейс — лишь приманка. Главное в том, что Turla впервые показала, что умеет атаковать не через уязвимый софт, а прямо в точке, где интернет входит в здание — на уровне российских ISP. Подмена сертификатов, перехват трафика, установка долгоживущих шпионских модулей — всё это происходило незаметно, под крышей национальной телеком-инфраструктуры. Любой дипломат, открывший в Москве браузер, фактически ставил флажок на своём устройстве: «Я доступен для наблюдения».

За этой схемой стоит 16-й центр ФСБ — та же структура, что когда-то выдала в мир NotPetya и погружала в темноту украинские электросети. Turla работает с начала 2000х, но такой наглой и технически выверенной атаки от них ещё не видели. Государственная система СОРМ, изначально преподнесённая как инструмент «законного» контроля, в их руках превратилась в канал скрытого кибершпионажа против иностранных миссий.

Microsoft не раскрывает список пострадавших стран, но намёков достаточно: под прицел мог попасть любой, кто решал дипломатические вопросы в российской столице, не задумываясь, что даже поход в онлайн за прогнозом погоды может закончиться перехватом переписки. Урок очевиден — в Москве интернет не просто под надзором, он встроен в политический ландшафт. И если против вас играют на таком уровне, то ни VPN, ни фирменный антивирус не спасут без полноценной изоляции устройств и сетей.

P/S Автору будет приятно если вы накидаете 🔥

Hacker's TOYS

Июль катится к финалу, но кибербезопасность не даёт расслабиться. На этот раз тревогу подняла китайская Huangdou Security — заявили, будто нашли способ снять метку «приватно» с закрытых каналов Telegram. Не через взлом клиента. Не с помощью фейкового инвайта. А напрямую — на уровне серверной логики. И не просто доступ к контенту, а полное вскрытие, включая удалённые медиа. Без приглашений. Без следов. Просто скриншоты: чужие личные фотографии, якобы извлечённые из недоступного канала, с метаданными и названиями. Доказательства? Размытые. Код? Не показан. Логика? «Обход маскировки доступа» и «десинхрон в CDN».

Кто-то бы махнул рукой — мол, утка. Но Huangdou раньше публиковали вполне рабочие PoC для WeChat. Пусть и без кода, но не просто теоретики. И когда в кадре появляются частные фото, якобы слитые из архива, — комьюнити начинает нервничать. Telegram молчит. В CVE — пусто. Баг-трекер чист.

Протокол тут тоже не даёт поводов для паники. MTProto проверяет сразу три вещи: уникальный ключ сессии (auth_key), хеш-доступ (access_hash) и то, есть ли у пользователя вообще права читать канал. Если чего-то не хватает — сервер просто отвечает «CHANNEL_PRIVATE» и отправляет клиента в сад. Даже если попытаться хитрить и отключить проверки на стороне приложения, история не выдастся — сервер жёстко фильтрует всё сам. Обойти CDN тоже не получится: без валидной ссылки ничего не достанешь, а после удаления медиа она быстро становится бесполезной. Telegram не сразу, но всё же отправляет такие файлы в мусорку — пусть и ленивую. А кэш, который мог бы зацепить утёкшие картинки, живёт буквально пару минут, не больше.

Кто только ни пытался воспроизвести баг: и ребята из tginfo, и китайские исследователи, и одиночки с Telethon, которые сутками гоняли скрипты через датацентры, подставляя фейковые сессии, моделируя доступ, ковыряя архивы. Всё упиралось в те же грабли: CHANNEL_PRIVATE и CHATS_TOO_BIG. Даже старые версии Server API не повели себя иначе. В итоге независимые эксперты по безопасности вынесли сухой вердикт: пока это «неподтверждённый нулевик».

Теоретически — шанс есть. Telegram порой шалит при переходе megagroup → broadcast. Бывали случаи, когда смена access_hash во время миграции создавала крошечное окно. Или когда CDN в разных DC реплицировался неравномерно. Или когда invite отзывался, а старая сессия ещё пару минут держалась живой. Но это больше экзотика, чем стабильный эксплойт. Хотя EvilVideo в 2024-м, когда троян подменял APK-файл, сначала тоже казался мифом. И на его закрытие ушло 11 дней. Если баг Mask Bypass жив, то патч должен быть на подходе. Пока — тишина.

Индустрия тем временем кипит. За настоящий Telegram RCE с полным обходом защиты, брокер Operation Zero уже обещает до четырёх миллионов долларов. Продавать такой инструмент через полупрозрачный блог? Зачем, если можно продать молча. Или напрямую — Telegram, или одному из структурных игроков. И если баг действительно настолько опасен, как утверждает Huangdou, то его бы уже перекупили. Или зарыли.

Что делать прямо сейчас? Паники нет. Но здравый смысл никто не отменял. Критичные материалы давно выносят за пределы Telegram или шифруют в секретный чат. Сессии сбрасывают, устройства закрепляют за контейнерами, ключи ротации периодически обновляют. Если же слух подтвердится — первым делом менять пригласительные ссылки, чистить админов, проводить ревизию медиаархивов. Не потому что Telegram слаб. А потому что никто не застрахован, когда приватность зависит от архитектуры, которую ты не контролируешь.

Пока же вся эта история больше похожа на дым без огня. Скандал есть. Кода нет. Репродукции — мимо. Но сама волна говорит о главном: даже слух способен пошатнуть доверие к самой стабильной платформе. И напомнить — приватность не в кнопке. Она в тебе. И в твоём умении не полагаться вслепую на шифр, каким бы красивым он ни казался.

P/S Автору будет приятно если вы накидаете 🔥

Hacker's TOYS

8 декабря 2020 года глава компании FireEye произнёс фразу, от которой в мире кибербезопасности холодеет позвоночник: «Кажется, взломали нас самих». В течение нескольких часов стало ясно, что украденные инструменты red team — лишь слабое эхо чего-то куда более глубокого. В их сети прятался гость, молчаливый, осторожный и чужой.

След привёл к обновлению Orion — платформе, которую использовали все, от Пентагона до Microsoft. Выяснилось, что кто-то смог внедрить в цепочку сборки вредоносный код, причём не после релиза, не через подмену файла, а внутри самой логики процесса. Ещё осенью 2019 года, пока SolarWinds уверенно строила доверие к своей экосистеме, зло уже затаилось в коде. Когда пришло время выкладывать обновление, оно шло с цифровой подписью, всё как положено — только внутри уже спал троянец.

Этот троянец, позже получивший имя SUNBURST, сначала ждал. Две недели он не делал ничего, чтобы не вызвать ни одного подозрения. Потом начинал передавать данные на командный сервер, маскируясь под трафик телеметрии. Потом подгружал дополнительный вредонос. Всё — без ошибок, без лишнего шума. Весной 2020 го тысячи системных администраторов по всему миру нажимали кнопку «Обновить», получая не обновление, а тикающий маячок, связанный с внешним миром.

Число заражённых инсталляций превысило 18 тысяч. Активно шпионили — меньше сотни, но выбор был точечным и пугающе точным: министерства США, телеком-компании Европы, исследовательские институты Азии, крупные облачные интеграторы. Злоумышленники, позже отнесённые к Nobelium (APT29), не ломали двери — они заходили в открытую, тихо копируя ключи доступа, схемы сетей, исходные коды и конфигурации. Если на машине был forensic-инструмент вроде Wireshark, троянец замирал, делая вид, что его никогда не было. Это была не атака, это была хирургия.

Большинство жертв не заметили ничего. Только после публикации индикаторов компрометации от FireEye и экстренных предупреждений от CISA началось осознание масштаба. И тогда выяснилось главное: весь мир оказался уязвим из-за одной кнопки, одного доверенного обновления.

Позже, в апреле 2021 года, Mandiant опубликует отчёт, где скажет вслух то, что все уже чувствовали — атаки на цепочки поставок больше не экзотика. Если раньше они составляли доли процента, то теперь — почти пятая часть всех взломов. И в подавляющем большинстве случаев путь в сеть начинался с SolarWinds.

Компания пыталась отыграть назад. Патчи, брифинги, публичные заявления о «менее 100 реально пострадавших». Но факт оставался: обновление, которое ставили тысячи, оказалось троянским конём, и никто этого не заметил.

Спустя годы SUNBURST всё ещё находят в дикой природе. Nobelium больше не нуждается в старых трюках — они адаптировались, создали поддельные медиа-домены, запустили гуманитарный фишинг, изменили вектор. Но суть осталась прежней: маскировка под доверенное — это их любимое оружие.

Самый страшный вывод из истории SolarWinds — не в масштабах, не в репутационных потерях и не в изяществе исполнения. А в том, насколько легко всё случилось. Один подписанный билд. Одна кнопка «Обновить». Один незащищённый шаг — и тысячи дверей приоткрылись. За этим стоит вопрос, который теперь не даёт покоя ни одному инженеру: если даже подпись сборки больше не даёт гарантий, что нам тогда остаётся?

Ответ один: проверять всё. Собирать список компонентов. Изолировать сборочные процессы. Подвергать сомнению даже то, что кажется своим. Потому что сегодня кнопка «Обновить» — это не просто запуск апдейта. Это рубеж. И если вы не проверяете, что именно запускаете, значит кто-то уже сделал это за вас.

P/S Автору будет приятно если вы накидаете 🔥

Hacker's TOYS

Без логинов, без IP, без следов. Просто страница с одним полем — и всё, что вы в него впишете, исчезает в шифр. Причём прямо в браузере, ещё до отправки: библиотека OpenPGP.js кодирует сообщение на месте, так что сервер не знает ни автора, ни текста — только то, что кто-то что-то сказал. Или прошептал.

Всё это звучит красиво, но главное — работает оно через Tor. У проекта есть onion-адрес, и если вы открываете его в Tor Browser, ваш IP исчезает в луковом тумане. Для удобства есть и обычное зеркало hushline.app — быстрее, но оставляет след в логах провайдера. Так что выбор: или безопасность, или комфорт. Не оба сразу.

Чтобы проверить, насколько всё это надёжно, Open Technology Fund в 2024-м заказал аудит команде Subgraph. И оказалось, что Personal Server — отдельный коробочный вариант Hush Line — почти безупречен. Ни баз данных, ни учёток, всё крутится на Tor и живёт на Raspberry Pi OS Lite. Единственная уязвимость — если кто-то заспамит вход потоками сообщений. Это и поправили: вшили ограничение скорости, убрали всё лишнее. Получилась коробка для параноиков — но рабочая.

Облачная версия, Managed Service, попроще. Там и роли, и визуальная панель, и интеграция с Proton Mail. Зато и риски выше: аудит нашёл потенциальные SQL-инъекции и уязвимость из-за общей базы данных. Всё оперативно закрыли: мигрировали на SQLite, прикрутили Flask-Limiter, а крипту перевели на Sequoia. Параллельно пришили патч 0.3.5, который прикрыл XSS с CVE-2024-55888 — всё из-за того, что кто-то забыл про CSP.

Но криптография — это только полдела. Если противник видит и вход, и выход, он может сопоставить задержки. Эта техника — traffic correlation — применялась немецкими спецслужбами против скрытых Tor-сервисов. Спастись можно только так: менять маршруты, пользоваться Wi-Fi вне дома, следить за тем, как ты пишешь. Потому что фраза вроде “по нашему внутреннему регламенту ПНП-304” выдает человека быстрее, чем любой эксплойт.

Именно об этом предупреждает и сам Hush Line: не надо копировать служебные тексты, не надо писать, как обычно. Пиши просто. Без цифр, без ссылок, без лишних меток. И чисти cookies — сразу, после отправки.

Если жалоба не про госизмену, то Tor Browser и Managed Service хватит. Но если ставки высоки, схема будет другая: Personal Server в отдельной комнате, интернет — через собственный роутер, устройство под Tails или Qubes/Whonix, ключ PGP — только офлайн. Это уже почти как SecureDrop, только без головной боли на три недели.

Но помни: Hush Line передаёт только текст. Ни сканов, ни фото, ни видео — только буквы. Всё остальное — через OnionShare или тот же SecureDrop. Потому что EXIF и метаданные выдают не хуже отпечатков пальцев.

А ещё есть физический уровень. Самый банальный. Устройство могут изъять на границе. Телефон — отследить по сотовой. Паспорт — привязать к IMEI. И тогда ни один PGP тебе не поможет.

Hush Line обещают добавить «горящие» сообщения, чистку метаданных, post-quantum режим SequoiaPQ, отдельные облака для редакций. Всё это делается на гранты от OTF и пожертвования. А иногда — просто за звёздочку на GitHub.

Но какой бы ни была защита, всё решает поведение пользователя. Меняй стиль. Не повторяйся. Удаляй следы всегда. Потому что даже самый надёжный шёпот может оказаться эхом.

P/S Автору будет приятно если вы накидаете 🔥

Hacker's TOYS