В продукции Malwarebytes убрана серьёзная уязвимость

08 Сотрудники компании Malwarebytes произвели обновление своих ПО Malwarebytes Anti-Malware и Malwarebytes Anti-Exploit, в результате которого был устранён ряд серьёзных уязвимостей. Благодаря им злоумышленник мог использовать любой код в системе. Речь шла о целенаправленном встраивании своего пэйлоада в файлы обновлений, которые пользователи могли скачивать и устанавливать.

Данная брешь идентифицируется как CVE-2014-4936. Она позволяла осуществлять внедрение в целевую DNS-структуру, которая располагается между пользовательским компьютером и источником распространения контента (в данном случае — (CDN) Malwarebytes). Также в отчёте отмечается, что найденная уязвимость никак не затрагивала корпоративных пользователей, сосредотачиваясь только на индивидуальных юзерах. Если эти люди использовали Anti-Malware и Anti-Exploit, то безопасность их системы была под вопросом.

Ключевая проблема скрывается намного глубже, поскольку в программных комплексах компании Malwarebytes отсутствует надёжный инструмент для проверки (валидации) обновлений софта. В итоге злоумышленник мог создать собственный пэйлоад, отправляя его пользователю. Не было необходимости разрабатывать более сложный способ для использования уязвимости, ведь все остальные действия зависели от юзера.

Уязвимость была опубликована на сайте Github, а также в личном блоге пользователя под ником 0х3а. На текущий момент созданная заплатка позволяет полностью исключить возможность использования данной программной ошибки. Также Malwarebytes планирует произвести серьёзную работу по улучшению безопасности своей инфраструктуры.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.