Как прошить Samsung одной картинкой через Zero-click атаку 🎹

Тут исследователи из Unit 42 запилили разбор нового Android шпиона LANDFALL, который почти год эксплуатировал 0-day уязвимость CVE-2025-21042 в библиотеке обработки изображений libimagecodec.quram.so на устройствах Samsung.

- Что будет, если я открою эту картинку?
- Ничего. Все уже случилось в тот момент, когда ты ее получил.

Вся цепочка начинается со специально сформированного и отправленного DNG-файла (raw-формат на базе TIFF). В конец этого файла просто приклеен ZIP-архив. Уязвимость в библиотеке libimagecodec позволяет извлечь из этого архива два исполняемых файла формата ELF (b.so загрузчик) и l.so манипулятор политик SELinux).

Основной компонент, b.so (64-битная разделяемая библиотека) сразу после загрузки проверяет переменные окружения на предмет LD_PRELOAD, чтобы избежать наследования, определяет свои права (root или нет) и начинает действовать. Он читает из себя зашифрованный JSON-конфиг с адресами командных серверов, ключами и идентификаторами, а затем соединяется с серверами управления. Если запущен от root, он пытается смонтировать tmpfs в своей рабочей директории, чтобы все артефакты жили в оперативной памяти.

Теперь понятно, почему параноики отключают автозагрузку медиа. Они не трафик экономят, они от RCE через libjpeg защищаются.

Общение с командным сервером идет по HTTPS на нестандартный порт. Первичный POST-запрос содержит детальный отпечаток устройства и самого зловреда. В ответ сервер присылает следующий этап в виде сжатого XZ-архива. Загрузчик распаковывает его в файл dec_a.so и выполняет, используя механизм LD_PRELOAD и запускет системную утилиту /system/bin/id (классика 🎩). Это позволяет внедрить зловред в новый процесс.

Второй компонент, l.so, (движок для манипуляции политиками SELinux) он не содержит жестко прописанных правил, а умеет на лету парсить и загружать новые политики из внешнего источника, изменяя их прямо в памяти. Это дает зловреду возможность обходить системные ограничения безопасности и обеспечивать себе постоянное присутствие в системе.

В коде найдены еще прикольные функции. Там есть код для мониторинга директории, поиска последних сделанных фото в DCIM, обхода фреймворков для отладки и реверс-инжиниринга, etc.

Теперь, когда у очередного топ-менеджера утекут данные, он будет клясться, что ничего не нажимал. И впервые будет говорить правду 😬

Типичный 🥸 Сисадмин

Аппаратный shutdown -r -f -t 0

Типичный 🥸 Сисадмин

Инженер, который это проектировал, явно недолюбливал южный мост 😬

Каков вариант использования?

Типичный 🥸 Сисадмин

Лучше любой медитации.

Именно так в ваше железо устанавливают аппаратные закладки и бэкдоры 😂

Типичный 🥸 Сисадмин

Неужели люди этого не осознавали... 😬

Типичный 🥸 Сисадмин

В Южной Корее теперь болеют за трейдеров, которые сражаются с рынком в прямом эфире. Диджей, поставь что-нибудь с хорошей волатильностью 🗑

Кстати, неплохая идея для сисадминов. Прямая трансляция восстановления базы данных из бэкапа после неудачного UPDATE без WHERE. Или чемпионат по скоростному деплою в Kubernetes. Ну на крайняк, как ИБшники в прямом эфире отбивает DDoS-атаку... было бы зрелищно.

Типичный 🥸 Сисадмин

Уволенный инженер Intel прихватил с собой 18 000 секретных файлов 💼

Ещё в июле Цзиньфэн Ло получил уведомление об увольнении, а за неделю до ухода попытался скопировать файлы на внешний накопитель, но защитные механизмы Intel не дали это сделать. Тогда он перекинул данные на сетевое хранилище (NAS) и продолжил активную загрузку до самого последнего момента. Ло успел скачать 18 000 файлов, включая засекреченные документы. Компания требует $250 000 и возврата данных, но... сотрудник бесследно исчез 👋

Intel три месяца пыталась связаться с Ло через звонки, имэйлы и даже бумажные письма, но ответа, очевидно, так и не получила.

Неуловимый Ло теперь, видимо, проходит собеседование в AMD. С презентацией на 18 000 слайдов 😬

Типичный 🥸 Сисадмин

Анализ 2 миллиардов слитых паролей за 2025 год.

Тут Comparitech выкатили свежий отчет по самым популярным паролям, собрав и проанализировав более 2 миллиардов учетных данных из утечек за 2025 год. Первое место с гигантским отрывом все еще занимает бессмертный 123456. За ним с небольшим отставанием следуют его производные 12345678 и 123456789 🎩

На четвертом месте уютно расположился наш старый знакомый admin. Почти 2 миллиона аккаунтов в проанализированных утечках использовали этот пароль. Где-то рядом в топе болтается и password. Получается, что сколько ни пиши регламентов и политик, дефолтные пароли это зло, которое не победить. Отдельного респектую хитрым пользователям, которые пытаются спрятаться за паролями вроде Aa123456 или P@ssw0rd, которые первые же в любом словаре для брутфорса 😊

Статистика по длине тоже удручает. Самая популярная длина пароля - 8 символов. Почти 66% всех паролей в утечках короче рекомендованных 12 символов.

Топ 10:

123456
12345678
123456789
admin
1234
Aa123456
12345
password
123
1234567890

Тут топ 100:
datawrapper.de/_/xWqI9/

Типичный 🥸 Сисадмин

Полиция Китая и Мьянмы провели совместную акцию по уничтожению оборудования, изъятого в ходе рейдов на нелегальные колл-центры 🏥

Говорят, после такого наглядного rm -rf оставшиеся мошенники в панике распродают уцелевшее железо или массово переквалифицируются в легальные колл-центры. А граждане, которые только задумывались о подобном АйТи-стартапе, увидев, как их потенциальное железо раскатывают в блин - решительно передумывают 😬

З.Ы. Инновационный метод переработки электроники. Очень экологичный.

Типичный 🥸 Сисадмин

От этого Thinkpad X200t аж слеза навернулась... мы жили в почти цивилизованном обществе и как низко мы пали с тех пор 😢

Что и когда пошло не так...

Типичный 🔴 Сисадмин

System76 и Red Hat пилят единый демон для multi-GPU 🥸

Любой, кто хоть раз пытался завести ноутбук с дискреткой от Nvidia под Linux или собрать рабочую станцию с несколькими видюхами, знает этот ад. Бесконечные треды на форумах, зоопарк утилит и необходимость перезагружаться, чтобы просто переключить видюху 👹

И вот, внезапно, на конференции XDC2025 инженеры из System76 (разработчики Pop!_OS) и Red Hat представили свой подход к решению этой проблемы... gpu-daemon. Идея в том, чтобы создать единый, малый сервис на базе Varlink, который станет центральной точкой для управления всеми ГПУ в системе. Этот демон будет отвечать за конфиг, хранить предпочтения (какое приложение на какой карте запускать) и предоставлять виртуализированный доступ к GPU. И грамотно, что демон изначально проектируется с оглядкой на контейнеры, что в теории позволит нормально пробрасывать и менеджить видюхи даже в них.

Осталось дождаться... 🐱

Типичный 🥸 Сисадмин

Тут из глубин ядра Linux пришла новость, от которой у многих сведет олдскулы. Помните файловую систему NILFS2? Это та самая лог-структурированная ФС с непрерывными снапшотами, которая появилась в ядре еще во времена 2.6. Так вот, после многих лет затишья у проекта появился второй мейнтейнер, Вячеслав Дубейко.

Для тех, кто не в теме за NILFS2... В отличие от Btrfs или ZFS, которые делают снапшоты по команде, NILFS2 делает это постоянно. Любое изменение данных создает новую версию файловой системы, а старые версии остаются доступными для чтения.

В последние годы проект был в анабиозе. Все внимание было приковано к Btrfs, F2FS и новомодному Bcachefs. И вот, внезапно, основной мейнтейнер NILFS2, Рюсуке Кониси, добавляет в проект нового человека и меняет статус с Orphaned (осиротевший 👨‍🦳) на Maintained (поддерживается). Новые патчи в ядро будут через Вячеслава.

Ждём бенчмарки чтобы посмотреть сможет ли NILFS2 потягаться с Btrfs и ZFS...

Типичный 🥸 Сисадмин

Must-have массажер для спины любого сисадмина, кто хоть раз монтировал 2U сервер в одиночку 😬

Синкпад продумал всё 🔴

Типичный 🥸 Сисадмин

Стабильные и надёжные отношения. Пользователи приходят и уходят, софт обновляется и ломается. А она всегда здесь. Ждёт 💚

Типичный 🥸 Сисадмин

Тётя Галя, всё началось в 2010 году, когда Леннарт Поттеринг... 👨‍🦳

Типичный 🥸 Сисадмин

Новый способ замедлить Linux домашних пользователей 😬

Касперский выходит на рынок домашних Linux-пользователей. Раньше их решения для Linux были доступны только для корпоративного сектора, но теперь рынок созрел. В качестве обоснования приводятся аргументы о 20-кратном росте числа вредоносов под Linux за последние пять лет и недавняя история с бэкдором в утилите XZ.

Под капотом мониторинг системы и файлов, сканирование флешек, защита от фишинга, криптоджекинга и безопасные онлайн-платежи. Поддерживаются 64-битные Ubuntu, ALT Linux, Uncom и RED OS. Про Arch, Debian и прочий некорпоративный зоопарк ни слова. Системные требования: Core 2 Duo, 2 ГБ ОЗУ и 4 ГБ на диске. Распространяется все в виде DEB и RPM пакетов. Пока антивирь не соответствует требованиям GDPR 🤔

Большинство, конечно, прекрасно обходится без антивируса, используя здравый смысл и права доступа. Но сам факт того, что вендоры начинают всерьез смотреть на рынок домашних Linux-пользователей - факт примечательный.

Типичный 🥸 Сисадмин