Postřehy z bezpečnosti: hodný strejda Facebook peče „sušenky bezpečí“

Pavel Bašta 28. 9. 2015

V dnešním díle postřehů se podíváme, jak Facebook špehováním uživatelů chrání svět před kybertetoristy, na chytře provedený útok na jablečný App Store, na nový sofistikovaný malware pro Android, na vlnu podvodů „dislike“, na zajímavý studijní materiál k bezpečnosti webových aplikací a řadu dalších zajímavostí.

V pondělí začaly belgické soudy řešit žalobu belgické obdoby našeho úřadu na ochranu osobních údajů, Belgian Privacy Commission (BPC), proti společnosti Facebook. Její právníci obviňují Facebook ze špehování uživatelů po celém světě. To pak přirovnávají k aktivitám NSA, na které svět upozornil Edward Snowden. Noviny Guardian na svých stránkách doslova citují právníka zastupujícího belgický úřad:

When it became known that the NSA was spying on people all around the world, everybody was upset. This actor [Facebook] is doing the very same thing, albeit in a different way.

Žaloba se opírá o zprávu [PDF] vypracovanou nezávislými odborníky na základě požadavku úřadu. Zpráva uvádí, že Facebook sleduje uživatele bez ohledu na to, zda mají či nemají existující účet, nerespektuje správně opt out požadavky uživatelů a své cookies šíří i přes weby třetích stran, obsahujících tlačítko like bez ohledu na to, zda uživatel tlačítko použil či nikoliv.

Facebook se pochopitelně bránil, že zpráva se mýlí a samotné sledování uživatelů že bylo důsledkem chyby.

Guardian dále citoval tiskového mluvčího Facebooku, který k tomu uvedl, že cookies sledující uživatele jsou vlastně dobré:

We will show the court how this technology protects people from spam, malware, and other attacks, that our practices are consistent with EU law and with those of the most popular Belgian websites.

Právník Facebooku Paul Lefebvre neváhal zajít ještě dále a prohlásil, že bez cookies, které prý Facebook používá z legitimních bezpečnostních důvodů, se Belgie stane kolébkou kyberterorismu.

The cookies allow Facebook Ireland to identify bad faith attempts to gain access via the browser being used. If this would no longer be possible, Belgium would become a cradle for cyber terrorism.

Kromě vydávání cookies za svého druhu bezpečnostní software, přišel právník Facebooku i s právnickou kličkou na téma všechny naše servery jsou v Irsku.

How could Facebook be subject to Belgian law if the management of data gathering is being done by Facebook Ireland and its 900 employees in that country?

Určitě bude zajímavé sledovat, jak se celý spor bude dále vyvíjet, když už nyní padají takovéto argumenty. Nutno dodat, že případ je sledován i dalšími evropskými státy, které také nejsou nadšené z chování Facebooku. Tomu také ze strany BPC hrozí pokuta 250 000 € za každý den, kdy nejsou splněny požadavky tohoto úřadu.

Naše postřehy

U Facebooku ještě chvíli zůstaneme. Příslib Marka Zuckerberga ohledně nového tlačítka, které by mělo být téměř úplně, ale ne zcela naprosto nepodobné opaku tlačítka like, vyvolal novou vlnu podvodů, které uživatelům slibují možnost získat právě tlačítko dislike. To sice po kliknutí na falešný odkaz nezískají, ale za to je jim nabídnuta příležitost podělit se o svá privátní data, případně obohatit sbírku nainstalovaného malware o nový kousek. Kdo by takové nabídce odolal, že?

Další podstatný krok směrem k „demokratické a svobodné společnosti“ se pokusila udělat indická vláda, která v návrhu dokumentu „National Encryption Policy“ stanovila nová pravidla pro používání šifrované komunikace. Pokud by návrh prošel, byli by uživatelé nuceni uschovávat po dobu devadesáti dnů zálohy původně šifrované komunikace v plaintextu, což mělo původně zahrnovat nejen e-mailovou komunikaci či obsah komunikace v aplikaci WhatsApp, ale například také citlivé bankovní či obchodní transakce. A samozřejmě, co by to bylo za národní politiku šifrování, kdyby neobsahovala také povinnost odevzdat šifrovací klíče vládě a příslušným agenturám. Protože však tento návrh vyvolal pobouření veřejnosti, vláda nakonec z některých požadavků ustoupila.

Jablečný App Store má za sebou svůj první velký úspěšný útok. Původně se hovořilo o 39 aplikacích, ale během týdne přišla společnost FireEye s informací o více než čtyřech tisících napadených aplikací. Problém se týkal například oblíbené aplikace WeChat pro posílání zpráv, aplikace čínské služby Didi Kuaidi podobné službě Uber, aplikace pro streamování hudby NetEase, fotoeditoru Perfect365 a nástroje pro skenování karet CamCard. Všechny tyto aplikace byly infikovány malware XcodeGhost.

Zajímavé je, že malware se do aplikací dostal přes pozměněnou verzi vývojářského nástroje Xcode, který do kompilovaného software přidával vlastní kód. Takto upravené aplikace pak unikly pozornosti a byly vystaveny v AppStore. Upravená aplikace Xcode se nacházela na čínském serveru a vývojáři si ji údajně vybrali, protože stahování aplikace ze serverů Apple trvalo příliš dlouho. Objevují se také spekulace, podle kterých za útokem stojí CIA. Když už jsme u společnosti Apple, tady je návod, jak obejít ochranu přístupovým kódem v systému iOS 9 za méně než třicet vteřin. Získáte tak přístup k fotogalerii a ke kontaktům. Chyba se vyskytuje i ve verzi iOS 9.0.1.

A nyní krátce ke konkurenci. V nejhorším případě až milion uživatelů mohl stáhnout z Google Play aplikaci BrainTest. Jedná se o sofistikovaný malware, který používá několik exploitů k eskalování privilegií, dokáže si na jednou napadeném zařízení zajistit persistenci, pozná, že je kontrolován v rámci služby Google Bouncer a v takovém případě „seká latinu“ a také obsahuje části, které mají komplikovat jeho analýzu. Zatím je potvrzeno, že na napadená zařízení instaluje další aplikace, ovšem tím jeho potenciál není zdaleka vyčerpán.

Tomu už se ani nechce věřit. Lenovo sbírá na počítačích ThinkPad, ThinkCentre a ThinkStation data o jejich využití. Znepokojující je ale odkaz na společnost Omniture, zabývající se analýzou webu a marketingem, který je součástí názvu jednoho ze souborů tohoto „spyware“.

Pokud vás zajímají zranitelnosti webových aplikací, můžete si zdarma stáhnout e-knihu. Ve staženém archívu najdete nejen samotný text publikace s popisem zranitelností jako jsou XSS, Clickjacking, CSRF, ale v jednotlivých adresářích i příklady některých zranitelností a jejich možného zneužití. A nebo si přečtěte blogpost o chybách nalezených na stránkách známého řetězce Starbucks, které mohly vést k získání informací o platebních kartách, či převzetí uživatelského účtu včetně nahraného kreditu.

Ve zkratce

Kdo útočí na koho a proč je dobré to vědět?

Při útoku na OPM bylo ukradeno také 5,6 milionu otisků prstů zaměstnanců.

Shození Google Chrome jednoduchým řetězcem.

Apple WatchOS 2 záplatuje desítky zranitelností.

Symantec Thawte CA vydal omylem EV certifikát pro google.com.

Chyba v SAP Afaria umožňuje útočníkům smazat obsah mobilu.

Další útok na kritickou komunikační infrastrukturu v USA.

Hledáte zajímavou práci v oblasti bezpečnosti?

Čína údajně špehuje pasažéry letadel.

Malvertising kampaň na stránkách forbes.com.

Bezpečnost HTML 5 obecně.

Cookies v prohlížeči je možné zneužít k obejití HTTPS a získání citlivých informací pomocí MitM.

Pro pobavení

Dnešním dílem postřehů se táhne sledování a pokusy o něj jako červená niť, ale jestli oni si to ti uživatelé nedělají tak trochu sami.


http://www.joyoftech.com/

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Infolinka k EET? Poskytne až 100 úředníků

Infolinka k EET? Poskytne až 100 úředníků

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Novela zákoníku práce. Řeší homeworking

Novela zákoníku práce. Řeší homeworking

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

120na80.cz: Využijte léčivé vlastnosti měsíčku

Využijte léčivé vlastnosti měsíčku

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Skylink přepracoval web

Skylink přepracoval web

Vitalia.cz: Co potřebujete vědět o zubech moudrosti?

Co potřebujete vědět o zubech moudrosti?

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej