Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Martin Čmelík 8. 7. 2013

Pokud vlastníte zařízení s Androidem, pravděpodobně patříte mezi 99 % uživatelů, kteří mohou přijít o soukromá data. Podle společnosti BlueBox za problémem stojí nedokonalost v návrhu Androidu umožňující upravovat kód podepsaných APK souborů a tím přetransformovat legitimní aplikace na infikované/trojanizované.

Toto se děje bez povšimnutí Google storu, zařízení i uživatele a to již od verze Androidu 1.6, která je stará přibližně 4 roky. Pokud takto upravíte aplikace výrobců jako HTC, Samsung, Motorola, LG apod., které běží pod právy superuživatele, tak si na daném zařízení můžete dělat opravdu cokoliv. Ať už odposlouchávat veškerou komunikaci (SMS, Web, hovory, kontakty, mobilní banking, sociální sítě, …), tak vytvořit z mobilu zombie a vzdáleně jej ovládat. Což je výhodné, protože smartphone je online častěji než většina počítačů, co máme doma.

Z domova

Režisér Jan Svěrák vyhrál po dvou letech přetahovanou mezi ním a serverem Share-rapid.cz, ve které šlo o zpřístupnění nelegální kopie Svěrákova filmu “Kuky se vrací” ze strany serveru. Kromě prohry tohoto sporu musí Share-rapid.cz uhradit pokutu přibližně půl milionu korun. Možná by vydělal mnohem víc, kdyby film nabídl v české verzi ke koupi na iTunes a podobných obchodech s hudbou a filmy.

Slovenský Národní bezpečnostní úřad sice zodpovídá za podepsané certifikáty, ale už nějak pozapomíná upozorňovat na různé změny. Třeba ty v podpisové politice. Důsledkem tohoto jednání se tak nově vydané digitální podpisy staly neplatnými, aniž by byl kdokoliv informován. Jak se píše v blogu, úřad stále pokračuje ve stylu NBUSR123. Uživatelé aplikace QSign si musí aktualizovat důvěryhodný seznam podpisových politik.

Naše postřehy

Microsoft Windows XP/Vista/7/2000/Server 2003/2008 obsahuje kritickou chybu (CVE-2013–3660) umožňující lokální spuštění kódu s oprávněním administrátora. Chyba byla nalezena ve funkci win32k!EPATHOBJ::pprFlattenRec, která nesprávně nakládá s určitými objekty v paměti.

Používáte Cryptocat? Jedná se o populární open-source komunikační rozhraní podobné chatu, kdy by však vaše komunikace s ostatními měla být naprosto bezpečná a soukromá. Bohužel se však ukázalo, že mezi 17. říjnem 2011 a 15. červnem 2013 implementace protokolu obsahovala chybu/slabinu, kdy bylo možné komunikaci rekonstruovat. Současná verze by k tomuto útoku již neměla být náchylná.

Myslíte si, že operace provedené přes HTTPS (SSL/TLS) jsou bezpečné? V podstatě ano, ale protože téměř sto procent webů používá stále stejný klíč na straně serveru, tak je možné po jeho získání zpětně dešifrovat komunikaci starou i několik let. Existuje však pár vyjímek, které používají HTTPS s PFS (Perfect Forward Secrecy), které tímto netrpí, protože po ustavení spojení použijí nový, dočasný soukromý klíč.

Podle jednoho z dokumentů od Edwarda Snowdena NSA odposlouchávala speciální šifrovaný fax zastupitelství Evropské unie, ambasády Francie, Řecka, Itálie a dalších zastupitelství po celém světě pomocí zařízení pojmenované Dropmire.

Článek popisuje způsob bypassování WAF (Web Application Firewall) a spuštění XSS útoku na WordPressu, respektive jednom z jeho modulů. Článek nezůstává u jediné ukázky, ale prochází pestrou škálu způsobů zneužití. Na přetřes přijde i Metasploit (konkrétně java exploity) nebo BeEF.

Jeden z webů známé herní společnosti Ubisoft byl hacknut. V důsledku útoku byly kompromitovány některé uživatelské účty. Zájem o podobné weby mají útočníci hlavně kvůli velkému počtu osobních údajů. Ty se dají následně buď prodat nebo využít pro vlastní účely.

O tom, že i mistr tesař se někdy utne napovídá nález Xylitola v Control Panelu nedávno uniklého kódu bankeru Carberp. Xylitol objevil chybu typu Remote Code Execution umožňující útočníkovi spustit libovolný PHP kód v rámci Carberp panelu.

TrendMicro zpracoval několik doporučení popisující, jak zabezpečit prostředí SCADA systémů. Tato oblast je z pohledu bezpečnosti stále poměrně podceňovaná, a proto by podobných doporučení mělo být jistě více.

Viry a botnety

Páté číslo virového magazínu DarK-CodeZ je venku. A nač se můžete těšit? Například na kódy vznikající v rámci projektu LIP (viz spth.virii.lu/LIP.html).

Brzy byl měl být přijat nový zákon o kyberzločinu platný v celé Evropské unii. Zaměřen je především na sankce za používání botnetů, útoky na kritickou infrastrukturu a organizované kyberzločince.

Glazunov exploit kit se v poslední době stává hlavním tématem mezi exploit kity. Následující článek se pouští do srovnaní a hledání podobností tohoto kitu s dvěma dalšími. Stojí za všemi stejný autor, nebo se autoři inspirovali jeden od druhého?

Cool Exploit Kit nyní zahrnul do svého balíku mnoho nových exploitů včetně několika 0day.

Pro pobavení

Chatujemem pomocí popisovačů WiFi sítí

Již více než dva týdny není známé kde se pohybuje Edward Snowden. Byl však prý zpozorován na této fotografii. Dokážete ho nalézt?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, napište nám na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 2,25

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Podnikatel.cz: Etický kodex firmy nezachrání

Etický kodex firmy nezachrání

Vitalia.cz: Martin Kasa o byznysu s léky

Martin Kasa o byznysu s léky

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

Podnikatel.cz: Přechod z OSVČ na firmu? Totální šok!

Přechod z OSVČ na firmu? Totální šok!

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: Grilujte v parku i na loďce

Grilujte v parku i na loďce

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Podnikatel.cz: Internet věcí ušetří v podnikání peníze

Internet věcí ušetří v podnikání peníze

Podnikatel.cz: Šizený guláš na pultě. Jako Lidl to nedělejte

Šizený guláš na pultě. Jako Lidl to nedělejte

DigiZone.cz: Kolik lidí sleduje hokej na webu ČT?

Kolik lidí sleduje hokej na webu ČT?

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

DigiZone.cz: Stream představil souboj žroutů

Stream představil souboj žroutů

Podnikatel.cz: Vyzkoušejte k propagaci výrobku Microsites

Vyzkoušejte k propagaci výrobku Microsites

Vitalia.cz: Mražené ryby z Makra byly falšované

Mražené ryby z Makra byly falšované

120na80.cz: 10 dezinfekcí: Vede „starý dobrý“ peroxid

10 dezinfekcí: Vede „starý dobrý“ peroxid

DigiZone.cz: Podzim přinese sport Viasat Ultra HD

Podzim přinese sport Viasat Ultra HD