Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Martin Čmelík 8. 7. 2013

Pokud vlastníte zařízení s Androidem, pravděpodobně patříte mezi 99 % uživatelů, kteří mohou přijít o soukromá data. Podle společnosti BlueBox za problémem stojí nedokonalost v návrhu Androidu umožňující upravovat kód podepsaných APK souborů a tím přetransformovat legitimní aplikace na infikované/trojanizované.

Toto se děje bez povšimnutí Google storu, zařízení i uživatele a to již od verze Androidu 1.6, která je stará přibližně 4 roky. Pokud takto upravíte aplikace výrobců jako HTC, Samsung, Motorola, LG apod., které běží pod právy superuživatele, tak si na daném zařízení můžete dělat opravdu cokoliv. Ať už odposlouchávat veškerou komunikaci (SMS, Web, hovory, kontakty, mobilní banking, sociální sítě, …), tak vytvořit z mobilu zombie a vzdáleně jej ovládat. Což je výhodné, protože smartphone je online častěji než většina počítačů, co máme doma.

Z domova

Režisér Jan Svěrák vyhrál po dvou letech přetahovanou mezi ním a serverem Share-rapid.cz, ve které šlo o zpřístupnění nelegální kopie Svěrákova filmu “Kuky se vrací” ze strany serveru. Kromě prohry tohoto sporu musí Share-rapid.cz uhradit pokutu přibližně půl milionu korun. Možná by vydělal mnohem víc, kdyby film nabídl v české verzi ke koupi na iTunes a podobných obchodech s hudbou a filmy.

Slovenský Národní bezpečnostní úřad sice zodpovídá za podepsané certifikáty, ale už nějak pozapomíná upozorňovat na různé změny. Třeba ty v podpisové politice. Důsledkem tohoto jednání se tak nově vydané digitální podpisy staly neplatnými, aniž by byl kdokoliv informován. Jak se píše v blogu, úřad stále pokračuje ve stylu NBUSR123. Uživatelé aplikace QSign si musí aktualizovat důvěryhodný seznam podpisových politik.

Naše postřehy

Microsoft Windows XP/Vista/7/2000/Server 2003/2008 obsahuje kritickou chybu (CVE-2013–3660) umožňující lokální spuštění kódu s oprávněním administrátora. Chyba byla nalezena ve funkci win32k!EPATHOBJ::pprFlattenRec, která nesprávně nakládá s určitými objekty v paměti.

Používáte Cryptocat? Jedná se o populární open-source komunikační rozhraní podobné chatu, kdy by však vaše komunikace s ostatními měla být naprosto bezpečná a soukromá. Bohužel se však ukázalo, že mezi 17. říjnem 2011 a 15. červnem 2013 implementace protokolu obsahovala chybu/slabinu, kdy bylo možné komunikaci rekonstruovat. Současná verze by k tomuto útoku již neměla být náchylná.

Myslíte si, že operace provedené přes HTTPS (SSL/TLS) jsou bezpečné? V podstatě ano, ale protože téměř sto procent webů používá stále stejný klíč na straně serveru, tak je možné po jeho získání zpětně dešifrovat komunikaci starou i několik let. Existuje však pár vyjímek, které používají HTTPS s PFS (Perfect Forward Secrecy), které tímto netrpí, protože po ustavení spojení použijí nový, dočasný soukromý klíč.

Podle jednoho z dokumentů od Edwarda Snowdena NSA odposlouchávala speciální šifrovaný fax zastupitelství Evropské unie, ambasády Francie, Řecka, Itálie a dalších zastupitelství po celém světě pomocí zařízení pojmenované Dropmire.

Článek popisuje způsob bypassování WAF (Web Application Firewall) a spuštění XSS útoku na WordPressu, respektive jednom z jeho modulů. Článek nezůstává u jediné ukázky, ale prochází pestrou škálu způsobů zneužití. Na přetřes přijde i Metasploit (konkrétně java exploity) nebo BeEF.

Jeden z webů známé herní společnosti Ubisoft byl hacknut. V důsledku útoku byly kompromitovány některé uživatelské účty. Zájem o podobné weby mají útočníci hlavně kvůli velkému počtu osobních údajů. Ty se dají následně buď prodat nebo využít pro vlastní účely.

O tom, že i mistr tesař se někdy utne napovídá nález Xylitola v Control Panelu nedávno uniklého kódu bankeru Carberp. Xylitol objevil chybu typu Remote Code Execution umožňující útočníkovi spustit libovolný PHP kód v rámci Carberp panelu.

TrendMicro zpracoval několik doporučení popisující, jak zabezpečit prostředí SCADA systémů. Tato oblast je z pohledu bezpečnosti stále poměrně podceňovaná, a proto by podobných doporučení mělo být jistě více.

Viry a botnety

Páté číslo virového magazínu DarK-CodeZ je venku. A nač se můžete těšit? Například na kódy vznikající v rámci projektu LIP (viz spth.virii.lu/LIP.html).

Brzy byl měl být přijat nový zákon o kyberzločinu platný v celé Evropské unii. Zaměřen je především na sankce za používání botnetů, útoky na kritickou infrastrukturu a organizované kyberzločince.

Glazunov exploit kit se v poslední době stává hlavním tématem mezi exploit kity. Následující článek se pouští do srovnaní a hledání podobností tohoto kitu s dvěma dalšími. Stojí za všemi stejný autor, nebo se autoři inspirovali jeden od druhého?

Cool Exploit Kit nyní zahrnul do svého balíku mnoho nových exploitů včetně několika 0day.

Pro pobavení

Chatujemem pomocí popisovačů WiFi sítí

Již více než dva týdny není známé kde se pohybuje Edward Snowden. Byl však prý zpozorován na této fotografii. Dokážete ho nalézt?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, napište nám na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Jelení farma produkuje kvalitní maso

Jelení farma produkuje kvalitní maso

Vitalia.cz: Jeďte do lázní, to je holistika

Jeďte do lázní, to je holistika

DigiZone.cz: Brexit na ČT 24? Skoro 2 miliony...

Brexit na ČT 24? Skoro 2 miliony...

DigiZone.cz: Světlé zítřky gaučových sportovců

Světlé zítřky gaučových sportovců

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

DigiZone.cz: Nova: technické pauzy každé 1. pondělí

Nova: technické pauzy každé 1. pondělí

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Boj Markízy a Novy o federální trh vrcholí

Boj Markízy a Novy o federální trh vrcholí

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Měšec.cz: Apple Pay je v Česku. Návod na aktivaci

Apple Pay je v Česku. Návod na aktivaci

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

Lupa.cz: Zkoušeli operátoři manipulovat měření LTE?

Zkoušeli operátoři manipulovat měření LTE?

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR

Vitalia.cz: 7 receptur z pohanky. Svědčí zdraví

7 receptur z pohanky. Svědčí zdraví

DigiZone.cz: Roční bonus pro Dvořáka schválen

Roční bonus pro Dvořáka schválen