Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Martin Čmelík 8. 7. 2013

Pokud vlastníte zařízení s Androidem, pravděpodobně patříte mezi 99 % uživatelů, kteří mohou přijít o soukromá data. Podle společnosti BlueBox za problémem stojí nedokonalost v návrhu Androidu umožňující upravovat kód podepsaných APK souborů a tím přetransformovat legitimní aplikace na infikované/trojanizované.

Toto se děje bez povšimnutí Google storu, zařízení i uživatele a to již od verze Androidu 1.6, která je stará přibližně 4 roky. Pokud takto upravíte aplikace výrobců jako HTC, Samsung, Motorola, LG apod., které běží pod právy superuživatele, tak si na daném zařízení můžete dělat opravdu cokoliv. Ať už odposlouchávat veškerou komunikaci (SMS, Web, hovory, kontakty, mobilní banking, sociální sítě, …), tak vytvořit z mobilu zombie a vzdáleně jej ovládat. Což je výhodné, protože smartphone je online častěji než většina počítačů, co máme doma.

Z domova

Režisér Jan Svěrák vyhrál po dvou letech přetahovanou mezi ním a serverem Share-rapid.cz, ve které šlo o zpřístupnění nelegální kopie Svěrákova filmu “Kuky se vrací” ze strany serveru. Kromě prohry tohoto sporu musí Share-rapid.cz uhradit pokutu přibližně půl milionu korun. Možná by vydělal mnohem víc, kdyby film nabídl v české verzi ke koupi na iTunes a podobných obchodech s hudbou a filmy.

Slovenský Národní bezpečnostní úřad sice zodpovídá za podepsané certifikáty, ale už nějak pozapomíná upozorňovat na různé změny. Třeba ty v podpisové politice. Důsledkem tohoto jednání se tak nově vydané digitální podpisy staly neplatnými, aniž by byl kdokoliv informován. Jak se píše v blogu, úřad stále pokračuje ve stylu NBUSR123. Uživatelé aplikace QSign si musí aktualizovat důvěryhodný seznam podpisových politik.

Naše postřehy

Microsoft Windows XP/Vista/7/2000/Server 2003/2008 obsahuje kritickou chybu (CVE-2013–3660) umožňující lokální spuštění kódu s oprávněním administrátora. Chyba byla nalezena ve funkci win32k!EPATHOBJ::pprFlattenRec, která nesprávně nakládá s určitými objekty v paměti.

Používáte Cryptocat? Jedná se o populární open-source komunikační rozhraní podobné chatu, kdy by však vaše komunikace s ostatními měla být naprosto bezpečná a soukromá. Bohužel se však ukázalo, že mezi 17. říjnem 2011 a 15. červnem 2013 implementace protokolu obsahovala chybu/slabinu, kdy bylo možné komunikaci rekonstruovat. Současná verze by k tomuto útoku již neměla být náchylná.

Myslíte si, že operace provedené přes HTTPS (SSL/TLS) jsou bezpečné? V podstatě ano, ale protože téměř sto procent webů používá stále stejný klíč na straně serveru, tak je možné po jeho získání zpětně dešifrovat komunikaci starou i několik let. Existuje však pár vyjímek, které používají HTTPS s PFS (Perfect Forward Secrecy), které tímto netrpí, protože po ustavení spojení použijí nový, dočasný soukromý klíč.

Podle jednoho z dokumentů od Edwarda Snowdena NSA odposlouchávala speciální šifrovaný fax zastupitelství Evropské unie, ambasády Francie, Řecka, Itálie a dalších zastupitelství po celém světě pomocí zařízení pojmenované Dropmire.

Článek popisuje způsob bypassování WAF (Web Application Firewall) a spuštění XSS útoku na WordPressu, respektive jednom z jeho modulů. Článek nezůstává u jediné ukázky, ale prochází pestrou škálu způsobů zneužití. Na přetřes přijde i Metasploit (konkrétně java exploity) nebo BeEF.

Jeden z webů známé herní společnosti Ubisoft byl hacknut. V důsledku útoku byly kompromitovány některé uživatelské účty. Zájem o podobné weby mají útočníci hlavně kvůli velkému počtu osobních údajů. Ty se dají následně buď prodat nebo využít pro vlastní účely.

O tom, že i mistr tesař se někdy utne napovídá nález Xylitola v Control Panelu nedávno uniklého kódu bankeru Carberp. Xylitol objevil chybu typu Remote Code Execution umožňující útočníkovi spustit libovolný PHP kód v rámci Carberp panelu.

TrendMicro zpracoval několik doporučení popisující, jak zabezpečit prostředí SCADA systémů. Tato oblast je z pohledu bezpečnosti stále poměrně podceňovaná, a proto by podobných doporučení mělo být jistě více.

Viry a botnety

Páté číslo virového magazínu DarK-CodeZ je venku. A nač se můžete těšit? Například na kódy vznikající v rámci projektu LIP (viz spth.virii.lu/LIP.html).

Brzy byl měl být přijat nový zákon o kyberzločinu platný v celé Evropské unii. Zaměřen je především na sankce za používání botnetů, útoky na kritickou infrastrukturu a organizované kyberzločince.

Glazunov exploit kit se v poslední době stává hlavním tématem mezi exploit kity. Následující článek se pouští do srovnaní a hledání podobností tohoto kitu s dvěma dalšími. Stojí za všemi stejný autor, nebo se autoři inspirovali jeden od druhého?

Cool Exploit Kit nyní zahrnul do svého balíku mnoho nových exploitů včetně několika 0day.

Pro pobavení

Chatujemem pomocí popisovačů WiFi sítí

Již více než dva týdny není známé kde se pohybuje Edward Snowden. Byl však prý zpozorován na této fotografii. Dokážete ho nalézt?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, napište nám na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

DigiZone.cz: Dotyková iiyama Prolite pro reklamu

Dotyková iiyama Prolite pro reklamu

Podnikatel.cz: Youtuber? Za 15 tisíc dělat nebude

Youtuber? Za 15 tisíc dělat nebude

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Vitalia.cz: Je bílý kokos fakt tak úžasný? Ano, je!

Je bílý kokos fakt tak úžasný? Ano, je!

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud