Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Martin Čmelík 8. 7. 2013

Pokud vlastníte zařízení s Androidem, pravděpodobně patříte mezi 99 % uživatelů, kteří mohou přijít o soukromá data. Podle společnosti BlueBox za problémem stojí nedokonalost v návrhu Androidu umožňující upravovat kód podepsaných APK souborů a tím přetransformovat legitimní aplikace na infikované/trojanizované.

Toto se děje bez povšimnutí Google storu, zařízení i uživatele a to již od verze Androidu 1.6, která je stará přibližně 4 roky. Pokud takto upravíte aplikace výrobců jako HTC, Samsung, Motorola, LG apod., které běží pod právy superuživatele, tak si na daném zařízení můžete dělat opravdu cokoliv. Ať už odposlouchávat veškerou komunikaci (SMS, Web, hovory, kontakty, mobilní banking, sociální sítě, …), tak vytvořit z mobilu zombie a vzdáleně jej ovládat. Což je výhodné, protože smartphone je online častěji než většina počítačů, co máme doma.

Z domova

Režisér Jan Svěrák vyhrál po dvou letech přetahovanou mezi ním a serverem Share-rapid.cz, ve které šlo o zpřístupnění nelegální kopie Svěrákova filmu “Kuky se vrací” ze strany serveru. Kromě prohry tohoto sporu musí Share-rapid.cz uhradit pokutu přibližně půl milionu korun. Možná by vydělal mnohem víc, kdyby film nabídl v české verzi ke koupi na iTunes a podobných obchodech s hudbou a filmy.

Slovenský Národní bezpečnostní úřad sice zodpovídá za podepsané certifikáty, ale už nějak pozapomíná upozorňovat na různé změny. Třeba ty v podpisové politice. Důsledkem tohoto jednání se tak nově vydané digitální podpisy staly neplatnými, aniž by byl kdokoliv informován. Jak se píše v blogu, úřad stále pokračuje ve stylu NBUSR123. Uživatelé aplikace QSign si musí aktualizovat důvěryhodný seznam podpisových politik.

Naše postřehy

Microsoft Windows XP/Vista/7/2000/Server 2003/2008 obsahuje kritickou chybu (CVE-2013–3660) umožňující lokální spuštění kódu s oprávněním administrátora. Chyba byla nalezena ve funkci win32k!EPATHOBJ::pprFlattenRec, která nesprávně nakládá s určitými objekty v paměti.

Používáte Cryptocat? Jedná se o populární open-source komunikační rozhraní podobné chatu, kdy by však vaše komunikace s ostatními měla být naprosto bezpečná a soukromá. Bohužel se však ukázalo, že mezi 17. říjnem 2011 a 15. červnem 2013 implementace protokolu obsahovala chybu/slabinu, kdy bylo možné komunikaci rekonstruovat. Současná verze by k tomuto útoku již neměla být náchylná.

Myslíte si, že operace provedené přes HTTPS (SSL/TLS) jsou bezpečné? V podstatě ano, ale protože téměř sto procent webů používá stále stejný klíč na straně serveru, tak je možné po jeho získání zpětně dešifrovat komunikaci starou i několik let. Existuje však pár vyjímek, které používají HTTPS s PFS (Perfect Forward Secrecy), které tímto netrpí, protože po ustavení spojení použijí nový, dočasný soukromý klíč.

Podle jednoho z dokumentů od Edwarda Snowdena NSA odposlouchávala speciální šifrovaný fax zastupitelství Evropské unie, ambasády Francie, Řecka, Itálie a dalších zastupitelství po celém světě pomocí zařízení pojmenované Dropmire.

Článek popisuje způsob bypassování WAF (Web Application Firewall) a spuštění XSS útoku na WordPressu, respektive jednom z jeho modulů. Článek nezůstává u jediné ukázky, ale prochází pestrou škálu způsobů zneužití. Na přetřes přijde i Metasploit (konkrétně java exploity) nebo BeEF.

Jeden z webů známé herní společnosti Ubisoft byl hacknut. V důsledku útoku byly kompromitovány některé uživatelské účty. Zájem o podobné weby mají útočníci hlavně kvůli velkému počtu osobních údajů. Ty se dají následně buď prodat nebo využít pro vlastní účely.

O tom, že i mistr tesař se někdy utne napovídá nález Xylitola v Control Panelu nedávno uniklého kódu bankeru Carberp. Xylitol objevil chybu typu Remote Code Execution umožňující útočníkovi spustit libovolný PHP kód v rámci Carberp panelu.

TrendMicro zpracoval několik doporučení popisující, jak zabezpečit prostředí SCADA systémů. Tato oblast je z pohledu bezpečnosti stále poměrně podceňovaná, a proto by podobných doporučení mělo být jistě více.

Viry a botnety

Páté číslo virového magazínu DarK-CodeZ je venku. A nač se můžete těšit? Například na kódy vznikající v rámci projektu LIP (viz spth.virii.lu/LIP.html).

Brzy byl měl být přijat nový zákon o kyberzločinu platný v celé Evropské unii. Zaměřen je především na sankce za používání botnetů, útoky na kritickou infrastrukturu a organizované kyberzločince.

Glazunov exploit kit se v poslední době stává hlavním tématem mezi exploit kity. Následující článek se pouští do srovnaní a hledání podobností tohoto kitu s dvěma dalšími. Stojí za všemi stejný autor, nebo se autoři inspirovali jeden od druhého?

Cool Exploit Kit nyní zahrnul do svého balíku mnoho nových exploitů včetně několika 0day.

Pro pobavení

Chatujemem pomocí popisovačů WiFi sítí

Již více než dva týdny není známé kde se pohybuje Edward Snowden. Byl však prý zpozorován na této fotografii. Dokážete ho nalézt?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, napište nám na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Měšec.cz: Na návstěvě: call centrum Global Assistance

Na návstěvě: call centrum Global Assistance

DigiZone.cz: DAB už i z Košic. A překvapivě!

DAB už i z Košic. A překvapivě!

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Jsou obchody připraveny na DVB-T2/HEVC?

Jsou obchody připraveny na DVB-T2/HEVC?

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

Vitalia.cz: Paní výčepní: Holka, co mluví chlapům do piva

Paní výčepní: Holka, co mluví chlapům do piva

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Vitalia.cz: Mateřská - nejlepší období v životě ženy? Hahahaha

Mateřská - nejlepší období v životě ženy? Hahahaha

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

Lupa.cz: Tudy proudí váš hlas i data. V zákulisí CETINu

Tudy proudí váš hlas i data. V zákulisí CETINu

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin