Postřehy z bezpečnosti: mnoho zranitelností – androidova smrt

Pavel Bašta 16. 2. 2015

V dnešním díle postřehů se podíváme na koktejl zranitelností chytrých telefonů s OS Android, který umožňuje vzdálenou instalaci libovolné aplikace, dále na útoky na platební systém Boleto, 15 let starou chybu v systémech Microsoftu, na meteostanici posílající heslo k WiFi do cloudu a další zajímavosti.

Kombinace nedostatečné ochrany serveru Google Play, na kterém chybí příslušná hlavička X-Frame-Options, jenž slouží jako ochrana proti clickjackingu (hlavička X-Frame-Options v podstatě brání načtení dané webové stránky v rámci jiné webové stránky pomocí tagu iframe) společně s jednou z dalších dvou zranitelností, může vést k instalování škodlivé aplikace bez vědomí uživatele. Zneužitím nedávno objevené zranitelnosti universal cross-site scripting nalezené v prohlížečích distribuovaných s verzemi Androidu nižšími než 4.4, nebo XSS zranitelnosti v Google Play může útočník vzdáleně nainstalovat libovolnou Android aplikaci na chytrý telefon.

Již existuje modul pro metasploit, který umožňuje tento útok provést, proto se doporučuje uživatelům starších verzí Androidu používat prohlížeče, které nejsou zranitelné, jako je Firefox, či Chrome, nebo se po dobu používání zranitelného prohlížeče odhlásit z Google účtu. Každopádně podle statistik společnosti Google používá verze Andoid nižší než 4.4 skoro 60 procent uživatelů.

Naše postřehy

Jak by řekl Arnie, navrhuji zaútočit na uživatele v ČR skutečně masivní phishingovou kampaní. To si asi řekli tento týden i útočníci, když v e-mailových schránkách uživatelů přistávaly nejrůznější pokusy o phishing. Jednalo se o jak o kousky s přiloženým virem, tak i o klasické phishingové e-maily obsahující odkaz na externí stránku vyžadující klientovy přihlašovací údaje.

Útočníci, kteří se zaměřují na útoky na brazilský platební systém Boleto nyní začali kromě malware s úspěchem využívat také DNS Poisoning. Útočníci přitom využívají slabá hesla, zranitelnosti serverů i DNS Cache Poisoning. Společnost RSA proto k obraně doporučila používat DNSSEC, co největší náhodnost používaných čísel portů na DNS serveru, zrušení otevřených rekurzivních nameserverů, používání HTTPS a včasné upgradování modemů/routerů. Celkově vzato nic nového pod sluncem.

Toto úterý vydala společnost Microsoft svou obvyklou kolekci záplat. Tentokrát stojí za povšimnutí oprava eskalace privilegií, která umožňuje útočníkovi kompletní převzetí počítače oběti, a dále kritická chyba pojmenovaná JASBUG, která patří mezi poslední dobou oblíbené archivní kousky. Konkrétně tato zranitelnost existovala ve všech systémech společnosti Microsoft dlouhých patnáct let. Chyba se týkala samotného jádra systému a jen příprava záplaty trvala jeden rok. Chyba umožňuje útočníkovi vzdálené spuštění kódu. Podle dostupných informací se možné zneužití týká především firemních uživatelů s přenosnými počítači, protože k provedení útoku se musí jednat o počítač s nakonfigurovaným připojením do domény, který se připojí do sítě ovládané útočníkem. A mimochodem, pokud vám přestal po úterních updatech fungovat Cisco AnyConnect klient na Win 8.1, pak v tom nejste sami a zatím se problém dá obejít spuštěním vpnui.exe v módu kompatibility.

Pokud cestujete, mohla by se vám hodit doporučení týkající se využívání WiFi připojení , které je dnes již nabízeno většinou hotelů zdarma. Kromě odposlechu komunikace, či MITM útoků se v těchto sítích můžete setkat i s vypracovanějšími útoky. V článku jsou doporučení jak pro samotné správce hotelových WiFi sítí, tak také pro koncové uživatele.

Federální úřady v USA musí před spuštěním jakékoliv technologie sbírající soukromá data provést ohodnocení dopadu na soukromí. Co čert nechtěl, FBI ne a ne najít příslušný dokument na toto téma, který by se měl vztahovat k problematice používání dronů ke sledování osob.

Na serveru isc.sans.edu se objevil pěkný příspěvek popisující trable s meteorologickou stanicí značky Netatmo, kterou lze zakoupit i v našich obchodech. Autor příspěvku v něm popisuje, jak jej snort po zprovoznění zařízení upozornil na podezřelý odchozí provoz. Při bližším zkoumání se ukázalo, že zařízení odesílá uživatelem nastavená data v clear textu do „cloudu“. Přenášená data pak obsahují takové nevýznamné informace, jako je MAC adresa zařízení a uživatelem nastavené SSID WiFi sítě a také heslo pro WPA.

Graph API Facebooku obsahovalo chybu, díky které bylo možné smazat jakékoliv album jiného uživatele. Překvapivě bylo možné k smazání fotoalba jiného uživatele použít vlastní přístupový token vygenerovaný mobilní verzí Facebooku.

Tři studenti z univerzity Saarland v Německu našli na Internetu okolo čtyřiceti tisíc instancí MongoDB otevřených do Internetu. Mezi nimi jsou třeba i takové perly, jako databáze francouzské telekomunikační společnosti s osmi milióny záznamů o zákaznících.

A nakonec opět přidáme pár pozitivních událostí. Společnost Facebook spustila novou platformu ThreatExchange, která má usnadnit sdílení informací o nových hrozbách. Platforma zatím obsahuje především volně dostupná data, jako jsou informace o doménových jménech zneužívaných k rozesílání spamu, či vzorky malware. V systému jsou však také nástroje umožňující nastavit jaká data a s kým si přeje daný subjekt sdílet. Do projektu se již připojily společnosti jako Bitly, Dropbox, Pinterest, Tumblr, Twitter či Yahoo.

Pokud byste jako já někdy potřebovali seznam nejvýraznějších bezpečnostních incidentů zaznamenaných v určitém měsíci, pak se vám může hodit informační servis provozovaný Národním centrem kybernetické bezpečnosti.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Vyrábí boty, ve kterých neumíte chodit

Vyrábí boty, ve kterých neumíte chodit

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí karta

Do ostravské MHD bez jízdenky. Stačí karta

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Měšec.cz: Co když na dovolené přijdete o kartu?

Co když na dovolené přijdete o kartu?

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Podnikatel.cz: Pozor na vykuky, imitují služby České pošty

Pozor na vykuky, imitují služby České pošty

Lupa.cz: Co najdete uvnitř kosmické sondy?

Co najdete uvnitř kosmické sondy?

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud