Postřehy z bezpečnosti: mnoho zranitelností – androidova smrt

Pavel Bašta 16. 2. 2015

V dnešním díle postřehů se podíváme na koktejl zranitelností chytrých telefonů s OS Android, který umožňuje vzdálenou instalaci libovolné aplikace, dále na útoky na platební systém Boleto, 15 let starou chybu v systémech Microsoftu, na meteostanici posílající heslo k WiFi do cloudu a další zajímavosti.

Kombinace nedostatečné ochrany serveru Google Play, na kterém chybí příslušná hlavička X-Frame-Options, jenž slouží jako ochrana proti clickjackingu (hlavička X-Frame-Options v podstatě brání načtení dané webové stránky v rámci jiné webové stránky pomocí tagu iframe) společně s jednou z dalších dvou zranitelností, může vést k instalování škodlivé aplikace bez vědomí uživatele. Zneužitím nedávno objevené zranitelnosti universal cross-site scripting nalezené v prohlížečích distribuovaných s verzemi Androidu nižšími než 4.4, nebo XSS zranitelnosti v Google Play může útočník vzdáleně nainstalovat libovolnou Android aplikaci na chytrý telefon.

Již existuje modul pro metasploit, který umožňuje tento útok provést, proto se doporučuje uživatelům starších verzí Androidu používat prohlížeče, které nejsou zranitelné, jako je Firefox, či Chrome, nebo se po dobu používání zranitelného prohlížeče odhlásit z Google účtu. Každopádně podle statistik společnosti Google používá verze Andoid nižší než 4.4 skoro 60 procent uživatelů.

Naše postřehy

Jak by řekl Arnie, navrhuji zaútočit na uživatele v ČR skutečně masivní phishingovou kampaní. To si asi řekli tento týden i útočníci, když v e-mailových schránkách uživatelů přistávaly nejrůznější pokusy o phishing. Jednalo se o jak o kousky s přiloženým virem, tak i o klasické phishingové e-maily obsahující odkaz na externí stránku vyžadující klientovy přihlašovací údaje.

Útočníci, kteří se zaměřují na útoky na brazilský platební systém Boleto nyní začali kromě malware s úspěchem využívat také DNS Poisoning. Útočníci přitom využívají slabá hesla, zranitelnosti serverů i DNS Cache Poisoning. Společnost RSA proto k obraně doporučila používat DNSSEC, co největší náhodnost používaných čísel portů na DNS serveru, zrušení otevřených rekurzivních nameserverů, používání HTTPS a včasné upgradování modemů/routerů. Celkově vzato nic nového pod sluncem.

Toto úterý vydala společnost Microsoft svou obvyklou kolekci záplat. Tentokrát stojí za povšimnutí oprava eskalace privilegií, která umožňuje útočníkovi kompletní převzetí počítače oběti, a dále kritická chyba pojmenovaná JASBUG, která patří mezi poslední dobou oblíbené archivní kousky. Konkrétně tato zranitelnost existovala ve všech systémech společnosti Microsoft dlouhých patnáct let. Chyba se týkala samotného jádra systému a jen příprava záplaty trvala jeden rok. Chyba umožňuje útočníkovi vzdálené spuštění kódu. Podle dostupných informací se možné zneužití týká především firemních uživatelů s přenosnými počítači, protože k provedení útoku se musí jednat o počítač s nakonfigurovaným připojením do domény, který se připojí do sítě ovládané útočníkem. A mimochodem, pokud vám přestal po úterních updatech fungovat Cisco AnyConnect klient na Win 8.1, pak v tom nejste sami a zatím se problém dá obejít spuštěním vpnui.exe v módu kompatibility.

Pokud cestujete, mohla by se vám hodit doporučení týkající se využívání WiFi připojení , které je dnes již nabízeno většinou hotelů zdarma. Kromě odposlechu komunikace, či MITM útoků se v těchto sítích můžete setkat i s vypracovanějšími útoky. V článku jsou doporučení jak pro samotné správce hotelových WiFi sítí, tak také pro koncové uživatele.

Federální úřady v USA musí před spuštěním jakékoliv technologie sbírající soukromá data provést ohodnocení dopadu na soukromí. Co čert nechtěl, FBI ne a ne najít příslušný dokument na toto téma, který by se měl vztahovat k problematice používání dronů ke sledování osob.

Na serveru isc.sans.edu se objevil pěkný příspěvek popisující trable s meteorologickou stanicí značky Netatmo, kterou lze zakoupit i v našich obchodech. Autor příspěvku v něm popisuje, jak jej snort po zprovoznění zařízení upozornil na podezřelý odchozí provoz. Při bližším zkoumání se ukázalo, že zařízení odesílá uživatelem nastavená data v clear textu do „cloudu“. Přenášená data pak obsahují takové nevýznamné informace, jako je MAC adresa zařízení a uživatelem nastavené SSID WiFi sítě a také heslo pro WPA.

Graph API Facebooku obsahovalo chybu, díky které bylo možné smazat jakékoliv album jiného uživatele. Překvapivě bylo možné k smazání fotoalba jiného uživatele použít vlastní přístupový token vygenerovaný mobilní verzí Facebooku.

Tři studenti z univerzity Saarland v Německu našli na Internetu okolo čtyřiceti tisíc instancí MongoDB otevřených do Internetu. Mezi nimi jsou třeba i takové perly, jako databáze francouzské telekomunikační společnosti s osmi milióny záznamů o zákaznících.

A nakonec opět přidáme pár pozitivních událostí. Společnost Facebook spustila novou platformu ThreatExchange, která má usnadnit sdílení informací o nových hrozbách. Platforma zatím obsahuje především volně dostupná data, jako jsou informace o doménových jménech zneužívaných k rozesílání spamu, či vzorky malware. V systému jsou však také nástroje umožňující nastavit jaká data a s kým si přeje daný subjekt sdílet. Do projektu se již připojily společnosti jako Bitly, Dropbox, Pinterest, Tumblr, Twitter či Yahoo.

Pokud byste jako já někdy potřebovali seznam nejvýraznějších bezpečnostních incidentů zaznamenaných v určitém měsíci, pak se vám může hodit informační servis provozovaný Národním centrem kybernetické bezpečnosti.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Vitalia.cz: Pepsi Cola mění sirup za cukr

Pepsi Cola mění sirup za cukr

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Lupa.cz: Pokémon GO není jediná rozšířená realita. Co dál?

Pokémon GO není jediná rozšířená realita. Co dál?

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

Vitalia.cz: Signál roztroušené sklerózy: brnění končetin

Signál roztroušené sklerózy: brnění končetin

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají