Postřehy z bezpečnosti: mnoho zranitelností – androidova smrt

Pavel Bašta 16. 2. 2015

V dnešním díle postřehů se podíváme na koktejl zranitelností chytrých telefonů s OS Android, který umožňuje vzdálenou instalaci libovolné aplikace, dále na útoky na platební systém Boleto, 15 let starou chybu v systémech Microsoftu, na meteostanici posílající heslo k WiFi do cloudu a další zajímavosti.

Kombinace nedostatečné ochrany serveru Google Play, na kterém chybí příslušná hlavička X-Frame-Options, jenž slouží jako ochrana proti clickjackingu (hlavička X-Frame-Options v podstatě brání načtení dané webové stránky v rámci jiné webové stránky pomocí tagu iframe) společně s jednou z dalších dvou zranitelností, může vést k instalování škodlivé aplikace bez vědomí uživatele. Zneužitím nedávno objevené zranitelnosti universal cross-site scripting nalezené v prohlížečích distribuovaných s verzemi Androidu nižšími než 4.4, nebo XSS zranitelnosti v Google Play může útočník vzdáleně nainstalovat libovolnou Android aplikaci na chytrý telefon.

Již existuje modul pro metasploit, který umožňuje tento útok provést, proto se doporučuje uživatelům starších verzí Androidu používat prohlížeče, které nejsou zranitelné, jako je Firefox, či Chrome, nebo se po dobu používání zranitelného prohlížeče odhlásit z Google účtu. Každopádně podle statistik společnosti Google používá verze Andoid nižší než 4.4 skoro 60 procent uživatelů.

Naše postřehy

Jak by řekl Arnie, navrhuji zaútočit na uživatele v ČR skutečně masivní phishingovou kampaní. To si asi řekli tento týden i útočníci, když v e-mailových schránkách uživatelů přistávaly nejrůznější pokusy o phishing. Jednalo se o jak o kousky s přiloženým virem, tak i o klasické phishingové e-maily obsahující odkaz na externí stránku vyžadující klientovy přihlašovací údaje.

Útočníci, kteří se zaměřují na útoky na brazilský platební systém Boleto nyní začali kromě malware s úspěchem využívat také DNS Poisoning. Útočníci přitom využívají slabá hesla, zranitelnosti serverů i DNS Cache Poisoning. Společnost RSA proto k obraně doporučila používat DNSSEC, co největší náhodnost používaných čísel portů na DNS serveru, zrušení otevřených rekurzivních nameserverů, používání HTTPS a včasné upgradování modemů/routerů. Celkově vzato nic nového pod sluncem.

Toto úterý vydala společnost Microsoft svou obvyklou kolekci záplat. Tentokrát stojí za povšimnutí oprava eskalace privilegií, která umožňuje útočníkovi kompletní převzetí počítače oběti, a dále kritická chyba pojmenovaná JASBUG, která patří mezi poslední dobou oblíbené archivní kousky. Konkrétně tato zranitelnost existovala ve všech systémech společnosti Microsoft dlouhých patnáct let. Chyba se týkala samotného jádra systému a jen příprava záplaty trvala jeden rok. Chyba umožňuje útočníkovi vzdálené spuštění kódu. Podle dostupných informací se možné zneužití týká především firemních uživatelů s přenosnými počítači, protože k provedení útoku se musí jednat o počítač s nakonfigurovaným připojením do domény, který se připojí do sítě ovládané útočníkem. A mimochodem, pokud vám přestal po úterních updatech fungovat Cisco AnyConnect klient na Win 8.1, pak v tom nejste sami a zatím se problém dá obejít spuštěním vpnui.exe v módu kompatibility.

Pokud cestujete, mohla by se vám hodit doporučení týkající se využívání WiFi připojení , které je dnes již nabízeno většinou hotelů zdarma. Kromě odposlechu komunikace, či MITM útoků se v těchto sítích můžete setkat i s vypracovanějšími útoky. V článku jsou doporučení jak pro samotné správce hotelových WiFi sítí, tak také pro koncové uživatele.

Federální úřady v USA musí před spuštěním jakékoliv technologie sbírající soukromá data provést ohodnocení dopadu na soukromí. Co čert nechtěl, FBI ne a ne najít příslušný dokument na toto téma, který by se měl vztahovat k problematice používání dronů ke sledování osob.

Na serveru isc.sans.edu se objevil pěkný příspěvek popisující trable s meteorologickou stanicí značky Netatmo, kterou lze zakoupit i v našich obchodech. Autor příspěvku v něm popisuje, jak jej snort po zprovoznění zařízení upozornil na podezřelý odchozí provoz. Při bližším zkoumání se ukázalo, že zařízení odesílá uživatelem nastavená data v clear textu do „cloudu“. Přenášená data pak obsahují takové nevýznamné informace, jako je MAC adresa zařízení a uživatelem nastavené SSID WiFi sítě a také heslo pro WPA.

Graph API Facebooku obsahovalo chybu, díky které bylo možné smazat jakékoliv album jiného uživatele. Překvapivě bylo možné k smazání fotoalba jiného uživatele použít vlastní přístupový token vygenerovaný mobilní verzí Facebooku.

Tři studenti z univerzity Saarland v Německu našli na Internetu okolo čtyřiceti tisíc instancí MongoDB otevřených do Internetu. Mezi nimi jsou třeba i takové perly, jako databáze francouzské telekomunikační společnosti s osmi milióny záznamů o zákaznících.

A nakonec opět přidáme pár pozitivních událostí. Společnost Facebook spustila novou platformu ThreatExchange, která má usnadnit sdílení informací o nových hrozbách. Platforma zatím obsahuje především volně dostupná data, jako jsou informace o doménových jménech zneužívaných k rozesílání spamu, či vzorky malware. V systému jsou však také nástroje umožňující nastavit jaká data a s kým si přeje daný subjekt sdílet. Do projektu se již připojily společnosti jako Bitly, Dropbox, Pinterest, Tumblr, Twitter či Yahoo.

widgety

Pokud byste jako já někdy potřebovali seznam nejvýraznějších bezpečnostních incidentů zaznamenaných v určitém měsíci, pak se vám může hodit informační servis provozovaný Národním centrem kybernetické bezpečnosti.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Root.cz: Hořící telefon Samsung Note 7 zapálil auto

Hořící telefon Samsung Note 7 zapálil auto

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?