Postřehy z bezpečnosti: mnoho zranitelností – androidova smrt

Pavel Bašta 16. 2. 2015

V dnešním díle postřehů se podíváme na koktejl zranitelností chytrých telefonů s OS Android, který umožňuje vzdálenou instalaci libovolné aplikace, dále na útoky na platební systém Boleto, 15 let starou chybu v systémech Microsoftu, na meteostanici posílající heslo k WiFi do cloudu a další zajímavosti.

Kombinace nedostatečné ochrany serveru Google Play, na kterém chybí příslušná hlavička X-Frame-Options, jenž slouží jako ochrana proti clickjackingu (hlavička X-Frame-Options v podstatě brání načtení dané webové stránky v rámci jiné webové stránky pomocí tagu iframe) společně s jednou z dalších dvou zranitelností, může vést k instalování škodlivé aplikace bez vědomí uživatele. Zneužitím nedávno objevené zranitelnosti universal cross-site scripting nalezené v prohlížečích distribuovaných s verzemi Androidu nižšími než 4.4, nebo XSS zranitelnosti v Google Play může útočník vzdáleně nainstalovat libovolnou Android aplikaci na chytrý telefon.

Již existuje modul pro metasploit, který umožňuje tento útok provést, proto se doporučuje uživatelům starších verzí Androidu používat prohlížeče, které nejsou zranitelné, jako je Firefox, či Chrome, nebo se po dobu používání zranitelného prohlížeče odhlásit z Google účtu. Každopádně podle statistik společnosti Google používá verze Andoid nižší než 4.4 skoro 60 procent uživatelů.

Naše postřehy

Jak by řekl Arnie, navrhuji zaútočit na uživatele v ČR skutečně masivní phishingovou kampaní. To si asi řekli tento týden i útočníci, když v e-mailových schránkách uživatelů přistávaly nejrůznější pokusy o phishing. Jednalo se o jak o kousky s přiloženým virem, tak i o klasické phishingové e-maily obsahující odkaz na externí stránku vyžadující klientovy přihlašovací údaje.

Útočníci, kteří se zaměřují na útoky na brazilský platební systém Boleto nyní začali kromě malware s úspěchem využívat také DNS Poisoning. Útočníci přitom využívají slabá hesla, zranitelnosti serverů i DNS Cache Poisoning. Společnost RSA proto k obraně doporučila používat DNSSEC, co největší náhodnost používaných čísel portů na DNS serveru, zrušení otevřených rekurzivních nameserverů, používání HTTPS a včasné upgradování modemů/routerů. Celkově vzato nic nového pod sluncem.

Toto úterý vydala společnost Microsoft svou obvyklou kolekci záplat. Tentokrát stojí za povšimnutí oprava eskalace privilegií, která umožňuje útočníkovi kompletní převzetí počítače oběti, a dále kritická chyba pojmenovaná JASBUG, která patří mezi poslední dobou oblíbené archivní kousky. Konkrétně tato zranitelnost existovala ve všech systémech společnosti Microsoft dlouhých patnáct let. Chyba se týkala samotného jádra systému a jen příprava záplaty trvala jeden rok. Chyba umožňuje útočníkovi vzdálené spuštění kódu. Podle dostupných informací se možné zneužití týká především firemních uživatelů s přenosnými počítači, protože k provedení útoku se musí jednat o počítač s nakonfigurovaným připojením do domény, který se připojí do sítě ovládané útočníkem. A mimochodem, pokud vám přestal po úterních updatech fungovat Cisco AnyConnect klient na Win 8.1, pak v tom nejste sami a zatím se problém dá obejít spuštěním vpnui.exe v módu kompatibility.

Pokud cestujete, mohla by se vám hodit doporučení týkající se využívání WiFi připojení , které je dnes již nabízeno většinou hotelů zdarma. Kromě odposlechu komunikace, či MITM útoků se v těchto sítích můžete setkat i s vypracovanějšími útoky. V článku jsou doporučení jak pro samotné správce hotelových WiFi sítí, tak také pro koncové uživatele.

Federální úřady v USA musí před spuštěním jakékoliv technologie sbírající soukromá data provést ohodnocení dopadu na soukromí. Co čert nechtěl, FBI ne a ne najít příslušný dokument na toto téma, který by se měl vztahovat k problematice používání dronů ke sledování osob.

Na serveru isc.sans.edu se objevil pěkný příspěvek popisující trable s meteorologickou stanicí značky Netatmo, kterou lze zakoupit i v našich obchodech. Autor příspěvku v něm popisuje, jak jej snort po zprovoznění zařízení upozornil na podezřelý odchozí provoz. Při bližším zkoumání se ukázalo, že zařízení odesílá uživatelem nastavená data v clear textu do „cloudu“. Přenášená data pak obsahují takové nevýznamné informace, jako je MAC adresa zařízení a uživatelem nastavené SSID WiFi sítě a také heslo pro WPA.

Graph API Facebooku obsahovalo chybu, díky které bylo možné smazat jakékoliv album jiného uživatele. Překvapivě bylo možné k smazání fotoalba jiného uživatele použít vlastní přístupový token vygenerovaný mobilní verzí Facebooku.

Tři studenti z univerzity Saarland v Německu našli na Internetu okolo čtyřiceti tisíc instancí MongoDB otevřených do Internetu. Mezi nimi jsou třeba i takové perly, jako databáze francouzské telekomunikační společnosti s osmi milióny záznamů o zákaznících.

A nakonec opět přidáme pár pozitivních událostí. Společnost Facebook spustila novou platformu ThreatExchange, která má usnadnit sdílení informací o nových hrozbách. Platforma zatím obsahuje především volně dostupná data, jako jsou informace o doménových jménech zneužívaných k rozesílání spamu, či vzorky malware. V systému jsou však také nástroje umožňující nastavit jaká data a s kým si přeje daný subjekt sdílet. Do projektu se již připojily společnosti jako Bitly, Dropbox, Pinterest, Tumblr, Twitter či Yahoo.

Pokud byste jako já někdy potřebovali seznam nejvýraznějších bezpečnostních incidentů zaznamenaných v určitém měsíci, pak se vám může hodit informační servis provozovaný Národním centrem kybernetické bezpečnosti.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,79

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

120na80.cz: Odřenina. Jakou použít dezinfekci?

Odřenina. Jakou použít dezinfekci?

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: Živí mrtví budou na AMC koncem srpna

Živí mrtví budou na AMC koncem srpna

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Podnikatel.cz: Myšlenky Henryho Forda. Berte je za své

Myšlenky Henryho Forda. Berte je za své

DigiZone.cz: Rádio Retro spouští stream o Karlu IV.

Rádio Retro spouští stream o Karlu IV.

Vitalia.cz: Utrhli jste kusadla? Nevadí

Utrhli jste kusadla? Nevadí

120na80.cz: Jak správně vytrhnout mléčný zub?

Jak správně vytrhnout mléčný zub?

Vitalia.cz: Falšované masné výrobky byly v Tescu i Lidlu

Falšované masné výrobky byly v Tescu i Lidlu

Vitalia.cz: Falšovaný salám v Kauflandu

Falšovaný salám v Kauflandu

DigiZone.cz: V RS7 ukončila vysílání Retro Music Television

V RS7 ukončila vysílání Retro Music Television

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

Podnikatel.cz: Etický kodex firmy nezachrání

Etický kodex firmy nezachrání

DigiZone.cz: Podzim přinese sport Viasat Ultra HD

Podzim přinese sport Viasat Ultra HD

120na80.cz: Zjistěte, zda je vaše klíště infikované

Zjistěte, zda je vaše klíště infikované

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Vitalia.cz: 10 rad šéfkuchařů pro perfektní grilování

10 rad šéfkuchařů pro perfektní grilování

Vitalia.cz: Grilujte v parku i na loďce

Grilujte v parku i na loďce

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby