Postřehy z bezpečnosti: nešťastný Android a nepřehlédnutelná novinka ve Windows 10

Zuzana Duračinská 3. 8. 2015

Nové objevy, které se k nám postupně dostávaly díky Hacker teamu, nás zaměstnaly na pár týdnů. Díky nim byly posunuty hranice vnímání bezpečnosti. Spolupráce Hacker teamu s vládami jednotlivých států občany asi moc nepotěšila. Už teď víme, že jde o bezpečnostní událost roku 2015. Co přinesl uplynulý týden?

Velmi významnou událostí minulého týdne byla určitě konference IETF 93, která se po čtyřech letech vrátila do Prahy. Když přijede na takovouto akci 1384 účastníků, můžeme si být jisti, že se jedná o mimořádné setkání. Praha nehostí světové odborníky na tvorbu standardů každý den. I když je sledování práce jednotlivých WG poměrně náročné, najdou se skupiny, jejichž činnost se z pohledu bezpečnosti sledovat vyplatí. Konkrétně mám nyní na mysli například Domain Boundaries (DBOUND), DANE či DNS PRIVates Exchange (DPRIVE). Schválení těchto bezpečnostních standardů je ale jen jedním krokem v procesu, na jehož konci bude bezpečnější Internet; bez vůle operátorů a správců se o moc dál neposuneme. Třešničkou na dortu pražského IETF byl určitě Edward Snowden. O velké postavě, která v dobrém i zlém zahýbala bezpečností, jste si mohli přečíst i na Rootu.

K velkým společnostem vydávajícím pravidelné reporty, v nichž se ohlíží do minulosti a snaží se předpovídat nové trendy, se přidává také CISCO. Právě v tom posledním [PDF], který hodnotí první půlrok 2015, upozorňuje na téměř 100% nárůst zranitelností (dle počtu CVE) v Adobe Flash. Řada z nich byla odhalena i díky Hacker teamu. Za pozornost jistě stojí, že nové zranitelnosti v Adobe Flash jsou využívány v exploit kitu Angler [PDF]. Prodleva mezi vydáním updatu a skutečným upgradem na straně uživatele dává dostatek času na jeho využití. Naopak počet zranitelností v Javě mírně poklesl. Pozitivní správou je, že bezpečnosti si začínají všímat také autoři open-source projektů. Čas mezi zjištěním zranitelnosti a její opravou se u těchto případů v prvním půlroce snížil. Zvýšená pozornost s ohledem na bezpečnost v open-source projektech se připisuje například i loňským případům, mezi něž patřil například také Heartbleed bug.

Pod Androidem se zatřásla země, když se objevila zranitelnost v jedné komponentě určené na přehrávání videa. Na rozdíl od jiných zranitelností může Stagefright importovat škodlivý kód do zařízení bez interakce uživatele. Pro zaslání upraveného videa tak stačí útočníkovi telefonní číslo. Zda se videosoubor spustí, záleží na tom, jak telefon multimediální zprávy zpracovává. Problém nastává v aplikacích jakou je například Hangouts, který po přijetí ve výchozím nastavení obsah souboru stáhne. Zranitelnost se týká přibližně 95 % všech zařízení s operačním systémem Android, avšak nejzranitelnější by měly být Froyo 2.2 a Gingerbread 2.3, které disponují několika metodami, jak získat rootovská práva. Informace o počtech zneužití zatím dostupné nejsou. Než se však patche dostanou na všechny zařízení, útočníci mají ještě dost času. Na nejbližší Black Hat konferenci se o této zranitelnosti jistě dozvíme víc.

Společnost Trend Micro přidělala v závěru minulého týdne na čele Androidu ještě jednu vrásku. Na rozdíl od Stagefright je však v tomto případě potřebná menší interakce uživatele (což by vzhledem k pokročilým phishingovým útokům neměl být problém). Přes škodlivou aplikaci nebo upravenou webovou stránku je možné telefon uvést do stavu, kdy se jeví jako úplně vypnutý. Zranitelnost se týká asi poloviny všech zařízeních s Android, od verze 4.3 (Jelly Bean) a vyšší. Proof of concept najdete na TheHackerNews. Co má však tato záležitost společného s Stagefrigtem? Google byl na obě zranitelností upozorněn před zveřejněním, a to v dostatečném předstihu. Vytvořit a rozdistribuovat záplaty však „nestihl“.

Uživatelé Windows 7 a Windows 8 mohou zadarmo upgradovat na Windows 10, který vyšel minulý týden. Nové Windows mají však něco navíc. Jejich Wi-Fi Sense totiž automaticky sdílí přístup k vaší síti s kontakty v Outlooku a Skype. Pokud by se vám to zdálo málo, je možné připojit i kontakty z Facebooku. Jako majitel sítě musíte takovéto sdílení však povolit. Heslo je zasílané na server Microsoftu šifrovaně a následně je uloženo v šifrovaném souboru. Heslo v plaintextu však osoba, která se bude chtít připojit do vaší sítě, neuvidí. Je to však poněkud zvláštní řešení. I když je vyptávání se na heslo v kavárnách občas otravné, určitě si dokážeme představit lepší řešení, jak sdílet přístup k sítím přes kontakty na Facebooku. Panují tak oprávněné obavy o ochranu soukromí (sdílenou síť je možné vysledovat).

Pro paranoidnější uživatele je zdarma ke stažení doplněk do Chrome DMAIL. Ten umožňuje uživatelům Gmailu zbavit se zpráv, i když to pomocí „Undo sent“ do 30 sekund od odeslání e-mailu nestihnou. Tento doplněk byl přitom u Gmailu představen teprve (nebo až) před měsícem. S DMAILem se zpráv nezbavíte úplně, jen k nim omezíte přístup. Zprávy jsou totiž šifrovány pomocí 256bitového algoritmu a zašifrované se zašlou na DMAIL. Na Gmail je odeslána zpráva s odkazem na zprávu na DMAILu a šifrovací klíč, takže otevřením dané URL si příjemce může zprávu přečíst, pokud ji odesilatel ještě nesmazal. Zatím se jedná o beta verzi a proto je počet e-mailů, které je možné tímto způsobem šifrovat, omezený. Tvůrci asi mají zkušenosti se zasíláním e-mailů a s následným bitím se do hlavy.

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525

Lupa.cz: Mažete aplikace? Hodně jich máte zbytečně

Mažete aplikace? Hodně jich máte zbytečně

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

DigiZone.cz: Android TV: s jakým pracuje rozlišením?

Android TV: s jakým pracuje rozlišením?

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Podnikatel.cz: Profese budoucnosti? Úředník nepřežije

Profese budoucnosti? Úředník nepřežije

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

DigiZone.cz: Test Noxon A560+: kvalitka do vaší věže

Test Noxon A560+: kvalitka do vaší věže

Vitalia.cz: Cheese&Chilli: předsudky o nudné britské kuchyni

Cheese&Chilli: předsudky o nudné britské kuchyni

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie