Postřehy z bezpečnosti: recept na děravé jablko

Autor: Tara Carreon
Pavel Bašta 22. 6. 2015

V dnešním díle postřehů se podíváme na problémy služby Keychain, která se na operačních systémech Applu stará o správu přihlašovacích údajů, dále na zranitelnost klávesnice SwiftKey na zařízeních Samsung, na omyl deníku Bild, na extrémní způsob využití sociálních sítí nebo na otázky ze SharkFestu.

Skupina výzkumníků z několika univerzit nalezla zranitelnost v Keychain, tedy ve službě, která se na operačních systémech společnosti Apple stará o správu přihlašovacích údajů. Každá položka v Keychain uchovává přihlašovací údaj (heslo, tajný klíč), který je chráněn, a sadu atributů jako jméno účtu, jméno služby, cestu a další. Typy atributů závisí na třídě záznamu, typicky internetové heslo či obecné heslo. Aplikace nejprve pomocí atributů hledá, zda už má v Keychain vytvořenou položku. Pokud ano, položka může být aktualizována pouze po autentizaci (ověření podpisu) a autorizaci (kontrola ACL) operačním systémem. V opačném případě aplikace vytvoří novou položku a nastaví jí atributy.

V OS X může navíc tvůrce položky v Keychain připojit ACL (access control list), který obsahuje informace o operacích, které mohou být s položkou prováděny (čtení, zápis) a seznam důvěryhodných aplikací, které mohou dané operace provádět. Kdykoliv se aplikace pokusí přistoupit k nějaké položce, služba Keychain nejdříve ověří, zda je povolen přístup k dané položce, a pak zkontroluje, zda má aplikace v ACL povolen přístup k dané položce. Pokud ne, je vyžadováno povolení od uživatele.

Výzkumníci však nalezli v tomto mechanismu dvě zranitelnosti, které dohromady umožňují jiné aplikaci získat neoprávněně přístup k cizí položce. Pokud totiž útočník vytvoří v Keychain položku s použitím atributů aplikace, jejíž přihlašovací údaje chce získat, a povolí tuto aplikaci v ACL, pak pokud tato aplikace najde položku se svými atributy v Keychain, zapíše do ní své přihlašovací údaje. Protože cílová aplikace je v ACL položky, která je kontrolovaná útočníkem, operační systém jí dovolí veškeré požadované operace. Cílová aplikace nedostane od služby Keychain žádné varování, které by ji upozornilo, že položka byla vytvořena nedůvěryhodným vlastníkem.

Toto celé je však možné, pouze pokud položka dané aplikace v Keychain již neexistuje. Malware by tedy musel být na systému ještě před danou aplikací. Naneštěstí je tu však ještě druhá zranitelnost, díky které může být již existující položka v Keychain smazána i neautorizovanou aplikací. Útočník tak v podstatě potřebuje pouze najít již existující položku, smazat ji a následně vytvořit novou se stejnými atributy a počkat, až do ní cílová aplikace uloží svá data. Tento popisovaný problém se týká pouze OS X, který používá ACL kvůli sdílení přihlašovacích údajů skupinami aplikací. V dokumentu je nicméně popsán i další útok, Scheme Hijacking, který se týká obou operačních systémů Apple. 

Výzkumníci na problémy přišli již před delší dobou a vše oznámili společnosti Apple. Ta si na vyřešení vzala půlroční lhůtu, protože však ani po půl roce nedošlo k vydání záplaty, rozhodli se výzkumníci informace o chybě zveřejnit.

Naše postřehy

Bezpečnostní analytici publikovali detaily zranitelnosti, která by podle jejich tvrzení mohla ohrožovat více než 600 milionů mobilních zařízení Samsungu po celém světě. Problém se týká i nedávno uvedeného Galaxy S6. Konkrétně se jedná o klávesnici SwiftKey, která je předinstalována na všech zařízeních Samsung. Problém podle analytiků společnosti Nowsecure spočívá ve způsobu, jakým si klávesnice stahuje nové jazyky či upgrady existujících jazyků. Své updaty totiž stahuje v podobě archívu ZIP pomocí běžného HTTP namísto HTTPS. Žádným způsobem také není kontrolována pravost staženého souboru, takže útočník může snadno podvrhnout vlastní soubor, například pomocí vlastního Wi-Fi hotspotu nebo v pozici man-in-the-middle. Ke stahování dochází automaticky po každém restartu a také v náhodných intervalech. Tato klávesnice navíc nemůže být vypnuta či odinstalována a chyba může být zneužita, i když klávesnice není v systému jako výchozí.

Německý deník Bild přinesl informace o tom, že za napadením počítačů trojským koněm v německém parlamentu stála prvotní infekce osobního počítače Angely Merkelové. Podle deníku Bild měl být z počítače kancléřky Merkelové posílán e-mail ostatním členům Bundestagu, který se měl tvářit jako pozvánka na konferenci, ale ve skutečnosti obsahoval odkaz, který mohl vést k napadení malwarem. Později se nicméně ukázalo, že šlo pravděpodobně o dezinformaci, protože e-mail byl ve skutečnosti odeslán z polského e-mailového účtu, který měl však jako jméno odesílatele nastavené jméno německé kancléřky. 

Některé lidi tak s sebou vzít na ozbrojenou loupež. Gary Pacitti neměl ve svých 21 letech lepší nápad, než se na Facebooku pochlubit, že se právě zúčastnil ozbrojené loupeže. Uživatelé dávají na Internet a na sociální sítě ledaco, ale Gary posunul hranice nemožného zase o kousek dál.

Společnost Symantec upozornila na nový password recovery podvod, ve kterém přijde oběti z neznámého čísla nejdříve SMS s textem podobným následujícímu. „Tady je Google. Zaznamenali jsme na vašem účtu podezřelé aktivity. Prosíme, zašlete nám váš ověřovací kód.“ Následně přijde uživateli SMS s „ověřovacím kódem“, který je ve skutečnosti kódem potřebným k resetování hesla u dané služby. Jakmile jej uživatel přepošle, útočník ovládne účet dané služby. Jednoduché, ale věřím, že účinné.

Vypracované odpovědi na úkoly z loňského SharkFestu pořádaného Wireshark university si můžete projít na InfoSec Institute: první část a druhá část. V příkladech se například dozvíte, jak zjistit pravou povahu přenášených souborů, jak zjisti verzi operačního systému klienta z nachytaných dat, jak exportovat HTTP objekty z nachytaného provozu nebo jak si nechat zobrazit všechny webové servery obsažené v hlavičkách HTTP odpovědí.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: I tuto vodu můžete pít

I tuto vodu můžete pít

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

120na80.cz: Začátek hlavní sezóny pelyňku je tu

Začátek hlavní sezóny pelyňku je tu

Podnikatel.cz: Selhala pokladna k EET. Kdo zaplatí pokutu?

Selhala pokladna k EET. Kdo zaplatí pokutu?

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Vitalia.cz: Tohle je Břicháč Tom, co zhubnul 27 kg

Tohle je Břicháč Tom, co zhubnul 27 kg

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

DigiZone.cz: Markíza HD a Dajto? U Digi TV asi minulost

Markíza HD a Dajto? U Digi TV asi minulost

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Sázka na e-sporty stanici Prima vychází

Sázka na e-sporty stanici Prima vychází

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

Vitalia.cz: Taky je nosíte? Barefoot není pro každého

Taky je nosíte? Barefoot není pro každého

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři