Postřehy z bezpečnosti: recept na děravé jablko

Autor: Tara Carreon
Pavel Bašta 22. 6. 2015

V dnešním díle postřehů se podíváme na problémy služby Keychain, která se na operačních systémech Applu stará o správu přihlašovacích údajů, dále na zranitelnost klávesnice SwiftKey na zařízeních Samsung, na omyl deníku Bild, na extrémní způsob využití sociálních sítí nebo na otázky ze SharkFestu.

Skupina výzkumníků z několika univerzit nalezla zranitelnost v Keychain, tedy ve službě, která se na operačních systémech společnosti Apple stará o správu přihlašovacích údajů. Každá položka v Keychain uchovává přihlašovací údaj (heslo, tajný klíč), který je chráněn, a sadu atributů jako jméno účtu, jméno služby, cestu a další. Typy atributů závisí na třídě záznamu, typicky internetové heslo či obecné heslo. Aplikace nejprve pomocí atributů hledá, zda už má v Keychain vytvořenou položku. Pokud ano, položka může být aktualizována pouze po autentizaci (ověření podpisu) a autorizaci (kontrola ACL) operačním systémem. V opačném případě aplikace vytvoří novou položku a nastaví jí atributy.

V OS X může navíc tvůrce položky v Keychain připojit ACL (access control list), který obsahuje informace o operacích, které mohou být s položkou prováděny (čtení, zápis) a seznam důvěryhodných aplikací, které mohou dané operace provádět. Kdykoliv se aplikace pokusí přistoupit k nějaké položce, služba Keychain nejdříve ověří, zda je povolen přístup k dané položce, a pak zkontroluje, zda má aplikace v ACL povolen přístup k dané položce. Pokud ne, je vyžadováno povolení od uživatele.

Výzkumníci však nalezli v tomto mechanismu dvě zranitelnosti, které dohromady umožňují jiné aplikaci získat neoprávněně přístup k cizí položce. Pokud totiž útočník vytvoří v Keychain položku s použitím atributů aplikace, jejíž přihlašovací údaje chce získat, a povolí tuto aplikaci v ACL, pak pokud tato aplikace najde položku se svými atributy v Keychain, zapíše do ní své přihlašovací údaje. Protože cílová aplikace je v ACL položky, která je kontrolovaná útočníkem, operační systém jí dovolí veškeré požadované operace. Cílová aplikace nedostane od služby Keychain žádné varování, které by ji upozornilo, že položka byla vytvořena nedůvěryhodným vlastníkem.

Toto celé je však možné, pouze pokud položka dané aplikace v Keychain již neexistuje. Malware by tedy musel být na systému ještě před danou aplikací. Naneštěstí je tu však ještě druhá zranitelnost, díky které může být již existující položka v Keychain smazána i neautorizovanou aplikací. Útočník tak v podstatě potřebuje pouze najít již existující položku, smazat ji a následně vytvořit novou se stejnými atributy a počkat, až do ní cílová aplikace uloží svá data. Tento popisovaný problém se týká pouze OS X, který používá ACL kvůli sdílení přihlašovacích údajů skupinami aplikací. V dokumentu je nicméně popsán i další útok, Scheme Hijacking, který se týká obou operačních systémů Apple. 

Výzkumníci na problémy přišli již před delší dobou a vše oznámili společnosti Apple. Ta si na vyřešení vzala půlroční lhůtu, protože však ani po půl roce nedošlo k vydání záplaty, rozhodli se výzkumníci informace o chybě zveřejnit.

Naše postřehy

Bezpečnostní analytici publikovali detaily zranitelnosti, která by podle jejich tvrzení mohla ohrožovat více než 600 milionů mobilních zařízení Samsungu po celém světě. Problém se týká i nedávno uvedeného Galaxy S6. Konkrétně se jedná o klávesnici SwiftKey, která je předinstalována na všech zařízeních Samsung. Problém podle analytiků společnosti Nowsecure spočívá ve způsobu, jakým si klávesnice stahuje nové jazyky či upgrady existujících jazyků. Své updaty totiž stahuje v podobě archívu ZIP pomocí běžného HTTP namísto HTTPS. Žádným způsobem také není kontrolována pravost staženého souboru, takže útočník může snadno podvrhnout vlastní soubor, například pomocí vlastního Wi-Fi hotspotu nebo v pozici man-in-the-middle. Ke stahování dochází automaticky po každém restartu a také v náhodných intervalech. Tato klávesnice navíc nemůže být vypnuta či odinstalována a chyba může být zneužita, i když klávesnice není v systému jako výchozí.

Německý deník Bild přinesl informace o tom, že za napadením počítačů trojským koněm v německém parlamentu stála prvotní infekce osobního počítače Angely Merkelové. Podle deníku Bild měl být z počítače kancléřky Merkelové posílán e-mail ostatním členům Bundestagu, který se měl tvářit jako pozvánka na konferenci, ale ve skutečnosti obsahoval odkaz, který mohl vést k napadení malwarem. Později se nicméně ukázalo, že šlo pravděpodobně o dezinformaci, protože e-mail byl ve skutečnosti odeslán z polského e-mailového účtu, který měl však jako jméno odesílatele nastavené jméno německé kancléřky. 

Některé lidi tak s sebou vzít na ozbrojenou loupež. Gary Pacitti neměl ve svých 21 letech lepší nápad, než se na Facebooku pochlubit, že se právě zúčastnil ozbrojené loupeže. Uživatelé dávají na Internet a na sociální sítě ledaco, ale Gary posunul hranice nemožného zase o kousek dál.

Společnost Symantec upozornila na nový password recovery podvod, ve kterém přijde oběti z neznámého čísla nejdříve SMS s textem podobným následujícímu. „Tady je Google. Zaznamenali jsme na vašem účtu podezřelé aktivity. Prosíme, zašlete nám váš ověřovací kód.“ Následně přijde uživateli SMS s „ověřovacím kódem“, který je ve skutečnosti kódem potřebným k resetování hesla u dané služby. Jakmile jej uživatel přepošle, útočník ovládne účet dané služby. Jednoduché, ale věřím, že účinné.

Vypracované odpovědi na úkoly z loňského SharkFestu pořádaného Wireshark university si můžete projít na InfoSec Institute: první část a druhá část. V příkladech se například dozvíte, jak zjistit pravou povahu přenášených souborů, jak zjisti verzi operačního systému klienta z nachytaných dat, jak exportovat HTTP objekty z nachytaného provozu nebo jak si nechat zobrazit všechny webové servery obsažené v hlavičkách HTTP odpovědí.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,33

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

120na80.cz: Co lidi tropí se sádrou

Co lidi tropí se sádrou

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

Vitalia.cz: Dnešní patolog o mrtvolu téměř nezavadí

Dnešní patolog o mrtvolu téměř nezavadí

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Vitalia.cz: Syndrom počítačového vidění: stačí dvě hodiny denně

Syndrom počítačového vidění: stačí dvě hodiny denně

Lupa.cz: Babiš: nevím o návodu, jak obejít blokování webů

Babiš: nevím o návodu, jak obejít blokování webů

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

DigiZone.cz: Šlágr TV: pokuta 100 tisíc za on-line

Šlágr TV: pokuta 100 tisíc za on-line

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

DigiZone.cz: Změní se veřejnoprávní status ČT?

Změní se veřejnoprávní status ČT?

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

DigiZone.cz: Konec geoblokace? Ani náhodou…

Konec geoblokace? Ani náhodou…

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Vitalia.cz: Sója a rakovina

Sója a rakovina

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas