Postřehy z bezpečnosti: recept na děravé jablko

Autor: Tara Carreon
Pavel Bašta 22. 6. 2015

V dnešním díle postřehů se podíváme na problémy služby Keychain, která se na operačních systémech Applu stará o správu přihlašovacích údajů, dále na zranitelnost klávesnice SwiftKey na zařízeních Samsung, na omyl deníku Bild, na extrémní způsob využití sociálních sítí nebo na otázky ze SharkFestu.

Skupina výzkumníků z několika univerzit nalezla zranitelnost v Keychain, tedy ve službě, která se na operačních systémech společnosti Apple stará o správu přihlašovacích údajů. Každá položka v Keychain uchovává přihlašovací údaj (heslo, tajný klíč), který je chráněn, a sadu atributů jako jméno účtu, jméno služby, cestu a další. Typy atributů závisí na třídě záznamu, typicky internetové heslo či obecné heslo. Aplikace nejprve pomocí atributů hledá, zda už má v Keychain vytvořenou položku. Pokud ano, položka může být aktualizována pouze po autentizaci (ověření podpisu) a autorizaci (kontrola ACL) operačním systémem. V opačném případě aplikace vytvoří novou položku a nastaví jí atributy.

V OS X může navíc tvůrce položky v Keychain připojit ACL (access control list), který obsahuje informace o operacích, které mohou být s položkou prováděny (čtení, zápis) a seznam důvěryhodných aplikací, které mohou dané operace provádět. Kdykoliv se aplikace pokusí přistoupit k nějaké položce, služba Keychain nejdříve ověří, zda je povolen přístup k dané položce, a pak zkontroluje, zda má aplikace v ACL povolen přístup k dané položce. Pokud ne, je vyžadováno povolení od uživatele.

Výzkumníci však nalezli v tomto mechanismu dvě zranitelnosti, které dohromady umožňují jiné aplikaci získat neoprávněně přístup k cizí položce. Pokud totiž útočník vytvoří v Keychain položku s použitím atributů aplikace, jejíž přihlašovací údaje chce získat, a povolí tuto aplikaci v ACL, pak pokud tato aplikace najde položku se svými atributy v Keychain, zapíše do ní své přihlašovací údaje. Protože cílová aplikace je v ACL položky, která je kontrolovaná útočníkem, operační systém jí dovolí veškeré požadované operace. Cílová aplikace nedostane od služby Keychain žádné varování, které by ji upozornilo, že položka byla vytvořena nedůvěryhodným vlastníkem.

Toto celé je však možné, pouze pokud položka dané aplikace v Keychain již neexistuje. Malware by tedy musel být na systému ještě před danou aplikací. Naneštěstí je tu však ještě druhá zranitelnost, díky které může být již existující položka v Keychain smazána i neautorizovanou aplikací. Útočník tak v podstatě potřebuje pouze najít již existující položku, smazat ji a následně vytvořit novou se stejnými atributy a počkat, až do ní cílová aplikace uloží svá data. Tento popisovaný problém se týká pouze OS X, který používá ACL kvůli sdílení přihlašovacích údajů skupinami aplikací. V dokumentu je nicméně popsán i další útok, Scheme Hijacking, který se týká obou operačních systémů Apple. 

Výzkumníci na problémy přišli již před delší dobou a vše oznámili společnosti Apple. Ta si na vyřešení vzala půlroční lhůtu, protože však ani po půl roce nedošlo k vydání záplaty, rozhodli se výzkumníci informace o chybě zveřejnit.

Naše postřehy

Bezpečnostní analytici publikovali detaily zranitelnosti, která by podle jejich tvrzení mohla ohrožovat více než 600 milionů mobilních zařízení Samsungu po celém světě. Problém se týká i nedávno uvedeného Galaxy S6. Konkrétně se jedná o klávesnici SwiftKey, která je předinstalována na všech zařízeních Samsung. Problém podle analytiků společnosti Nowsecure spočívá ve způsobu, jakým si klávesnice stahuje nové jazyky či upgrady existujících jazyků. Své updaty totiž stahuje v podobě archívu ZIP pomocí běžného HTTP namísto HTTPS. Žádným způsobem také není kontrolována pravost staženého souboru, takže útočník může snadno podvrhnout vlastní soubor, například pomocí vlastního Wi-Fi hotspotu nebo v pozici man-in-the-middle. Ke stahování dochází automaticky po každém restartu a také v náhodných intervalech. Tato klávesnice navíc nemůže být vypnuta či odinstalována a chyba může být zneužita, i když klávesnice není v systému jako výchozí.

Německý deník Bild přinesl informace o tom, že za napadením počítačů trojským koněm v německém parlamentu stála prvotní infekce osobního počítače Angely Merkelové. Podle deníku Bild měl být z počítače kancléřky Merkelové posílán e-mail ostatním členům Bundestagu, který se měl tvářit jako pozvánka na konferenci, ale ve skutečnosti obsahoval odkaz, který mohl vést k napadení malwarem. Později se nicméně ukázalo, že šlo pravděpodobně o dezinformaci, protože e-mail byl ve skutečnosti odeslán z polského e-mailového účtu, který měl však jako jméno odesílatele nastavené jméno německé kancléřky. 

Některé lidi tak s sebou vzít na ozbrojenou loupež. Gary Pacitti neměl ve svých 21 letech lepší nápad, než se na Facebooku pochlubit, že se právě zúčastnil ozbrojené loupeže. Uživatelé dávají na Internet a na sociální sítě ledaco, ale Gary posunul hranice nemožného zase o kousek dál.

Společnost Symantec upozornila na nový password recovery podvod, ve kterém přijde oběti z neznámého čísla nejdříve SMS s textem podobným následujícímu. „Tady je Google. Zaznamenali jsme na vašem účtu podezřelé aktivity. Prosíme, zašlete nám váš ověřovací kód.“ Následně přijde uživateli SMS s „ověřovacím kódem“, který je ve skutečnosti kódem potřebným k resetování hesla u dané služby. Jakmile jej uživatel přepošle, útočník ovládne účet dané služby. Jednoduché, ale věřím, že účinné.

widgety

Vypracované odpovědi na úkoly z loňského SharkFestu pořádaného Wireshark university si můžete projít na InfoSec Institute: první část a druhá část. V příkladech se například dozvíte, jak zjistit pravou povahu přenášených souborů, jak zjisti verzi operačního systému klienta z nachytaných dat, jak exportovat HTTP objekty z nachytaného provozu nebo jak si nechat zobrazit všechny webové servery obsažené v hlavičkách HTTP odpovědí.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

Lupa.cz: Kde leží hardwarový pupek světa?

Kde leží hardwarový pupek světa?

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup