Postřehy z bezpečnosti: recept na děravé jablko

Autor: Tara Carreon
Pavel Bašta 22. 6. 2015

V dnešním díle postřehů se podíváme na problémy služby Keychain, která se na operačních systémech Applu stará o správu přihlašovacích údajů, dále na zranitelnost klávesnice SwiftKey na zařízeních Samsung, na omyl deníku Bild, na extrémní způsob využití sociálních sítí nebo na otázky ze SharkFestu.

Skupina výzkumníků z několika univerzit nalezla zranitelnost v Keychain, tedy ve službě, která se na operačních systémech společnosti Apple stará o správu přihlašovacích údajů. Každá položka v Keychain uchovává přihlašovací údaj (heslo, tajný klíč), který je chráněn, a sadu atributů jako jméno účtu, jméno služby, cestu a další. Typy atributů závisí na třídě záznamu, typicky internetové heslo či obecné heslo. Aplikace nejprve pomocí atributů hledá, zda už má v Keychain vytvořenou položku. Pokud ano, položka může být aktualizována pouze po autentizaci (ověření podpisu) a autorizaci (kontrola ACL) operačním systémem. V opačném případě aplikace vytvoří novou položku a nastaví jí atributy.

V OS X může navíc tvůrce položky v Keychain připojit ACL (access control list), který obsahuje informace o operacích, které mohou být s položkou prováděny (čtení, zápis) a seznam důvěryhodných aplikací, které mohou dané operace provádět. Kdykoliv se aplikace pokusí přistoupit k nějaké položce, služba Keychain nejdříve ověří, zda je povolen přístup k dané položce, a pak zkontroluje, zda má aplikace v ACL povolen přístup k dané položce. Pokud ne, je vyžadováno povolení od uživatele.

Výzkumníci však nalezli v tomto mechanismu dvě zranitelnosti, které dohromady umožňují jiné aplikaci získat neoprávněně přístup k cizí položce. Pokud totiž útočník vytvoří v Keychain položku s použitím atributů aplikace, jejíž přihlašovací údaje chce získat, a povolí tuto aplikaci v ACL, pak pokud tato aplikace najde položku se svými atributy v Keychain, zapíše do ní své přihlašovací údaje. Protože cílová aplikace je v ACL položky, která je kontrolovaná útočníkem, operační systém jí dovolí veškeré požadované operace. Cílová aplikace nedostane od služby Keychain žádné varování, které by ji upozornilo, že položka byla vytvořena nedůvěryhodným vlastníkem.

Toto celé je však možné, pouze pokud položka dané aplikace v Keychain již neexistuje. Malware by tedy musel být na systému ještě před danou aplikací. Naneštěstí je tu však ještě druhá zranitelnost, díky které může být již existující položka v Keychain smazána i neautorizovanou aplikací. Útočník tak v podstatě potřebuje pouze najít již existující položku, smazat ji a následně vytvořit novou se stejnými atributy a počkat, až do ní cílová aplikace uloží svá data. Tento popisovaný problém se týká pouze OS X, který používá ACL kvůli sdílení přihlašovacích údajů skupinami aplikací. V dokumentu je nicméně popsán i další útok, Scheme Hijacking, který se týká obou operačních systémů Apple. 

Výzkumníci na problémy přišli již před delší dobou a vše oznámili společnosti Apple. Ta si na vyřešení vzala půlroční lhůtu, protože však ani po půl roce nedošlo k vydání záplaty, rozhodli se výzkumníci informace o chybě zveřejnit.

Naše postřehy

Bezpečnostní analytici publikovali detaily zranitelnosti, která by podle jejich tvrzení mohla ohrožovat více než 600 milionů mobilních zařízení Samsungu po celém světě. Problém se týká i nedávno uvedeného Galaxy S6. Konkrétně se jedná o klávesnici SwiftKey, která je předinstalována na všech zařízeních Samsung. Problém podle analytiků společnosti Nowsecure spočívá ve způsobu, jakým si klávesnice stahuje nové jazyky či upgrady existujících jazyků. Své updaty totiž stahuje v podobě archívu ZIP pomocí běžného HTTP namísto HTTPS. Žádným způsobem také není kontrolována pravost staženého souboru, takže útočník může snadno podvrhnout vlastní soubor, například pomocí vlastního Wi-Fi hotspotu nebo v pozici man-in-the-middle. Ke stahování dochází automaticky po každém restartu a také v náhodných intervalech. Tato klávesnice navíc nemůže být vypnuta či odinstalována a chyba může být zneužita, i když klávesnice není v systému jako výchozí.

Německý deník Bild přinesl informace o tom, že za napadením počítačů trojským koněm v německém parlamentu stála prvotní infekce osobního počítače Angely Merkelové. Podle deníku Bild měl být z počítače kancléřky Merkelové posílán e-mail ostatním členům Bundestagu, který se měl tvářit jako pozvánka na konferenci, ale ve skutečnosti obsahoval odkaz, který mohl vést k napadení malwarem. Později se nicméně ukázalo, že šlo pravděpodobně o dezinformaci, protože e-mail byl ve skutečnosti odeslán z polského e-mailového účtu, který měl však jako jméno odesílatele nastavené jméno německé kancléřky. 

Některé lidi tak s sebou vzít na ozbrojenou loupež. Gary Pacitti neměl ve svých 21 letech lepší nápad, než se na Facebooku pochlubit, že se právě zúčastnil ozbrojené loupeže. Uživatelé dávají na Internet a na sociální sítě ledaco, ale Gary posunul hranice nemožného zase o kousek dál.

Společnost Symantec upozornila na nový password recovery podvod, ve kterém přijde oběti z neznámého čísla nejdříve SMS s textem podobným následujícímu. „Tady je Google. Zaznamenali jsme na vašem účtu podezřelé aktivity. Prosíme, zašlete nám váš ověřovací kód.“ Následně přijde uživateli SMS s „ověřovacím kódem“, který je ve skutečnosti kódem potřebným k resetování hesla u dané služby. Jakmile jej uživatel přepošle, útočník ovládne účet dané služby. Jednoduché, ale věřím, že účinné.

Vypracované odpovědi na úkoly z loňského SharkFestu pořádaného Wireshark university si můžete projít na InfoSec Institute: první část a druhá část. V příkladech se například dozvíte, jak zjistit pravou povahu přenášených souborů, jak zjisti verzi operačního systému klienta z nachytaných dat, jak exportovat HTTP objekty z nachytaného provozu nebo jak si nechat zobrazit všechny webové servery obsažené v hlavičkách HTTP odpovědí.

Ve zkratce

Pro pobavení

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

DigiZone.cz: Kanály Novy na Slovensku oficiálně?

Kanály Novy na Slovensku oficiálně?

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Měšec.cz: Rusové platí mobilem. Funguje to i v Česku

Rusové platí mobilem. Funguje to i v Česku

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

Měšec.cz: Tipy, než vyrazíte autem na dovolenou

Tipy, než vyrazíte autem na dovolenou

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

DigiZone.cz: Bizár sněmovního jednání

Bizár sněmovního jednání

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Lupa.cz: U Chomutova vyroste dotované datacentrum

U Chomutova vyroste dotované datacentrum

Vitalia.cz: Vědci: Hnojení chemií je zbytečné

Vědci: Hnojení chemií je zbytečné

Měšec.cz: Práce na tři směny? Neblázněte, mám doma psa

Práce na tři směny? Neblázněte, mám doma psa

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?