Postřehy z bezpečnosti: zranitelné 3G/4G modemy

Pavel Bašta 7. 12. 2015

V nejnovějším díle Postřehů se podíváme na zranitelnosti 3G/4G modemů, na panenku jak z románu 1984, na zranitelnosti routeru Belkin N150, stížnost EFF na Google, proč není dobrý nápad zveřejňovat fotografie dokladů, na monetizaci ukradených platebních karet benzínem a na řadu dalších zajímavostí.

Už na této zajímavé přednášce se v roce 2013 řešily zranitelnosti 3G/4G modemů Huawei. Nyní se objevila nová zajímavá analýza zranitelností 3G/4G modemů a routerů od výrobců Huawei, Gemtek, Quanta a ZTE.

Špatná zpráva je, že všechna testovaná zařízení měla závažné zranitelnosti, které mohou vést až ke kompletní kompromitaci systému. Chyby zahrnovaly Remote Code Execution (RCE) v CGI skriptech webového rozhraní, integrity attacks umožňující provést změnu firmware, Cross-Site Request Forgery (CSRF) a Cross-Site Scripting (XSS).


Výsledky testování jednotlivých zařízení

Po úspěšném napadení zařízení pak bylo možné dle konkrétní konfigurace zařízení určit jeho lokaci buď pomocí CellID nebo skenováním dostupných Wi-Fi sítí, dále zachytávat a posílat SMS, číst HTTP a HTTPS provoz nebo infikovat počítač – buď přes konkrétní zranitelnosti software, vložením kódu do přenášeného HTML či zneužitím funkce Virtual CDROM.

Autoři považují za nejbezpečnější modemy Huawei s poslední verzí firmware, protože podle jejich zkušeností Huawei nenechává update firmware na operátorech a stará se o záplatování zranitelností nalezených v jeho software.

Naše postřehy

Vánoce přicházejí a s nimi také nakupování hraček. Ty jsou stále více napěchované elektronikou a stále více tíhnou k tomu být on-line. Třeba taková panenka Hello Barbie se zabudovaným mikrofonem, reproduktorem a konektivitou na Wi-Fi. Pokud dítě začne s hračkou komunikovat, je tato nahrávka přes šifrované spojení odeslána na server, kde je pak analyzována systémem na rozpoznání řeči, aby byla vybrána nejvhodnější odpověď. Součástí téhle podivnosti má být i rodičovský účet, díky kterému si s hračkou vyhrají i rodiče; v role playing hře na Stalkera si budou moci poslechnout, s čím se jejich dítě panence svěřuje a o čem si s ní povídá.

Když se nebudeme bavit o narušení soukromí dětí, které je podle mě obrovské, protože k jejich nahrávkám bude mít přístup výrobce hraček i jejich rodiče, zůstává ve hře i otázka zabezpečení těchto hraček. Podle výrobce je na vysoké úrovni a všechny zneužitelné informace jsou buď šifrované nebo se v panence neukládají. Zatím se analytikům z hračky podařilo získat pouze mp3 výrobce, tedy ne nahrávky dítěte, ID účtu a jména Wi-Fi sítí. Jenže problém nemusí být jen v samotné panence. Když vezmeme v úvahu, jaká hesla jsou uživatelé schopni používat, proč by se zrovna rodiče dětí s touto panenkou měli lišit? Co asi udělá s dětskou psychikou, když se k rozhovorům s panenkou z dětství dostanou ve vyšším věku spolužáci a vystaví je někde na sociálních sítích. Ostatně rodiče sami mohou nahrávky také sdílet, například prostřednictvím Facebooku. Je tedy na zvážení, zda by se výrobek neměl jmenovat spíše Hell Barbie.

U hraček a her ještě chvíli zůstaneme, protože webové stránky Learning Lodge App Store známého výrobce elektronických hraček a her byly napadeny přes zranitelnost SQLi. Díky tomu uniklo 4,8 milionu unikátních e-mailových adres zákazníků, odpovědí na kontrolní otázky a také 227 000 záznamů o dětech. Lidé, kteří za útokem byli, tvrdí, že neplánují data zneužít či zveřejnit, nicméně SQLi mohl zneužít někdo dříve. Uživatelé, kteří měli na serveru účet, by se proto rozhodně na tento slib neměli spoléhat. Celá věc je ještě o to horší, že v databázi byla hesla čistě v podobě MD5 hash.

Tohle připomíná starý vtip o albánském viru, který žádá z důvodů technologické zaostalosti uživatele, aby si smazal nějaký soubor a pak jej poslal dál. V tomto případě to však bohužel není legrační. Kazachstán by také rád sledoval obsah šifrované komunikace svých uživatelů, protože ale nejspíš nedosahuje technologické vyspělosti zemí, které už své obyvatele sledují, mají být všichni uživatelé Internetu ze zákona povinni instalovat do mobilů a PC kořenovou certifikační autoritu s výmluvným názvem „National Internet Security Certificate“.

Tři roky stará zranitelnost v Portable SDK for UPnP™ Devices (libupnp) stále ohrožuje více než šest milionů chytrých telefonů, televizí či routerů. Tato knihovna se používá k implementaci DLNA nebo NAT traversal. Ačkoliv byla zranitelnost stack overflow záplatována již v prosinci 2013, společnost TrendMicro nyní našla 547 aplikací, používajících stále neopravenou verzi libupnp, z nichž 326 bylo k dispozici na Google Play.

Zase ty routery. Belkin N150 má prý hned několik zajímavých zranitelností, jako jsou HTML/Script Injection, Session Hijacking zapříčiněný příliš krátkým sessionid, které lze s pomocí nástrojů jako je burpsuite snadno prolomit hrubou silou, a oblíbenou zranitelnost Cross Site Request Forgery. K tomu je potřeba připočíst telnet s výchozím heslem. U telnetu jsem ale nenašel informaci, zda je dostupný i přes WAN. Rahul Pratap Singh si na svém blogu stěžuje, že na nahlášení těchto zranitelností nedostal od bezpečnostního týmu výrobce žádnou odpověď. Pokud máte doma toto zařízení, pak je možná vhodná chvíle přejít na Turris Omnia.

Organizace Electronic Frontier Foundation podala stížnost k federální obchodní komisi kvůli Chromebookům, které prodává Google do škol a jejichž prohlížeč má automaticky spuštěnu funkci Sync. Díky ní má Google přístup k informacím o studenty navštěvovaných stránkách, o jejich vyhledávaných výrazech, navštívených výsledcích vyhledávání, videích zhlédnutých na službě YouTube a o uložených heslech. Společnost Google už slíbila provést nápravu.

Tentokrát také něco z našich luhů a hájů. Stačil několik let starý článek o problémech s novými občanskými průkazy a k němu připojená rozmazaná fotografie občanského průkazu autorky, aby ji neznámý útočník použil k on-line podvodům. Při nich nabízel v inzerci starší mobilní telefon a požadoval zálohu ve výši několika tisíc korun. Snímek dokladu redaktorky pak vykládal za svůj, aby svému inzerátu dodal na důvěryhodnosti. Na ilustračním snímku bylo viditelné pouze jméno a fotografie dotčené redaktorky, přesto se našla řada lidí, kteří takto přišli o peníze.

Brian Krebs popisuje na svém blogu zajímavý způsob monetizace ukradených platebních karet. Kriminálníci nejdříve umístí na platební terminály na stojanech benzínových pump skimmovací zařízení. Následně s pomocí získaných údajů čerpají na dalších pumpách benzín do upravených nákladních aut a dodávek. Benzín pak prodají načerno benzínkám, se kterými mají dohodu.

Soud ve Švédsku rozhodl, že poskytovatelé Internetu nejsou odpovědní za chování svých zákazníků a tudíž ISP ani nejsou povinni blokovat přístup ke stránkám Pirate Bay.

Ve zkratce

Pro pobavení

http://www.secmeme.com/

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Ohodnoťte jako ve škole:

Průměrná známka 1,14

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
120na80.cz: Léčbu nataženého svalu lze urychlit

Léčbu nataženého svalu lze urychlit

Vitalia.cz: Základem slepičí polévky bývaly pařáty. A dnes?

Základem slepičí polévky bývaly pařáty. A dnes?

Podnikatel.cz: Dovolená? Za odpracované týdny, ne dny

Dovolená? Za odpracované týdny, ne dny

Podnikatel.cz: Internet věcí ušetří v podnikání peníze

Internet věcí ušetří v podnikání peníze

Vitalia.cz: Vydával se za český, prozradila ho DNA

Vydával se za český, prozradila ho DNA

120na80.cz: Objevila se první pylová zrna trav

Objevila se první pylová zrna trav

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Před, nebo po snídani? Kdy je lepší čistit si zuby

Před, nebo po snídani? Kdy je lepší čistit si zuby

Podnikatel.cz: Když už je sexy, tak ať taky funguje

Když už je sexy, tak ať taky funguje

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

DigiZone.cz: V srpnu odstartuje nový kanál O2 TV Fotbal

V srpnu odstartuje nový kanál O2 TV Fotbal

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Podnikatel.cz: Otcovská pro OSVČ? Žádná extra výhra

Otcovská pro OSVČ? Žádná extra výhra

Podnikatel.cz: Využijte v byznysu nulové tarify

Využijte v byznysu nulové tarify

Vitalia.cz: 7 nemocí očí, které musíte léčit včas

7 nemocí očí, které musíte léčit včas

DigiZone.cz: Na podzim přijde sportovní Viasat Ultra HD

Na podzim přijde sportovní Viasat Ultra HD

DigiZone.cz: Panasonic v Praze uvedl TV pro rok 2016

Panasonic v Praze uvedl TV pro rok 2016

Podnikatel.cz: Opět chtějí zvyšovat daně živnostníkům

Opět chtějí zvyšovat daně živnostníkům

Lupa.cz: Schváleno: Rockaway může převzít Heureku

Schváleno: Rockaway může převzít Heureku