Množství nebezpečných aplikací v Google Play roste
Již v minulém dílu seriálu postřehů z bezpečnosti padla zmínka o tom, že přímo v oficiálním katalogu aplikací Google Play je minimálně 500 volně dostupných škodlivých aplikací postavených na malware SDK Igexin. V pondělí 28.8. se objevila další zpráva, tentokráte o DDoS botnetu WireX, který se skládá primárně z nakažených zařízení typu Android a jeho velikost se odhaduje minimálně na cca 120 000 zařízení. Podobně jako v případě malware Igexin výzkumníci po čase odhalili minimálně 300 škodlivých aplikací spadajících do mnoha různých kategorií (přehrávače médií, vyzvánění, počasí, …).
Škodlivé aplikace si ve většině případů počínají velmi chytře a bezprostředně po instalaci žádnou škodlivou činnost neprovádějí, aby se vyhnuly detekci a dostaly se do katalogu. Google již velkou většinu nahlášených aplikací zablokoval, navíc v případě nového Androidu s funkcí Google Play Protect tyto aplikace automaticky ze zařízení i odinstaloval.
Nicméně se dá předpokládat, že podobné problémy budou s postupem času jen přibývat a je již opravdu nejvyšší čas, aby uživatelé přestali přistupovat k chytrým telefonům jakožto k bezpečnému prostředí. Jen za poslední měsíc jsme kromě již zmíněných hrozeb Igexin a WireX byli svědky malware s code-injection schopnostmi Dvmap. A jen o několik dní později se objevila zpráva o SDK knihovně pro malware Xavier, kterou obsahovalo minimálně 800 aplikací z Play. Obezřetnost, aplikační střídmost a případně i kvalitní antivir jsou již tedy dnes v případě chytrých telefonů nezbytností.
Půlhodinový výpadek Internetu v Japonsku kvůli Google
Blog BGPmon publikuje analýzu výpadku internetových služeb v Japonsku, ke které došlo v pátek 25. srpna. Google začal omylem svým partnerům anoncovat IP prefixy jiných partnerů, takže se začal tvářit jako tranzitní operátor. Samotná data ovšem přes síť Google netekla. Incidentu navíc pomohlo, že operátoři často pro optimalizaci zatížení různých linek posílají směrem ke Google větší množství delších IP prefixů místo jednoho agregovaného, takže po úniku k jiným operátorům tito začali specifičtější cestu preferovat.
K nápravě incidentu došlo přibližně po půl hodině. Pokud by však operátoři důsledně dodržovali standardy bezpečného propojování, zejména tedy filtrování přijatých prefixů, k podobnému incidentu by vůbec dojít nemohlo.
Session hijacking zranitelnost na platformě GitLab
Bezpečnostní odborník Daniel Svartman na svém blogu informuje o objevení a následném procesu odstraňování session hijacking zranitelnosti na platformě GitLab. Tato zranitelnost pravděpodobně existovala velmi dlouhou dobu a byla objevena v průběhu letošních pentestů. Problém spočíval v použití autorizačního tokenu bez jakékoliv expirace a v případě jeho zachycení mohl útočník získat přístup ke všem funkcím daného účtu. Vzhledem k tomu, že token byl dlouhý pouhých 20 znaků, bylo také možné využít i útoku hrubou silou. V tuto chvíli by již měl být problém vyřešen.
Únik uživatelských dat z Instagramu
Ve středu 30.8. došlo prostřednictvím blíže nespecifikované chyby v API k úniku velkého množství pravděpodobně převážně kontaktních informací o mnoha „high-profile“ uživatelích služby Instagram. Společnost se k chybě blíže nevyjádřila, pouze ujistila uživatele, že chyba byla odstraněna, k úniku hesel nedošlo a incident se dále prošetřuje.
Zajímavé je, že tato zpráva se objevila pouhé dva dny poté, co se někomu podařilo proniknout do účtu Seleny Gomez a publikovat pod jejím účtem nahé fotky jejího ex-přítele Justina Biebera, takže se přímo nabízí hledat mezi těmito dvěma událostmi nějakou souvislost.
WikiLeaks a OurMine
Dne 31.8. se white hat skupině OurMine podařilo pomocí techniky DNS poisoning krátce přesměrovat provoz ze stránek WikiLeaks na vlastní servery a dočasně tak nahradit zobrazovaný obsah. Jak je vidět, v principu takto jednoduché útoky jsou stále velmi efektivní.
Krátce
- Čínská DIY aplikace umožňuje komukoliv vyvinout vlastní ransomware pro Android.
- Virální novinka aplikace Sarahah bezdůvodně odesílá kompletní seznam kontaků kamsi na servery poskytovatele. Tato data mají být údajně použita v některé z následujících verzí pro vlastnost typu „najdi moje přátele“, v tuto chvíli ale zatím pro sběr dat tohoto typu není v aplikaci opodstatnění.
- Masivní emailová kampaň distribuovala nejnovější verzi ransomware Locky více než 23 milionům uživatelů.
- Další nástroj z dílny CIA: AngelFire.
- Ransomware začíná cílit více na firemní sektor než na běžné uživatele.