Hlavní navigace

Postřehy z bezpečnosti: další nebezpečné aplikace v Google Play

4. 9. 2017
Doba čtení: 3 minuty

Sdílet

Dnes si opět posvítíme na aplikace v Google Play, povíme si o výpadku Internetu v Japonsku způsobeném firmou Google, o session hijacking zranitelnosti na GitLabu, úniku dat z Instagramu a další.

Množství nebezpečných aplikací v Google Play roste

Již v minulém dílu seriálu postřehů z bezpečnosti padla zmínka o tom, že přímo v oficiálním katalogu aplikací Google Play je minimálně 500 volně dostupných škodlivých aplikací postavených na malware SDK Igexin. V pondělí 28.8. se objevila další zpráva, tentokráte o DDoS botnetu WireX, který se skládá primárně z nakažených zařízení typu Android a jeho velikost se odhaduje minimálně na cca 120 000 zařízení. Podobně jako v případě malware Igexin výzkumníci po čase odhalili minimálně 300 škodlivých aplikací spadajících do mnoha různých kategorií (přehrávače médií, vyzvánění, počasí, …). 

Škodlivé aplikace si ve většině případů počínají velmi chytře a bezprostředně po instalaci žádnou škodlivou činnost neprovádějí, aby se vyhnuly detekci a dostaly se do katalogu. Google již velkou většinu nahlášených aplikací zablokoval, navíc v případě nového Androidu s funkcí Google Play Protect tyto aplikace automaticky ze zařízení i odinstaloval.

Nicméně se dá předpokládat, že podobné problémy budou s postupem času jen přibývat a je již opravdu nejvyšší čas, aby uživatelé přestali přistupovat k chytrým telefonům jakožto k bezpečnému prostředí. Jen za poslední měsíc jsme kromě již zmíněných hrozeb Igexin a WireX byli svědky malware s code-injection schopnostmi Dvmap. A jen o několik dní později se objevila zpráva o SDK knihovně pro malware Xavier, kterou obsahovalo minimálně 800 aplikací z Play. Obezřetnost, aplikační střídmost a případně i kvalitní antivir jsou již tedy dnes v případě chytrých telefonů nezbytností.

Půlhodinový výpadek Internetu v Japonsku kvůli Google

Blog BGPmon publikuje analýzu výpadku internetových služeb v Japonsku, ke které došlo v pátek 25. srpna. Google začal omylem svým partnerům anoncovat IP prefixy jiných partnerů, takže se začal tvářit jako tranzitní operátor. Samotná data ovšem přes síť Google netekla. Incidentu navíc pomohlo, že operátoři často pro optimalizaci zatížení různých linek posílají směrem ke Google větší množství delších IP prefixů místo jednoho agregovaného, takže po úniku k jiným operátorům tito začali specifičtější cestu preferovat.

K nápravě incidentu došlo přibližně po půl hodině. Pokud by však operátoři důsledně dodržovali standardy bezpečného propojování, zejména tedy filtrování přijatých prefixů, k podobnému incidentu by vůbec dojít nemohlo.

Session hijacking zranitelnost na platformě GitLab

Bezpečnostní odborník Daniel Svartman na svém blogu informuje o objevení a následném procesu odstraňování session hijacking zranitelnosti na platformě GitLab. Tato zranitelnost pravděpodobně existovala velmi dlouhou dobu a byla objevena v průběhu letošních pentestů. Problém spočíval v použití autorizačního tokenu bez jakékoliv expirace a v případě jeho zachycení mohl útočník získat přístup ke všem funkcím daného účtu. Vzhledem k tomu, že token byl dlouhý pouhých 20 znaků, bylo také možné využít i útoku hrubou silou. V tuto chvíli by již měl být problém vyřešen.

Únik uživatelských dat z Instagramu

Ve středu 30.8. došlo prostřednictvím blíže nespecifikované chyby v API k úniku velkého množství pravděpodobně převážně kontaktních informací o mnoha „high-profile“ uživatelích služby Instagram. Společnost se k chybě blíže nevyjádřila, pouze ujistila uživatele, že chyba byla odstraněna, k úniku hesel nedošlo a incident se dále prošetřuje.

root_podpora

Zajímavé je, že tato zpráva se objevila pouhé dva dny poté, co se někomu podařilo proniknout do účtu Seleny Gomez a publikovat pod jejím účtem nahé fotky jejího ex-přítele Justina Biebera, takže se přímo nabízí hledat mezi těmito dvěma událostmi nějakou souvislost.

WikiLeaks a OurMine

Dne 31.8. se white hat skupině OurMine podařilo pomocí techniky DNS poisoning krátce přesměrovat provoz ze stránek WikiLeaks na vlastní servery a dočasně tak nahradit zobrazovaný obsah. Jak je vidět, v principu takto jednoduché útoky jsou stále velmi efektivní.

Krátce

Pro pobavení

O seriálu

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.