Hlavní navigace

Postřehy z bezpečnosti: DolphinAttack vydává neslyšné povely

CSIRT.CZ

Dnes se podíváme co mají společného Siri, Alexa nebo Audi Q3, na únik informací o uživatelích Instragramu, na to, jak lze využít rádoby hackerů k vytvoření botnetu a zkusíme si i penetrační testování webové aplikace.

Jak jinak než „DolphinAttack“ nazvat útok, který využívá ultrazvuk pro skryté povely pro Siri, Alexu,  Google Now, Cortanu, Audi Q3 systém pro rozpoznání hlasu a další. Útok spočívá jednoduše v tom, že se hlasový příkaz namoduluje na vysoké frekvence neslyšitelné lidským uchem, ale stále zaznamenatelné mikrofonem ovládaného zařízení. Mezi testované příkazy patřilo například „open dolphinattack.com“, „Call 1234567890“ nebo „turn on airplane mode“. Úspěšnost jednotlivých příkazů se lišila v závislosti na hluku v okolí i na použitých příkazech, nicméně například v tiché kanceláři bylo dosaženo 100% úspěšnosti.

V poslední době se nejedná o první zneužití ultrazvuku k manipulaci se zařízením, které má k dispozici mikrofon. Už v lednu jsme psali o špehování uživatelů s pomocí ultrazvuku a v květnu jsme pak se zmiňovali o reálném využití v podobě aplikací pro Android využívajících ultrazvuk ke sledování uživatelů chytrých telefonů.

Naše postřehy

Neznámý hacker získal více než 6 milionů citlivých informací o uživatelích Instagramu. Kritická chyba v mobilním API umožnila útočníkovi odhalit telefonní čísla, e-mailové adresy a další informace o profilech, nikoliv však hesla. I když je chyba již opravena, hackeři mají stále ukradené informace, které nabízejí na Doxagramu, kde požadují 10 dolarů za jeden dotaz do databáze. Společnost již prostřednictvím e-mailů oznámila všem svým ověřeným uživatelům únik dat a radí jim, aby si dávali pozor na podezřelé telefonáty, zprávy a e-maily.

Pokud najdete na Internetu hackovací nástroj, který splní všechny vaše představy a je dokonce zdarma, mějte se na pozoru. Nástroj pro tvorbu trojanů RAT (Remote Access Trojan), který se objevil na několika fórech, totiž obsahuje backdoorový modul, jenž se tajně připojuje k URL na Pastebinu, která slouží jako C&C a umožňuje tak jeho tvůrcům přístup k datům oběti, která má RAT na počítači. Vtip je v tom, že tvůrci se rozhodli ušetřit si práci s šířením tohoto malware a nabídli jej rádoby hackerům zdarma. Tvůrci backdooru se tak spoléhají právě na schopnost těchto „hackerů“ rozšířit infekci a vytvořit síť botnetu, který však oni (tvůrci), mohou kdykoliv převzít. Právě díky zmiňovanému C&C. Backdoor má schopnost dělat screenshoty, nahrávat audio a video, instalovat a deinstalovat programy a podobně. Tento tzv. Cobian RAT koluje Internetem již od února tohoto roku a analytici u něj zjistili některé podobnosti s malwarem njRAT a rodinou malwaru H-Worm.

Tísice .uk domén založených u registrátora Enom jsou konečně v bezpečí. Zranitelnost nahlášená 2. května umožňovala převést doménu pod jiného vlastníka, aniž by byl přitom upozorněn původní vlastník, natož aby byl vyžádán souhlas původního vlastníka. Stačilo mít účet u stejného registrátora. Až 1. září přišel Enom s řešením, když zablokoval převody domén ve svém API. Popis celkem 122 dní dlouhého procesu od kontaktování registrátora po “vyřešení” problému je dostupný zde.

Na Kalifornské univerzitě (University of California) vytvořili nástroj BOOTSTOMP pro hledání chyb ve firmwaru mobilních zařízení. Výzkum byl zaměřen na bootloader několika používaných chipsetů, konkrétně pak na zařízeních Huawei P8 ALE-L23 (Huawei / HiSilicon chipset), Sony Xperia XA (MediaTek chipset) a Nexus 9 (NVIDIA Tegra chipset). Celkem bylo objeveno šest chyb. Některé z nich umožňují porušit řetěz důvěryhodnosti (chain of trust) a spustit neautorizovaný kód a tím získat root oprávnění. V případě Huawei by takový útok bylo velmi těžké detekovat a umožňoval by i trvalý zásah do běhu systému.

Pro přepadení banky budete v budoucnu možná potřebovat více než punčochu. Příští měsíc představí výzkumníci z Cambridge na konferenci v Benátkách software, který ze snímku člověka vyjme 14 charakteristických bodů – 10 pro oblast kolem obočí, 1 bod na nos a 3 pro rty. S jejich pomocí lze osobu identifikovat, byť by na snímku nosila sluneční brýle, šálu nebo klobouk. Přestože je umělá inteligence rozpoznávající zakryté obličeje stále v zárodku, je to další krok na celosvětové digitální cestě za počítači hlídanými ulicemi. Jako s každým ohněm, který je obvykle dobrým sluhou, ale…, se i na tuto technologii můžeme těšit, neboť sice identifikujeme všechny zločince, ale je také třeba jistý respekt, ukrojí nám pochopitelně další kus soukromí.

Ruský soud poslal na tři roky do vězení dva hackery ze skupiny Shaltai-Boltai. Skupina měla v roce 2014 napadnout twitterový účet premiéra Medveděva a zveřejnit tam příspěvky, v nichž kritizovala Putina, a kde premiér v hanbě odcházel z vlády, aby se stal fotografem na volné noze.

Pokud se zajímáte o bezpečnost webových aplikací, mohl by vás zaujmout příspěvek Adriena de Beaupre na serveru SANS. Na testovací aplikaci si můžete vyzkoušet útok využívající kombinaci zranitelností hash length extension, local file include a directory traversal s pomocí nástroje hash extender. Pokud byste se někde zasekli, v článku je vše popsáno a vysvětleno.

Ve zkratce

Pro pobavení

Když spustíte spamovou kampaň k šíření malware a webová stránka, na které malware hostujete, byla mezitím vyčištěna.

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?