Hlavní navigace

Postřehy z bezpečnosti: identifikace mobilu pomocí senzorů pohybu

CSIRT.CZ

Dnes se podíváme na využití senzorů pohybu k vytvoření unikátního otisku mobilního zařízení, na ukládání hesel v plaintextu, phishingovou kampaň vyhrožující soudem a nárůst mobilního malware zaměřeného na bankovnictví.

Doba čtení: 4 minuty

Sdílet

Unikátní otisk zařízení je takový svatý grál marketingových aktivit na internetu a není tedy divu, že z jedné strany jsou stále hledány nové metody, jak jej získat a z druhé strany se tvůrci prohlížečů předhánějí v deklarované snaze, jak trackování uživatelů bránit. Skupina výzkumníků z Cambridge University nyní objevila nový způsob možného sledování uživatelů s využitím zabudovaných senzorů pohybu.

„Výhodou“ těchto senzorů je, že pro přístup k nim nejsou vyžadována žádná zvláštní oprávnění. Proto už dříve proběhly pokusy s jejich využitím za účelem získání unikátních otisků. Ty však zkoušely využít výstupy ze senzorů, které se však pochopitelně mění. Nově použitý přístup tak místo výstupů senzorů zkoumá jejich kalibraci. Každý senzor z výroby obsahuje drobné chyby a proto musí být každý extra kalibrován.

Výzkumníci tak byli schopni získat okolo 42 bitů entropie z gyroskopu a dalších 25 bitů z magnetometru na iPhonu 6S. Kombinací obou výsledků pak získali SensorID, který poskytuje globálně unikátní otisk telefonu. Podobně se výzkumníkům podařilo udělat unikátní otisky pro zařízení Pixel 2 a Pixel 3.

Výzkumníci vytvořili mobilní aplikaci, která dokáže získat unikátní otisk během sekundy. Proces údajně může být proveden i pomocí speciální webové stránky, nicméně výsledek prý potom není tak přesný. Výzkumníci také vydali doporučení, jak tomuto získávání unikátních otisků předcházet. Apple pak tato doporučení implementoval ve verzi iOS 12.2.

Google ukládal hesla v plaintextu

Chyba v mechanismu na obnovení hesel způsobila, že Google v nástroji G Suite měl uložená hesla uživatelů v plaintextu. Tato chyba se netýkala klasických účtů u společnosti Google, ale pouze G Suite pro firmy. Chyba se ukrývala v nástroji, který měl sloužit administrátorům pro reset hesla či jeho nastavení (například pro nové zaměstnance).

Tento nástroj pak uložil kopii nezahashovaného hesla zašifrovaně kdesi v infrastruktuře společnosti Google. Druhý takový incident proběhl v lednu 2019, kdy během ladění služeb došlo k uložení podmnožiny nezahashovaných hesel. Google dále uvádí, že notifikoval všechny dotčené administrátory a chystá se resetovat hesla těm, kteří tak sami neučiní.

Phishing hrozící soudem

Minulý týden proběhla v USA phishingová kampaň, ve které útočníci rozesílali do firem falešné hrozby soudem. Podobně jako před pár lety u nás v ČR, kdy pro změnu útočníci vyhrožovali příjemcům údajným nesplaceným dluhem. Podrobnosti o hrozícím soudním stání se má adresát dozvědět po otevření přílohy. Její otevření však vede k instalaci malwaru. Je otázkou času, než se objeví nějaká jazyková mutace výhrůžky soudem i u nás.

Aktuálně nejvíce napodobovanou institucí v UK nejsou banky, ani státní úřady, ale Daily Mirror. Falešné zprávy manipulující uživatele k drobné investici do některé z kryptoměn jsou údajně momentálně početnější na phishingové formuláře pro přihlášení na PayPal.

Elasticsearch bezpečnější

Firma stojící za databází Elasticsearch uvolnila část placeného Security modulu do své Basic (neplacené) verze. To přináší uživatelům možnost funkcí jako např. šifrované komunikace, vytváření a správu uživatelů, definování rolí pro přístup k indexům či clusterům a zabezpečení přístupu do webového rozhraní Kibany nástrojem Kibana Spaces.

Uvolněné funkcionality jsou obsaženy od verzí 6.8.0 a 7.1.0. V rámci tohoto uvolnění je dočasně také k dispozici zdarma kurz Fundamentals of Securing Elasticsearch při registraci do 31. května (běžná cena je 200 dolarů).

Čerstvý malware

Viry se mohou spolu i kamarádit. Minulé úterý My Online Security zachytil vzorek malware HawkEye. Ten se dodával standardně v e-mailu v přiloženém souboru RTF se škodlivým makrem uvnitř. Makro si pak přes bit.ly stáhlo samotný vir, který odposlouchává klávesy. Zajímavé však je, že to, co malware odposlechne, posílá dál provozovateli jiného keyloggeru.

Kvůli rostoucímu počtu uživatelů využívajících mobilní bankovní aplikace jsme mohli v prvním čtvrtletí letošního roku zaznamenat výrazný nárůst mobilního malwaru, zaměřeného na bankovnictví. Podle společnost Kaspersky Lab se výskyt bankovních trojanů zvýšil o 58 procent. Například v posledním čtvrtletí loňského roku se bankovní malware vyskytoval v 1,85 procentech všech případů malwaru tvořených pro mobilní zařízení a v letošním roce bankovní malware dosahuje již 3,24 procent. Za první tři měsíce bylo zachyceno 29 841 unikátních vzorků bankovního malwaru.

Objevilo se několik PoC k nedávno záplatované zranitelnosti (CVE-2019–0708 ) Windows Remote Desktop služeb (RDS) pojmenované BlueKeep. Zranitelnost umožňuje vzdálené spuštění kódu nepřihlášeným útočníkem. Více informací k této zranitelnosti najdete v článku, který na SANS.EDU publikoval Johannes B. Ullrich.

Ve zkratce

Pro pobavení


https://communicrossings.com

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…