Hlavní navigace

Postřehy z bezpečnosti: kárka plná mobilů způsobuje dopravní zácpy

Autor: Simon Weckert
CESNET CERTS

Další pravidelná dávka exploitů, úniků informací, opomenutí i zlých úmyslů. Nevynecháme oblíbené sociální sítě ani populární protokoly, zmíníme Google (několikrát), a opřeme se i do mobilních operátorů.

Doba čtení: 3 minuty

Sdílet

Simon Weckert naložil na vozík 99 mobilů se spuštěnými googlími mapami a jal se projíždět poloprázdnými ulicemi. Googlí logika si toho poměrně rychle všimla, a začala místa, kde se pohyboval, označovat jako ucpaná a navigovat auta jinudy. Není příliš překvapivé, že s představou mapových softwarů o situaci v terénu lze manipulovat, zajímavé ale je, jak jednoduše a kreativně.

Příliš sdílný tablet

Jeden by si řekl, že tablet je v podstatě glorifikovaná myš. Robert Heaton se ovšem pozastavil nad tím, proč po něm instalátor ovladače pro Wacom chce odsouhlasit podivné podmínky – a jal se zkoumat, k čemu by tak mohly být. Nejenže zjistil, že driver odesílá (do Google Analytics) informaci o všech aplikacích spouštěných na počítači, ale že sdílení má dokonce na mateřské lodi kill switch.

Američtí mobilní operátoři prodávají data o lokaci uživatelů

Už téměř před dvěma roky se začalo šuškat o tom, že američtí mobilní operátoři prodávají data o lokaci svých uživatelů. Dokonce až tak, že s trochou znalostí situace a sociálního inženýrství Matthew Marre od T-Mobile skutečně získal lokalizační data několika uživatelů.

Problémem by se měla zabývat organizace FCC, tedy instituce určená k dohledu na fungování operátorů. Její liknavost se ale dostala až na úroveň některých kongresmanů, kteří žádali po FCC, aby kauzu prošetřila a vyvodila důsledky. Zdá se, že se tak konečně stalo, nicméně vyjádření FCC jsou více než vágní – „ano, jeden či více operátorů porušil zákon“, „víc vám nemůžeme říct“. Uvidíme, kdy se dozvíme více než rezolutní „možná“.

Google Takeout

Google Takeout umožňuje uživatelům stáhnout si svá data, například v případě, že chtějí od Googlu odejít. Na konci listopadu se nicméně stalo, že uživatelé ve stažených archivech nemuseli najít některá svá videa z Google Photos, ovšem na oplátku mohli najít cizí.

Údajně (podle Googlu) nejde o obrázky, a údajně situace trvala pět dní. Problém je prý napraven a Google uživatelům doporučuje stáhnout si archiv znovu – a ten předchozí smazat, pěkně prosíme. I těm schopnějším se občas povede vlastňák.

Ždímáme Twitter

V listopadu loňského roku Twitter zjistil, že kdosi využívá síť falešných účtů k tomu, aby přes API pároval uživatelské účty s telefonními čísly. To je normální funkce Twitteru, navíc pouze pro uživatele, kteří párování se svým telefonním číslem explicitně povolili, poučení spíš je, že i takováto informace někomu stojí za netriviální akci.

Ve zkratce

  • Supi se slétají rychle. Phishing využívající strachu z koronaviru.
  • Uživatelé LinkedIn dostávají nabídky práce od fiktivních čínských firem. Zmiňuje to Litva v národním reportu.
  • Desktopová aplikace WhatsApp spárovaná s aplikací na iPhonu umožňuje XSS útoky a přístup na souborový systém.
  • CheckPoint Institute ve spolupráci s Univerzitou v Tel Avivu ukázaly, jak se přes ZigBee po wifi dostanou na žárovku Phillips Hue, následně za lehké spolupráce uživatele a buffer-overflow na ovládací aplikaci, a dále do sítě.
  • Chyba v Sudo s povoleným hvězdičkovacím promptem na heslo umožňuje stát se správcem.
  • Chyba v bluetooth subsystému Androidu 8–9 umožňuje blízkému útočníkovi spustit kód s právy bluetooth démona. Chyba je i v Androidu 10, ale údajně není možné ji zneužít ke spuštění kódu, ale jen ke shození démona.

Pro poučení

Neal Krawetz zveřejnil několik článků, kde na vlastní onion službě sleduje chování skenerů/útočníků na Tor.

MIF20 tip google

Pro pobavení

Zajímavý polyglot.

Python+Perl+Ruby+C+Brainfuck+Befunge

Python+Perl+Ruby+C+Brainfuck+Befunge

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…