Hlavní navigace

Postřehy z bezpečnosti: KeyStore Androidu má kritickou chybu

Martin Čmelík 30. 6. 2014

V dnešním díle Postřehů se podíváme na kritickou chybu Android KeyStoru, umožňující exportování všech hesel, klíčů, otisků prstů a dalších důvěrných dat, o bankovním malwaru EMOTET odposlouchávající HTTPS, o 20 let staré chybě v kompresním algoritmu LZO, obcházení 2FA PayPalu, co je to DNS Sinkhole a spoustě dalšího.

Kritická chyba v KeyStoru Androidu umožňuje exportování všech vašich hesel (email, aplikace, sociální sítě, …), session klíčů, šifrovacích klíčů, otisků prstů, VPN údajů, PINů, či jakýchkoliv jiných důvěrných dat, k jejichž uložení je zde právě KeyStore. KeyStore nepoužívá jen systém, ale i vaše nainstalované aplikace, protože by se mělo jednat o nejbezpečnější místo v telefonu pro uchování soukromých údajů. I když Android používá moderní bezpečnostní ochrany jako DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization) a zřejmě obdobu kanárků na stacku. Ano, podle těch kanárků, se kterými chodili horníci do dolů, aby zjistili přítomnost jedovatých, či výbušných plynů. V tomto případě má detekovat/zamezit buffer overflow útokům a často k této ochraně postačí zkompilovat aplikaci pomocí GCC s parametrem “-fstack-protector-strong”.

Chyba (včetně PoC) byla objevena vývojáři z IBM (CVE-2014–3100) a opravena pouze ve verzi 4.4 (KitKat). Pro ostatní používané verze (podle údajů Googlu 86,4% zařízení) neexistuje patch a je na nich tak možné chybu využít. Verze 4.4.4 opravuje také OpenSSL CCS Injection chybu, o které jsme psali v jednom z minulých dílů Postřehů.

Naše postřehy

Andr/SlfMite-A je název nového SMS viru pro platformu Android. Opravdu se výjimečně jedná pouze o sebereplikující malware. Odešle SMS s odkazem na svůj duplikát vašim dvaceti nejčastějším kontaktům, protože je pravděpodobnější, že lidé, se kterými jste často v kontaktu, kliknou na odkaz a tím svoje zařízení infikují. SMS zpráva má text ve tvaru “Dear XYZ, Look The Self-time, http://goog.gl/xyz”. Dnešní antivirové programy jsou pro mobilní platformu Android už nezbytností. Vypadá to, že nejpopulárnější je Avast! s 50-ti miliony stažení, ale svoje aplikace má i Kaspersky, Sophos, či ESET.

Je tomu více než rok, co unikla na Internet informace o novém spywaru, který si kupují vlády pro špehování svých občanů. Jedním z prvních známějších byl Bundestrojaner, používaný německou vládou, poté FinSpy/FinFisher a určitě ještě jeden, který mi už vypadl z paměti. HackingTeam, italská společnost, která vyvíjí právě zmíněný spyware s názvem RCS (Remote Control System), přidala za rok hned několik vylepšení. O nových funkcích a schopnostech si přečtěte na blogu Kaspersky. Není to příjemné čtení.

Výzkumníci z Trend Micra objevili novou variantu bankovního malwaru známou jako EMOTET. Nejen, že tento malware sbírá vaše soukromé údaje, on ale i odposlouchává síťový provoz. Sestává se z konfiguračního souboru a DLL knihovny. V konfiguračním souboru je seznam bank, na které se má malware zaměřit, a DLL se naváže na každý proces v systému, aby mohl identifikovat a odposlechnout komunikaci s bankou. Nalezené údaje ukládá šifrovaně do registrů. Proč právě tam, je zřejmě kvůli obcházení analyzátorů malwaru a antivirových programů, protože se nevytváří nový soubor. Třešničkou na dortu je právě schopnost nahlížet do HTTPS provozu pomocí hookování několika síťových funkcí (PR_OpenTcpSocket, PR_Write, PR_Close, PR_GetNameForIndentity, Closesocket, Connect, Send, WsaSend). Díky tomu a předpokládám, že i form injectingu, je schopný přečíst veškeré údaje, které zadáváte na HTTPS webu banky, aniž by vám vyskočilo jediné varovné okno.

Google opravil chybu v Google Drive, kdy mohl uživatel po kliknutí na https odkaz ve sdíleném dokumentu předat cílovému serveru dostatek informací na to, aby k danému dokumentu mohl přistoupit i někdo další.

Dvacet let stará chyba, byla objevena až nyní v kompresním algoritmu LZO (Lempel-Ziv-Oberhumer). Tento kompresní algoritmus používá celá řada aplikací a systémů, jako třeba Android, Linuxové jádro, OpenVPN, MPlayer, FFmpeg, firewally, filesystémy (ZFS), VNC aplikace a i třeba Mars Rover. Díky této chybě jste schopni vytvořit payload, který způsobí RCE (Remote Code Execution), či DoS na cílovém systému.

Krádeže iPhonů a iPadů poklesly meziročně o 16 % zřejmě díky funkci Activation Lock, která byla uvedena v září roku 2013 jako součást iOS 7. Aktivuje se s instalací aplikace Find My iPhone/iPad/Mac, díky které můžete vzdáleně vaše zařízení smazat, zablokovat, či nalézt jeho aktuální polohu.

Dvoufaktorová autentizace (2FA) PayPalu obsahovala chybu, díky které ji bylo možné obejít. Dan Saltman ze společnosti EverydayCarry o chybě informoval nejdříve přímo PayPal a když mu nikdo neodpověděl, tak šel za společností specializující se na 2FA – Duo Security. Výzkumníci z Duo Security vytvořili exploit schopný zadat platbu na účtu s aktivovaným 2FA i bez něj. Mobilní aplikace PayPalu nepodporují 2FA, a tak útočníkům stačilo tvářit se jako mobilní aplikace a modifikací odpovědi z API serveru PayPalu obejít vynucení 2FA.

DNS Sinkhole je technika používaná především v korporátním prostředí pro blokování přístupu na zakázané domény, změnu cílové IP adresy např. kvůli IP konfliktu (DNS doctoring), nebo pro zamezení komunikace infikovaného počítače s C&C serverem. Především pokud je známý algoritmus generování DNS názvů daného malwaru, můžete touto technikou efektivně blokovat C&C komunikaci, či drive-by download útoky. Chytřejší IPS (Intrusion Prevention System), nebo specializované produkty umí i infikované klienty při dotazu na IP C&C serveru přesměrovat na sebe a poslat jim příkaz pro deaktivaci, či smazání malwaru. Minimálně se takto dobře identifikují počítače za firemním proxy serverem (se správně nastaveným WPADem).

V jednom z minulých dílů jsme psali o zřejmě prvním ransomwaru, který šifruje data na mobilní platformě (Android/Simplocker.A). Bude pro vás dobrou zprávou, že díky reverznímu inženýrství malwaru mohl student Simon Bell napsat Java aplikaci, která je schopna infikované zařízení opět dešifrovat.

Towelroot je aplikace od George Hotze (Geohot), pomocí které je možné “rootnout” Android jedním kliknutím. Aplikace využívá chyby linuxového jádra (CVE-2014–3153), umožňující eskalaci práv, kterou objevil známý Pinkie Pie.

Padesát otázek pro uchazeče o pozici bezpečnostního odborníka. Poměrně pěkná sada základních otázek, která však může zabrat s kandidátem i několik hodin.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

8. 7. 2014 10:57

Dobry den,

napiste mi, prosim, na martin.cmelik [zavinac] gmail [tecka] com, abychom to nemuseli resit v komentarich :]

Dekuji

7. 7. 2014 21:06

n0 (neregistrovaný)

"UPDATE (Jun. 30, 2014):
The vulnerability affects Android 4.3 only. Thanks for the Android Security Team for correcting our advisory."

Takže se my se starouškama nemusíme bát :)


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: ČRo rozšiřuje DAB do Berouna

ČRo rozšiřuje DAB do Berouna

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?