Kombinace nedostatečné ochrany serveru Google Play, na kterém chybí příslušná hlavička X-Frame-Options, jenž slouží jako ochrana proti clickjackingu (hlavička X-Frame-Options v podstatě brání načtení dané webové stránky v rámci jiné webové stránky pomocí tagu iframe) společně s jednou z dalších dvou zranitelností, může vést k instalování škodlivé aplikace bez vědomí uživatele. Zneužitím nedávno objevené zranitelnosti universal cross-site scripting nalezené v prohlížečích distribuovaných s verzemi Androidu nižšími než 4.4, nebo XSS zranitelnosti v Google Play může útočník vzdáleně nainstalovat libovolnou Android aplikaci na chytrý telefon.
Již existuje modul pro metasploit, který umožňuje tento útok provést, proto se doporučuje uživatelům starších verzí Androidu používat prohlížeče, které nejsou zranitelné, jako je Firefox, či Chrome, nebo se po dobu používání zranitelného prohlížeče odhlásit z Google účtu. Každopádně podle statistik společnosti Google používá verze Andoid nižší než 4.4 skoro 60 procent uživatelů.
Naše postřehy
Jak by řekl Arnie, navrhuji zaútočit na uživatele v ČR skutečně masivní phishingovou kampaní. To si asi řekli tento týden i útočníci, když v e-mailových schránkách uživatelů přistávaly nejrůznější pokusy o phishing. Jednalo se o jak o kousky s přiloženým virem, tak i o klasické phishingové e-maily obsahující odkaz na externí stránku vyžadující klientovy přihlašovací údaje.
Útočníci, kteří se zaměřují na útoky na brazilský platební systém Boleto nyní začali kromě malware s úspěchem využívat také DNS Poisoning. Útočníci přitom využívají slabá hesla, zranitelnosti serverů i DNS Cache Poisoning. Společnost RSA proto k obraně doporučila používat DNSSEC, co největší náhodnost používaných čísel portů na DNS serveru, zrušení otevřených rekurzivních nameserverů, používání HTTPS a včasné upgradování modemů/routerů. Celkově vzato nic nového pod sluncem.
Toto úterý vydala společnost Microsoft svou obvyklou kolekci záplat. Tentokrát stojí za povšimnutí oprava eskalace privilegií, která umožňuje útočníkovi kompletní převzetí počítače oběti, a dále kritická chyba pojmenovaná JASBUG, která patří mezi poslední dobou oblíbené archivní kousky. Konkrétně tato zranitelnost existovala ve všech systémech společnosti Microsoft dlouhých patnáct let. Chyba se týkala samotného jádra systému a jen příprava záplaty trvala jeden rok. Chyba umožňuje útočníkovi vzdálené spuštění kódu. Podle dostupných informací se možné zneužití týká především firemních uživatelů s přenosnými počítači, protože k provedení útoku se musí jednat o počítač s nakonfigurovaným připojením do domény, který se připojí do sítě ovládané útočníkem. A mimochodem, pokud vám přestal po úterních updatech fungovat Cisco AnyConnect klient na Win 8.1, pak v tom nejste sami a zatím se problém dá obejít spuštěním vpnui.exe v módu kompatibility.
Pokud cestujete, mohla by se vám hodit doporučení týkající se využívání WiFi připojení , které je dnes již nabízeno většinou hotelů zdarma. Kromě odposlechu komunikace, či MITM útoků se v těchto sítích můžete setkat i s vypracovanějšími útoky. V článku jsou doporučení jak pro samotné správce hotelových WiFi sítí, tak také pro koncové uživatele.
Federální úřady v USA musí před spuštěním jakékoliv technologie sbírající soukromá data provést ohodnocení dopadu na soukromí. Co čert nechtěl, FBI ne a ne najít příslušný dokument na toto téma, který by se měl vztahovat k problematice používání dronů ke sledování osob.
Na serveru isc.sans.edu se objevil pěkný příspěvek popisující trable s meteorologickou stanicí značky Netatmo, kterou lze zakoupit i v našich obchodech. Autor příspěvku v něm popisuje, jak jej snort po zprovoznění zařízení upozornil na podezřelý odchozí provoz. Při bližším zkoumání se ukázalo, že zařízení odesílá uživatelem nastavená data v clear textu do „cloudu“. Přenášená data pak obsahují takové nevýznamné informace, jako je MAC adresa zařízení a uživatelem nastavené SSID WiFi sítě a také heslo pro WPA.
Graph API Facebooku obsahovalo chybu, díky které bylo možné smazat jakékoliv album jiného uživatele. Překvapivě bylo možné k smazání fotoalba jiného uživatele použít vlastní přístupový token vygenerovaný mobilní verzí Facebooku.
Tři studenti z univerzity Saarland v Německu našli na Internetu okolo čtyřiceti tisíc instancí MongoDB otevřených do Internetu. Mezi nimi jsou třeba i takové perly, jako databáze francouzské telekomunikační společnosti s osmi milióny záznamů o zákaznících.
A nakonec opět přidáme pár pozitivních událostí. Společnost Facebook spustila novou platformu ThreatExchange, která má usnadnit sdílení informací o nových hrozbách. Platforma zatím obsahuje především volně dostupná data, jako jsou informace o doménových jménech zneužívaných k rozesílání spamu, či vzorky malware. V systému jsou však také nástroje umožňující nastavit jaká data a s kým si přeje daný subjekt sdílet. Do projektu se již připojily společnosti jako Bitly, Dropbox, Pinterest, Tumblr, Twitter či Yahoo.
Pokud byste jako já někdy potřebovali seznam nejvýraznějších bezpečnostních incidentů zaznamenaných v určitém měsíci, pak se vám může hodit informační servis provozovaný Národním centrem kybernetické bezpečnosti.
Ve zkratce
- V roce 2014 infikováno 16 milionů mobilních zařízení
- Útočníci využili 0-day zranitelnosti k napadení forbes.com
- Cena osobních dat v undergroung ekonomice
- Kompletní analýza malware Gh0st RAT
- Analytik publikoval 10 milionů kombinací jmen a hesel
- Nový nástroj Memex umožňuje prohledávat „Deep“ Web
- Apple spustil 2FA přihlašování pro FaceTime a iMessage
- 7 typů valentýnských podvodů
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
