Hlavní navigace

Postřehy z bezpečnosti: můžeme věřit čínským telefonům?

Lukáš Malý 18. 8. 2014

Čínský výrobce telefonů Xiaomi prý špehuje uživatelská data. Adobe uvolnilo několik oprav svých produktů. Konference Black Hat a Def Con poukazují na noční můry v oblasti bezpečnosti. Nová upravená varianta malwaru GameOver ZeuS se rychle šíří. Oracle data redaction podléhá zranitelnosti.

Podle společnosti F-Secure špehuje mobil Xiaomi od společnosti MIUI uživatelská data. Experti společnosti F-Secure analyzovali nový mobil Xiaomi RedMi 1S. Zjistili přitom, že toto zařízení posílá velké množství dat na server umístěný v Číně. A to hlavně za předpokladu, že jsou všechny zálohovací funkce a MiCloud vypnuté. Podrobnosti o testu jsou na f-secure.com. Xiaomi se též říká „čínský Apple“. Chytré telefony čínských výrobců již byly v minulosti značně podezřelé. Smartphone Star N9500 prý obsahoval předinstalovaný trojan a umožňoval vzdálené nahrávání z mikrofonu. Hugo Barra od společnosti Xiaomi ovšem popírá všechna tvrzení o špionáži. Společnost Xiaomi tvrdí, že sdílení dat je součástí IM služby MIUI Cloud Messaging, která je automaticky spuštěna v každém telefonu Xiaomi (jako součást aplikace pro odesílání SMS zpráv). Xiaomi už vydalo update firmwaru, který tuto funkci umožňuje vypnout.

Adobe vydalo kritické bezpečnostní záplaty pro Flash Player, Acrobat a Adobe Reader. Společnost Adobe uvolnila bezpečnostní záplaty pro sedm zranitelností v jejich Flash a Air platformách a jednu v Acrobat a Adobe Readeru. Podle společnosti Adobe byly již tyto zranitelnosti zneužity útočníky „in the wild“ v izolovaných útocích na uživatele Adobe Readeru pro Windows.

Deset nejděsivějších nočních můr z oblasti bezpečnosti z konferencí Black Hat a Def Con. Hacknutá letadla, nezastavitelné a nebezpečné flash disky, poblázněná automatika v hotelech, problémy SoHo routerů. Zde najdete deset nejděsivějších bezpečnostních novinek z předních bezpečnostních konferencí v Las Vegas.

NewGOZ je nová varianta známého malwaru GameOver ZeuS, jehož řídící servery byly odstaveny ve spolupráci policejních orgánů a technologických firem. Na rozdíl od GameOveru newGOZ nepoužívá pro komunikaci se řídícími servery P2P protokol, ale vlastní mechanismus na tvorbu domén řídících serverů (Domain Generation Mechanism – DGM), které si jeho tvůrci registrují. Společnosti Arbor networks se podařilo registrovat některé z domén a tak po pět dnů v průběhu čtyř týdnů zachytávala provoz botnetu. Během této doby se s řídícími servery pokusily komunikovat nakažené počítače z více než dvanácti tisíc unikátních IP adres. Většina obětí newGOZ se nachází v USA (44 %) a v Indii (22 %).

Zranitelnost Oracle data redaction: Data redaction je zajímavá vlastnost databází Oracle, která umožňuje cenzurovat citlivá data, která jsou výsledkem hledání v databázi. Tímto způsobem je možné například skrýt čísla platebních karet. Bezpečnostní expert David Litchfield ale objevil způsob, jak se dostat k původním datům, nebo dokonce využít Oracle data redaction k nelegitimnímu zvýšení oprávnění a SQL Injection útokům. Správcům databází Oracle je do odstranění problému doporučeno omezit přístup k funkci DBMS_REDACT.

Byl vydán update open-source knihovny OpenSSL. Nová verze opravuje devět zranitelností, které mohou způsobit únik informací, nadměrnou spotřebu paměti nebo zhroucení OpenSSL.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

17. 9. 2014 9:39

nikto (neregistrovaný)

Neviem presne co vsetko posiela Windows phone na servery M$, ale bez povolenia, ze sa Vam ulozi na servery aj Vase tel. cislo a IMEI, telefon nie je ani pouzitelny. A s poslednym prednastavenym WiFi sense... Nie je velky rozdiel medzi Cinou a USA telefonmi.

19. 8. 2014 11:42

Korektor (neregistrovaný)

Máte tam chybičku v podláhá :)
Stane se.


Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: E-shopy: jen sleva už nestačí

E-shopy: jen sleva už nestačí

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi