Hlavní navigace

Postřehy z bezpečnosti: můžeme věřit čínským telefonům?

Lukáš Malý

Čínský výrobce telefonů Xiaomi prý špehuje uživatelská data. Adobe uvolnilo několik oprav svých produktů. Konference Black Hat a Def Con poukazují na noční můry v oblasti bezpečnosti. Nová upravená varianta malwaru GameOver ZeuS se rychle šíří. Oracle data redaction podléhá zranitelnosti.

Podle společnosti F-Secure špehuje mobil Xiaomi od společnosti MIUI uživatelská data. Experti společnosti F-Secure analyzovali nový mobil Xiaomi RedMi 1S. Zjistili přitom, že toto zařízení posílá velké množství dat na server umístěný v Číně. A to hlavně za předpokladu, že jsou všechny zálohovací funkce a MiCloud vypnuté. Podrobnosti o testu jsou na f-secure.com. Xiaomi se též říká „čínský Apple“. Chytré telefony čínských výrobců již byly v minulosti značně podezřelé. Smartphone Star N9500 prý obsahoval předinstalovaný trojan a umožňoval vzdálené nahrávání z mikrofonu. Hugo Barra od společnosti Xiaomi ovšem popírá všechna tvrzení o špionáži. Společnost Xiaomi tvrdí, že sdílení dat je součástí IM služby MIUI Cloud Messaging, která je automaticky spuštěna v každém telefonu Xiaomi (jako součást aplikace pro odesílání SMS zpráv). Xiaomi už vydalo update firmwaru, který tuto funkci umožňuje vypnout.

Adobe vydalo kritické bezpečnostní záplaty pro Flash Player, Acrobat a Adobe Reader. Společnost Adobe uvolnila bezpečnostní záplaty pro sedm zranitelností v jejich Flash a Air platformách a jednu v Acrobat a Adobe Readeru. Podle společnosti Adobe byly již tyto zranitelnosti zneužity útočníky „in the wild“ v izolovaných útocích na uživatele Adobe Readeru pro Windows.

Deset nejděsivějších nočních můr z oblasti bezpečnosti z konferencí Black Hat a Def Con. Hacknutá letadla, nezastavitelné a nebezpečné flash disky, poblázněná automatika v hotelech, problémy SoHo routerů. Zde najdete deset nejděsivějších bezpečnostních novinek z předních bezpečnostních konferencí v Las Vegas.

NewGOZ je nová varianta známého malwaru GameOver ZeuS, jehož řídící servery byly odstaveny ve spolupráci policejních orgánů a technologických firem. Na rozdíl od GameOveru newGOZ nepoužívá pro komunikaci se řídícími servery P2P protokol, ale vlastní mechanismus na tvorbu domén řídících serverů (Domain Generation Mechanism – DGM), které si jeho tvůrci registrují. Společnosti Arbor networks se podařilo registrovat některé z domén a tak po pět dnů v průběhu čtyř týdnů zachytávala provoz botnetu. Během této doby se s řídícími servery pokusily komunikovat nakažené počítače z více než dvanácti tisíc unikátních IP adres. Většina obětí newGOZ se nachází v USA (44 %) a v Indii (22 %).

Zranitelnost Oracle data redaction: Data redaction je zajímavá vlastnost databází Oracle, která umožňuje cenzurovat citlivá data, která jsou výsledkem hledání v databázi. Tímto způsobem je možné například skrýt čísla platebních karet. Bezpečnostní expert David Litchfield ale objevil způsob, jak se dostat k původním datům, nebo dokonce využít Oracle data redaction k nelegitimnímu zvýšení oprávnění a SQL Injection útokům. Správcům databází Oracle je do odstranění problému doporučeno omezit přístup k funkci DBMS_REDACT.

Byl vydán update open-source knihovny OpenSSL. Nová verze opravuje devět zranitelností, které mohou způsobit únik informací, nadměrnou spotřebu paměti nebo zhroucení OpenSSL.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci konzultantů firmy Datasys a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?