Hlavní navigace

Postřehy z bezpečnosti: na internetu nejste nikdy v bezpečí

11. 2. 2019
Doba čtení: 2 minuty

Sdílet

Pravidelný pondělní souhrn bezpečnostního dění, které se událo v uplynulém týdnu. Opět se nám urodila pěkná sbírka zranitelností napříč všemi oblíbenými operačními systémy a samozřejmě nevynecháme ani internet věcí.

SpeakUp

Výzkumníci společnosti Check Point objevili nový Trojan využívající nedávno objevenou chybu ve frameworku ThinkPHP. Šíří se napříč různými linuxovými distribucemi. Po úspěšném infikování systému se spojí se svým C&C serverem, kde se zaregistruje a očekává další příkazy. Zároveň nelení a snaží  se infikovat další stroje na síti.

Trojan zatím cílí na servery ve východní Asii a Latinské Americe. Infikované stroje jsou zneužívány na těžbu kryptoměn, ale jedná se o nový botnet a těžko říci, jaké bude mít do budoucna ambice.

Kdo sleduje vaše děti?

Evropská komise vydala varování před chytrými hodinkami německé firmy Enox Safe-KID-One, které umožňují rodičům kontakt s potomky a sledování jejich polohy. Hodinky používají nešifrovanou komunikaci se serverem a lze získat neoprávněný přístup k datům. Čímž umožňují útočníkovi získat polohu uživatele, komunikovat s uživatelem nebo odesílat na zařízení příkazy k vytáčení jiných než povolených čísel.

(Ne)inteligentní domácnost

Fanoušek do moderních výdobytků si vybavil byt několika bezpečnostními kamerami Nest a chytrým termostatem. Jednoho dne s úžasem zjistil, že někdo mluví prostřednictvím kamery v dětském pokoji a nastavil teplotu termostatu na 32 stupňů. Majitel si za problémy podle všeho může sám, údajně ho nikdo neinformoval o dvoufaktorovém ověření a proto si nastavil nedostatečné heslo. Největším nebezpečím inteligentních domácností jsou zkrátka neinteligentní uživatelé. 

Vylepšení fotografií

V Google Play bylo nalezeno několik aplikací určených k vylepšování fotografií.
Některé aplikace odesílaly fotografie na vzdálený server, pravděpodobně k dalšímu
pochybnému využití. Některé aplikace zobrazovaly nevyžádanou reklamu nebo phishingové stránky, které se uživatele snažily přesvědčit o výhře a vylákat z něj osobní údaje. Aplikace měly i velice dobré hodnocení a nejvíce oblíbené jsou v asijských státech.

macOS zero-day KeySteal

Německý bezpečnostní výzkumník Linus Henze zveřejnil video, ve kterém popisuje, jak může útočník získat přístup do Keychain (klíčenka v macOS). Útočník si vystačí s oprávněním uživatele a může získat přístup i do klíčenek ostatních uživatelů systému.
Zranitelnost je obdobná již dříve objevené Patrickem Wardlem v roce 2017.

Smrtící obrázek

Google opravil chyby v systému Android postihující milióny zařízení. Detaily zranitelnosti
nebyly zveřejněny. Chyba se týká zpracování obrázků ve formátu PNG, kdy upraveným
obrázkem může útočník spustit libovolný kód v privilegovaném režimu. K úspěšné kompromitaci zařízení stačí pouhé zobrazení takového obrázku. Této zranitelnosti údajně zatím nebylo zneužito.

root_podpora

Kancelářský balík

Alex Inführ objevil zranitelnost v kancelářských balících OpenOffice a LibreOffice. Tato zranitelnost umožňuje pomocí hypertextového odkazu vloženého do dokumentu spouštět příkazy v příkazové řádce. Chyba pravděpodobně postihuje operační systémy Windows i Linux. Chyba byla obratem opravena v LibreOffice, ale v OpenOffice zdá se je stále neopravena.

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.