Hlavní navigace

Postřehy z bezpečnosti: na internetu nejste nikdy v bezpečí

CESNET CERTS

Pravidelný pondělní souhrn bezpečnostního dění, které se událo v uplynulém týdnu. Opět se nám urodila pěkná sbírka zranitelností napříč všemi oblíbenými operačními systémy a samozřejmě nevynecháme ani internet věcí.

Doba čtení: 2 minuty

SpeakUp

Výzkumníci společnosti Check Point objevili nový Trojan využívající nedávno objevenou chybu ve frameworku ThinkPHP. Šíří se napříč různými linuxovými distribucemi. Po úspěšném infikování systému se spojí se svým C&C serverem, kde se zaregistruje a očekává další příkazy. Zároveň nelení a snaží  se infikovat další stroje na síti.

Trojan zatím cílí na servery ve východní Asii a Latinské Americe. Infikované stroje jsou zneužívány na těžbu kryptoměn, ale jedná se o nový botnet a těžko říci, jaké bude mít do budoucna ambice.

Kdo sleduje vaše děti?

Evropská komise vydala varování před chytrými hodinkami německé firmy Enox Safe-KID-One, které umožňují rodičům kontakt s potomky a sledování jejich polohy. Hodinky používají nešifrovanou komunikaci se serverem a lze získat neoprávněný přístup k datům. Čímž umožňují útočníkovi získat polohu uživatele, komunikovat s uživatelem nebo odesílat na zařízení příkazy k vytáčení jiných než povolených čísel.

(Ne)inteligentní domácnost

Fanoušek do moderních výdobytků si vybavil byt několika bezpečnostními kamerami Nest a chytrým termostatem. Jednoho dne s úžasem zjistil, že někdo mluví prostřednictvím kamery v dětském pokoji a nastavil teplotu termostatu na 32 stupňů. Majitel si za problémy podle všeho může sám, údajně ho nikdo neinformoval o dvoufaktorovém ověření a proto si nastavil nedostatečné heslo. Největším nebezpečím inteligentních domácností jsou zkrátka neinteligentní uživatelé. 

Vylepšení fotografií

V Google Play bylo nalezeno několik aplikací určených k vylepšování fotografií.
Některé aplikace odesílaly fotografie na vzdálený server, pravděpodobně k dalšímu
pochybnému využití. Některé aplikace zobrazovaly nevyžádanou reklamu nebo phishingové stránky, které se uživatele snažily přesvědčit o výhře a vylákat z něj osobní údaje. Aplikace měly i velice dobré hodnocení a nejvíce oblíbené jsou v asijských státech.

macOS zero-day KeySteal

Německý bezpečnostní výzkumník Linus Henze zveřejnil video, ve kterém popisuje, jak může útočník získat přístup do Keychain (klíčenka v macOS). Útočník si vystačí s oprávněním uživatele a může získat přístup i do klíčenek ostatních uživatelů systému.
Zranitelnost je obdobná již dříve objevené Patrickem Wardlem v roce 2017.

Smrtící obrázek

Google opravil chyby v systému Android postihující milióny zařízení. Detaily zranitelnosti
nebyly zveřejněny. Chyba se týká zpracování obrázků ve formátu PNG, kdy upraveným
obrázkem může útočník spustit libovolný kód v privilegovaném režimu. K úspěšné kompromitaci zařízení stačí pouhé zobrazení takového obrázku. Této zranitelnosti údajně zatím nebylo zneužito.

Kancelářský balík

Alex Inführ objevil zranitelnost v kancelářských balících OpenOffice a LibreOffice. Tato zranitelnost umožňuje pomocí hypertextového odkazu vloženého do dokumentu spouštět příkazy v příkazové řádce. Chyba pravděpodobně postihuje operační systémy Windows i Linux. Chyba byla obratem opravena v LibreOffice, ale v OpenOffice zdá se je stále neopravena.

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Našli jste v článku chybu?