Hlavní navigace

Postřehy z bezpečnosti: nebezpečný herní klient

CSIRT.CZ

Tentokrát se podíváme na klienta společnosti Blizzard, zranitelné aplikace pro chytré telefony, DNA v IT, varování před aktualizacemi a zranitelností frameworku postihující například Skype, Slack a Signal.

Doba čtení: 5 minut

Známý specialista Tavis Ormandi objevil a následně zveřejnil zajímavou zranitelnost týkající se herního klienta společnosti Blizzard. Tato aplikace, která má na starosti instalaci a aktualizaci produktů společnosti Blizzard, se nazývá Blizzard Update Agent”. Podle statistik z prosince 2016 má téměř 450 miliónů aktivních uživatelů (pozn. jednoho hráče, který hraje dvě hry nebo střídá dva počítače, počítají jako dva uživatele). Tato aplikace vytváří JSON RPC server na portu 1 120 na straně uživatele. Tavis se rozhodl zranitelnost včetně proof-of-concept zveřejnit ještě před jejím finálním opravením ve chvíli, kdy s ním společnost Blizzard přestala komunikovat. 

Tento herní klient, jehož součástí je i zmíněný server, má typické oprávnění instalovat, mazat, aktualizovat hry, což se podle Tavisova proof-of-conceptu dá zneužít ke stažení, potažmo spuštění libovolného souboru. Demonstrovaný útok využívá tzv. DNS rebinding. Pro ty, co tento typ útoku neznají, se ho pokusíme v krátkosti vysvětlit. Jako ochrana před tím, aby mohl k lokální síti (nebo kamkoliv jinam) přistupovat java-script nabídnutý webovou stránkou, kterou uživatel zrovna prohlíží, byla zavedena tzv. Same-origin policy. Tou se zajišťuje, že spuštěný java-script komunikoval jen se stranou, ze které byl získán. Pokud byl skript stažen z URL, jehož doména má krátké TTL, je potom možné při dalším DNS dotazu vrátit odpověď s jinou IP adresou. V tomto případě 127.0.0.1, čímž se same-origin neporuší a skript tak může vnutit libovolný příkaz JSON RPC serveru na straně uživatele.

V tuto chvíli je tato chyba již opravena a klient automaticky aktualizován.

Naše postřehy

Vědci ze společnosti Checkmarx uvedli, že našli pár zranitelných míst v aplikaci Tinder určené pro Android a iOS. V aplikaci tak může dojít k neoprávněnému sledování a manipulaci s prohlíženým obsahem uživatelů. To může velmi vážně narušit jejich soukromí. Jedna zranitelnost spočívá v tom, že Tinder stahuje obrázky z profilu prostřednictvím připojení HTTP. Další chyba aplikace se nazývá „Předvídatelná velikost odpovědi HTTPS“. Například pokud uživatel při hodnocení uživatelské fotky posune prstem doleva, což znamená, že neprojevuje zájem o profil, server pošle na API 278 bajtovou šifrovanou odpověď. V opačném případě, tedy posunutím prstem doprava, se odešle odpověď o velikosti 374 bajtů. Zneužitím chyb mohou útočníci zjistit, co se uživateli zobrazuje, a když uživatel zůstane dostatečně dlouho on-line, může si útočník prohlédnout také jeho profil. Dál útočník může zachytit a pozměnit komunikaci mezi aplikací a serverem, to mu umožní změnit profilové snímky, které si uživatel prohlíží, nebo je například zamění za nějakou reklamu.

Je to tři roky, co Nick Goldman z Evropského Institutu Bioinformatiky v rámci své prezentace rozdal ampulky s DNA, kam naklonoval klíč k digitální peněžence s Bitcoinem, čímž chtěl přitáhnout zájem o DNA coby médium pro dlouhodobé skladování dat. Na konci prosince na Twitteru připomněl, že se lhůta soutěže chýlí ke konci a stále není známý výherce. Příležitosti se chopil belgický doktorand Sander Wuyts a vybídl kolegy, aby všeho nechali a pustili se do hackování DNA, a pět dní před uzávěrkou soutěže byla peněženka na světě. Když Belgičané „vyluštili” souborový systém z trojkové soustavy, našli kromě klíče ještě portrét Jamese Joyce a logo Institutu. Zmíněný Bitcoin se pak za dobu výzvy vyšplhal z 200 dolarů více než o řád a půl výše (zhruba 10 000 dolarů).
DNA sama o sobě nenabízí žádné zabezpečení proti hacknutí; nicméně vzhledem k tomu, že zatím skutečně málokdo má přístup k nějaké čtečce DNA, může se jevit jako bezpečná metoda uložení dat o vaší budoucí peněžence. Navíc díky tomu, že přečíst data z DNA trvá několik dní namísto milisekund oproti čtení z pevného disku, vás může DNA peněženka zachránit od ukvapeného prodeje.
Dlouhodobému skladování dat sice stále kralují magnetické pásky, ale vzhledem k tomu, že do gramu DNA lze prý uložit přes 200 PB, nejspíš o této technologii neslyšíme naposledy.

Od oznámení zranitelností Spectre a Meltdown stále vycházejí nové aktualizace a patche pro všechny známé i neznámé systémy a aplikace. Na novém případu společnosti Intel je vidět, že i pro technického giganta je občas složité dopředu odhadnout možný dopad těchto oprav. Společnost Intel totiž nyní vydala prohlášení, ve kterém varuje před instalací vlastních oprav, které vydala v rámci opravného balíčku na začátku ledna a žádá uživatele, aby instalaci těchto oprav pozastavili. Postupně se totiž ukázalo, že záplaty určené pro systémy bežící na CPU Broadwell nebo Haswell způsobují nepředvídatelné chování systémů následně vedoucí k častějším restartům. Společnost nicméně prohlásila, že i tento problém je již vyřešen a již začala s distribucí nové verze opravy.
Že se nejedná o jednoduchou záležitost ukazuje také analýza, která se zabývá dopadem patchů na výkon některých systémů. Již po objevení zranitelností se spekulovalo, že propad výkonu může být až v desítkách procent. Grafy porovnávající výkon MongoDB hostované na cloudové službě AWS, DigitalOcean a Azure před i po aplikaci oprav to v podstatě potvrzují, ale je zde vidět, že efekt je velice odlišný v závislosti na konkrétním prostředí.

Populární desktopové aplikace, jako Skype, Slack, Signal a mnoho dalších využívajících Electron framework, jsou vystaveny jeho zranitelnosti umožňující vzdálené spuštění kódu. Framework slouží k použití webových technologií (HTML, CSS, JavaScript) pro vývoj desktopových aplikací, využívá Chromium a Node.js a je multiplatformní.
Zranitelnost se týká pouze aplikací pro operační systém Windows, které registrují vlastní protokolové označení (např. myapp://) nezávisle na tom, jakým způsobem k registrování došlo (použitím nativního kódu, Windows registrů nebo API Electronu).
K dispozici jsou již opravené verze frameworku s označením v1.6.16, v1.7.11 a v1.8.2-beta.4 a všem vývojářům je doporučeno co nejdříve přejít na některou ze stabilních opravených verzí.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?