Hlavní navigace

Postřehy z bezpečnosti: nekrmte své slepice Visa kartami!

CESNET CERTS

Možná právě teď chcete nakrmit svou slepičku, a tak si řekneme, jak na to. Než to sní, trochu si zachatujeme, zkontrolujeme koberec a podíváme se do zakázaných míst. Rovněž shrneme, co za poslední měsíc zalátat.

Doba čtení: 5 minut

Sdílet

Těpic, Pipko!

Možná v autorovi článku opět někdo uvidí infantilního taťku, ale když jsme objevili zprávu o javascriptovém skimmeru nazvaném Pipka, který vykrádá platební data z Visa karet, nemohli jsme si nevzpomenout na známý pozdrav, kterým v čtyřlístkovém seriálu zdravil zlý tchoř kohoutka Koko.

Experti z Visa Payment Fraud Disruption (dále PFD) našli nový skimmer, když analyzovali jednu z komerčních stránek infikovanou jiným skimmerem Inter. Pipka se na rozdíl od jiných skimmerů dokázala z konečného HTML kódu smazat, aby byla hůře odhalitelná. Navíc používá novou metodu odeslání dat, kdy sice použije obvyklou fintu vložení jednobodového obrázku, navíc se ale obrázek sám ihned smaže po svém načtení pomocí metody onLoad.

Přes obrázek Pipka podobně jako jiné skimmery odešle nakonfigurovaná formulářová pole (číslo karty, expiraci, jméno, adresu a CVV, aj.), která zakóduje pomocí BASE64 a zašifruje ROT13. Následně ověří, zda se nejedná o duplicitní záznam, a pokud se jedná o nové platební informace, zašle je na C&C server. Z URL C&C v ukázkovém skriptu je vidět, proč se skimmer jmenuje tak, jak se jmenuje.


Whats? App?

Populární chatovací aplikace WhatsApp si letos rozhodně nemůže stěžovat na nezájem bezpečnostních expertů. V jedněch z květnových postřehů jsme informovali o 0-day zranitelnosti, která dosud není uspokojivě vyřešena a už tu máme další problém. Tím je nová, v nových verzích již zabezpečená, kritická zranitelnost CVE-2019–11931. Tu Facebook v uplynulém týdnu oznámil a záplatoval.

Zranitelnost umožňovala potenciálnímu útočníkovi provést DoS či vzdálené spuštění kódu pomocí speciálně připraveného MP4 videa, jehož metadaty lze provést přetečení zásobníku během jejich parsování. Stačí tak znát telefonní číslo oběti a následně zasláním souboru s videem nenápadně nainstalovat zadní vrátka či spyware.

Facebook je jako vždy ohledně svých zpráv o takové zranitelnosti velmi stručný, takže těžko říci, zda byl i tento nedostatek zneužíván jako 0-day zranitelnost. Zajímavé je ale to, že se zpráva objevila čtrnáct dnů poté, co Facebook zažaloval izraelskou skupinu NSO za to, že zneužila výše zmíněnou květnovou chybu pro instalaci svého spyware Pagasus na zařízení uživatelů WhatsAppu.

Je téměř jisté, že podobných přešlapů je v kódu aplikace více a rozhodně nepatří mezi ty nejlépe zabezpečené. Pokud už něco takového používáte, ujistěte se alespoň, že máte nejnovější verzi. Dotčeny jsou aplikace na všech platformách, takže pokud máte např. androidí verzi nižší než 2.19.274 nebo iOSí nižší než 2.19.100, rychle ji povyšte.

Facebook kontroluje koberce

U Facebooku ještě zůstaneme. Na obzoru se mu totiž začal rýsovat další průšvih. V minulém týdnu vyšlo najevo, že si řada majitelů iPhonů stěžuje, že Facebook na pozadí aktivuje kameru, pokud si uživatel čte facebookové diskuse, nebo si prohlíží fotografie. To dokazuje jeden z nich, Joshua Maddux, ve svém tweetu.

Joshua náhodou zjistil, že když video z facebookové stránky zvětší na celý displej a pak jej zpátky zmenší, celá aplikace se díky chybě posune o pár pixelů doprava a ve vzniklém pruhu se ukáže záběr z kamery (nic pikantního nečekejte, v jeho případě byl zabírán pouze koberec).

V tu chvíli nebylo jasné, zda se jen díky chybě v aplikaci aktivuje kamera, která nikam dál nic neposílá, nebo zda Facebook obraz nahrává na své servery. Pokud by se ukázalo, že pravdou je to druhé, byl by to určitě ten největší průšvih v historii této nejznámější sociální sítě. Tweet každopádně vyděsil řadu dalších uživatelů, kteří zkoušeli problém reprodukovat na svém zařízení, ale většina z nich neuspěla.

Je tedy pravděpodobné, že se jedná o chybu, která se nedostala na všechna zařízení, ale jen na nějakou jejich část. Yoshua nicméně svoje zjištění zkoušel na pěti zařízeních s iOS 13.2.2 (poslední verze) a na všech se mu to prý povedlo. Naopak na iOSu verze 12 úspěšný nebyl, tedy alespoň ne s objevením se pruhu vlevo. To ale samozřejmě neznamená, že se kamera neaktivovala, možná pouze nedošlo k posunutí okna aplikace.

Někteří uživatelé v rámci svých pokusů zkoušeli odejmout aplikaci práva k fotoaparátu a pak se místo obrazu z kamery objevil vlevo černý pruh. Podobnou zkušenost zatím neohlásil žádný z uživatelů Androidu a tak se jevilo jako pravděpodobné, že se tato nepříjemnost opravdu týká jen některých uživatelů iPhonu.

Detektivní příběhy s otevřeným koncem jistě motivují čtenářovu fantazii, ale jistě nám dáte za pravdu, že pokud jde o realitu, nemá člověk na přílišné fantazírování náladu. Nebudeme vás tedy dlouho napínat, Facebook se krátce na to k uvedené záležitosti vyjádřil. Prý jde opravdu pouze o chybu v UI a data z kamery se nikam neposílala. Chyba se týkala pouze verze 244 pro iOS a způsobovalo ji mylné přepnutí aplikace do režimu na šířku, čímž byla obrazovka částečně překryta svou sousední, která obsahuje náhled z kamery. Nic se nikam neposílalo a obraz nikdo nezaznamenával. Do App Storu následně poslali novou verzi 246, která již kameru neaktivuje.

Zakázané ovoce nejvíce chutná

Nejen produkty Intelu, jak Root.cz nedávno informoval, trpí bolístkami. Check Point zjistil, že problémy (ovšem jiného druhu) mají také procesory Qualcomm. Těmi jsou, jak známo, osazeny stovky miliónů mobilních zařízení zejména s Androidem. Díky zranitelnosti tak lze zcizit citlivá uživatelská data z té části zařízení, které bývá obvykle operačním systémem mobilu velice bedlivě střeženo před nepovolaným přístupem. Qualcommí „bezpečný svět“ (Qualcomm's Secure World, QSEE), hardwarově oddělená část procesoru určená pro běh privilegovaných aplikací a obsahující mimo jiné hesla, šifrovací klíče a čísla platebních karet, tak může být volně přístupný. 

Vědci z Checkpointu našli čtyři zranitelnosti v privilegovaném kódu u Samsungu, jednu u Motoroly a jednu u LG. Díky nim mohli spustit v chráněném světě upravenou privilegovanou aplikaci, spustit privilegovaný kód v normálním světě (nechráněně, pod operačním systémem Android), obejít řetěz důvěry či přizpůsobit chráněný kód pro běh na jiném zařízení.

Check Point svá zjištění ihned předal postiženým výrobcům a na základě nich Samsung, LG i Qualcomm už vydali patřičné záplaty. Motorola na záplatě ještě pracuje.


Listopadová lekce patchworku

Vaše aplikace se opět prošoupaly, a tak honem pro kousky hadříků a pro bavlnku!

Adobe:

Diners Vánoce 2019

Microsoft:

Pro pobavení


Autor: Jim Davis

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…