Hlavní navigace

Postřehy z bezpečnosti: Ok Google, open the garage door

CSIRT.CZ

Dnes se podíváme, jak lze ošálit běžně používané mikrofony a jaké to může mít důsledky, koukneme se na podvodníky operující na platformě Airbnb, na plány Microsoftu s AV řešením Defender a na nový problém Facebooku.

Doba čtení: 4 minuty

Sdílet

Mikrofony reagující na světlo

Tým bezpečnostních výzkumníků z japonské a americké univerzity poukázal na zranitelnost mikrofonů MEMS, které bezděčně reagují na světlo, jako kdyby to byl zvuk. Problém je, že tyto mikrofony se používají nejen ve chytrých telefonech (Siri, Google Assistant), ale také v dalších chytrých zařízeních, jako Google Home, Echo (Amazon Alexa), Nest Cam IQ (Google Assistant) a dalších. Protože tato technika umožňuje útočníkovi vložit příkazy, jako by to prováděl legitimní uživatel, je dopad útoku závislý na tom, co vše může hlasový asistent provádět, například:

  • ovládat chytré vypínače
  • otevírat dveře garáže
  • provádět online nákupy
  • vzdáleně odemknout a nastartovat některá vozidla
  • otevřít chytré zámky útokem hrubou silou na PIN uživatele.

Na videu výše je vidět experiment, při kterém tým vložil do Google Home příkaz „OK Google, open the garage door“. Na následujícím videu pak můžete vidět to samé, ale na vzdálenost 70 metrů (230 stop) a přes skleněné okno. Maximální dosah tohoto útoku závisí na síle laseru, intenzitě světla a možnosti přesného zaměření.

Podvody na platformě Airbnb

Server vice.com upozornil na podvodné schéma, které někdo používá k okrádání uživatelů, kteří využijí služeb Airbnb. Samotný podvod je velmi jednoduchý, vyberete si pěkné ubytování a když už jste na místě, ozve se hostitel s tím, že v domě je problém, kvůli kterému tam nelze být (například nefunkční wc) a nabídne vám jiné ubytování. Pošle pěkně vypadající obrázky, a když konečně dorazíte na místo, zjistíte, že dům je spíš bouda s nábytkem jak ze skládky.

Problém je v tom, že podmínky fungování Airbnb nahrávají podvodníkům. V případě, kdy se hostovi nelíbí náhradní ubytování, měl by podle Airbnb okamžitě stornovat ubytování a na místě nezůstávat ani jednu noc. To ovšem říkejte někomu, kdo právě absolvoval dlouhou cestu, je unavený a ve městě, kde je poprvé, by měl pozdě večer hledat ubytování. Další problém je v systému hodnocení, kdy hodnotí jak host hostitele, tak i hostitel hosta. Podle informací v článku pak uživatelé, kteří se vehementně dožadovali svých práv, dostali od podvodných hostitelů negativní recenzi. Autor článku našel pět účtů, které podle všeho ovládá jedna osoba či skupina osob, nabízejících ubytování v 94 nemovitostech v osmi různých městech.

Microsoft Defender na Linuxu

Microsoft oznámil, že plánuje své antivirové řešení Microsoft Defender připravit také pro Linux. Mimo to je od března letošního roku Microsoft Defender dostupný také pro macOS (a opustil tak původní název Windows Defender). To umožňuje bezpečnostním pracovníkům centralizovaně získávat údaje ze zařízení do Microsoft Defender konzole a snáze detekovat infikovaná zařízení. Microsoft Defender pro Linux by měl být dostupný v příštím roce.

Zablokování Firefoxu

Podfukáři chytře využili bugu v dialogu HTTP autentizace, který vývojářům stránek umožňuje jednoduše implementovat přihlašování. Jakmile uživatel přijde na stránku, setká se s tvrzením, ať se nepokouší počítač zavřít, neboť pirátský software rozesílá viry a pro bezpečí uživatele byl operační systém uzamčen. Do pěti minut má pak zavolat na telefonní číslo, aby počítač nebyl zablokován definitivně.

Dialog lze zavřít křížkem, vyskočí ovšem ihned znovu a blokuje tak veškerou práci v prohlížeči. Podaří-li se uživateli prohlížeč shodit a má-li funkci „obnovit taby po zavření“, situace se hned, jak se počítač znovu spustí, zopakuje. Netřeba snad říkat, že na nabízené telefonní číslo se volat nemá, protože se kromě počítače může zaseknout i bankovní účet. Postiženy jsou verze prohlížeče běžící pod Windows a macOS. Firefox pracuje na patchi.

A zase ty Facebooky

Facebook přiznal další bezpečnostní incident u zhruba 100 aplikací, které mohly mít větší přístup k uživatelským datům na některých skupinách. Podle tvrzení Facebooku se většinou jednalo o aplikace správy sociálních médií a streamování videí. Facebook již v dubnu 2018, měsíc po odhalení skandálu Cambridge Analytica, nařídil změny v aplikačním rozhraní a omezil aplikacím integrovaných do skupin přístup pouze k názvu skupiny, počtu členů a na jejich příspěvky.

Pro získání přístupu k informacím, jako jsou jména a profilové obrázky, je vyžadováno uživatelské přihlášení. Facebook zatím nezveřejnil celkový počet uživatelů zasažených únikem dat, ale tvrdí, že zastavil veškerý neoprávněný přístup k údajům.

Diners Vánoce 2019

Zranitelnost v knihovně libarchive

Zranitelnost (CVE-2019–18408) v knihovně libarchive, která je součástí většiny linuxových distribucí a podporuje celou řadu kompresních formátů (zip, gzip, tar, uuencode, 7z aj.), byla odhalena výzkumníky z Googlu. Jedná se o zranitelnost typu “use-after-free”, která by při práci s útočníkem upraveným archivem mohla vést až ke spuštění kódu. Zranitelnost byla opravena ve verzi libarchive 3.4.0.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…