Hlavní navigace

Postřehy z bezpečnosti: paní, růžové vám přišlo psaní

11. 12. 2017
Doba čtení: 4 minuty

Sdílet

V dnešním vydání se naučíme nový způsob podvržení dopisu, ošulíme vývojáře, chytíme si štědrovečerního khapříka, odhalíme slabé klíče, aktualizujeme si své aplikace a převezmeme hodnotnou cenu.

Ode mě, miláčku

Není žádnou novinkou informace, že pokud vám přijde e-mail od někoho známého, zdaleka to nemusí znamenat, že odesílatelem byl opravdu on. Proti této skutečnosti mají oblíbení poštovní klienti více či méně sofistikované mechanizmy, díky kterým mohou uživatele na pravděpodobně podvrženou adresu v poli Od: upozornit. Někteří z klientů mají tuto funkcionalitu již v základní aplikaci, do jiných ji lze doplnit instalací příslušného rozšíření.

Bezpečnostní expert Sabri Haddouche objevil, že existuje metoda, díky které mohou podvodníci odeslat dopis z podvržené adresy, aniž by to klient příjemce zaregistroval. Tato metoda, nazvaná MailSploit, dokáže obejít dokonce i technologie DKIM či DMARC, kterou kdysi na Rootu pěkně popsal kolega Pavel Satrapa. MailSploit, jak bývá u různých zranitelností v poslední době obvyklé, má vlastní WWW stránky i logo.


Autor: Sabri Haddouche

Metoda zneužívá způsob, jakým e-mailoví klienti zpracovávají pole Od: v hlavičce dopisu. Haddouche jej názorně demonstruje na výše uvedené stránce: Pomocí řídících znaků, jakými jsou např. oddělovač řádky či znak konce řetězce, lze skrýt část skutečné adresy. Podobným způsobem lze u některých klientů dokonce provést útoky typu code injection nebo XSS.


Autor: Sabri Haddouche

Zranitelnost se týká většiny rozšířených poštovních klientů. Jejich kompletní seznam obsahuje jak klienty, na které lze stáhnout opravu, tak i takové, u kterých  věc není řešena. Mezi výrobci těch druhých je bohužel i Mozilla a Opera, jejichž zástupci prohlásili, že se jedná o chybu na straně poštovních serverů a případ uzavřeli.

A zase ten Android

Problémy s bezpečností Androidu jsou téměř pravidelným tématem Postřehů. Tentokrát ale zmíníme zranitelnost, která se nedotýká jeho uživatelů, ale naopak nedá spát jeho vývojářům a také zpětným inženýrům. Check Point Research Team objevil tuto zranitelnost v oblíbené knihovně DocumentBuilderFactory na parsování XML, která je součástí rozšířených vývojových prostředí pro Android, jako jsou Android Studio, IntelliJ IDEA, Eclipse a nástrojů pro dekompilaci androidích balíčků jako jsou APKTool, Cuckoo-Droid a dalších. Zranitelnost má opět své jméno: ParseDroid. Postižený vývojářský systém umožňuje zmocnění se souborů a spuštění závadného kódu. Útočníkovi stačí jediné – podvrhnout oběti nakažený balíček obsahující speciálně připravený soubor AndroidManifest.xml. Záplaty většiny postižených nástrojů už jsou na světě a vývojářům vřele doporučujeme jejich aplikování.

Falešný Ježíšek

Období předvánoční hysterie právě vrcholí a všichni, kdo dokončují poslední elektronické nákupy, ztrácejí nervy v obavách, zda jejich platební transakce správně proběhla a zda jimi objednané zboží dorazí včas. A právě toto období je žněmi pro rhybáře číhající na své vánoční khapříky. V panice totiž uživatel snadno přehlédne, že e-mail informující o nepodařené transakci ve skutečnosti nepochází od PayPalu, a že není adresován přímo jemu. Pak už stačí jen zbrklé kliknutí a podvodná stránka z něj vytáhne vše potřebné včetně čísla platební karty, její expirace a CVC. Kdo by neodolal poctivému vyplnění podvrženého formuláře, na kterém se říká, že Váš účet byl omezen a nelze jej použít, dokud nebude znovu řádně ověřen, když jde o dárky pro vaše blízké.

Ještě více, než jsme čekali

O tom, že klíče uložené v hardwaru nemusí být zárukou jejich vyšší bezpečnosti, už Root.cz informoval letos v říjnu. Zranitelnost v bezpečnostních čipech německé firmy Infineon Technologies umožňuje s dostatečným množstvím jader v reálném čase dopočítat privátní klíč z veřejného. Bohužel se ukázalo, že dotčených aplikací je mnohem více a čipy jsou jednodušeji napadnutelné, než se původně soudilo. Informatici Masarykovy univerzity, kteří zranitelnost v bezpečnostních čipech německé firmy Infineon Technologies objevili, se problémem stále zabývají a tento týden o něm na svém webu zveřejnili další informace. Kromě dříve zmíněného Slovenska a Estonska mají s občanskými průkazy problémy také ve Španělsku, kde se na tuto skutečnost přišlo až po rozšíření informací v médiích. Navíc je zde postižených více elektronických dokladů než na Slovensku a v Estonsku dohromady.

Objevení zranitelnosti bylo oceněno na prestižní konferenci ACM Conference on Computer and Communications Security v Dallasu, na níž už pouhá nominace na tuto cenu je velikým úspěchem.

root_podpora

Aktualizační rubrika

Čas od času vás rádi informujeme o tom, že instalované verze vašich aplikací nejsou bezpečné. Aktualizujte tedy na nové, o kterých se to zatím ještě veřejně neví:

  • Firefox 57.0.[12]
    • v nižších verzích Firefoxu než je 57.0.1 nemusí být soukromý režim až tak soukromý – do IndexedDB používané pouze v soukromém režimu jsou ukládány perzistentní data čitelná napříč všemi soukromými okny
    • Firefox verze 57.0 obsahuje zranitelnost umožňující číst přes externí SVG soubor historii prohlížeče; nižší verze zranitelnost neobsahují
  • Struts 2.5.14.1 – REST Plugin předchozí verze používal zastaralou JSON knihovnu, která je děravá a umožňuje DoS útok pomocí žádosti obsahující speciální závadný obsah
  • Chrome 63.0.3239.84 – nové vydání opravuje jednu kritickou zranitelnost, jejíž popis zatím nebyl zveřejněn a několik dalších, méně závažných
  • iOS 11.2 – Apple vyřešil především některé závažné zranitelnosti v jádře: aplikace mohou získat systémové oprávnění nebo se dostat do chráněné paměti; odstraněny jsou i některé bezpečnostní problémy s e-mailovou kryptografií
  • macOS High Sierra 10.13.2 – kromě výše zmíněných problémů s jádrem řeší také děravý Apache, cURL, grafický ovladač, adresářové nástroje a další
  • tvOS 11.2 – máte-li Apple TV 4K a Apple TV čtvrté generace, upgradujte; týká se vás totéž, co je uvedeno výše u iOSu 11.2
  • watchOS 4.2 – také jablečné hodinky mají problémy iOSu 11.2

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.