Hlavní navigace

Postřehy z bezpečnosti: pomsta ztraceného telefonu

4. 10. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V pravidelném pondělním přehledu bezpečnostních hrozeb se podíváme na dvě zranitelnosti ze světa Apple, dvě z Microsoftu, dva útoky na uživatele a dvě zprávy z Číny vám přináší zcela symetrické vydání Postřehů.

Apple AirTag jakožto nový vektor útoku typu „flash disk na parkovišti“

Zařízení, které má například pomoci majiteli dohledat ztracenou či odcizenou věc, má i další využití. Při přepnutí do režimu „ztraceno” totiž umožňuje majiteli připravit zprávu a kontaktní telefon pro případ, že ho někdo najde. Do pole pro telefonní číslo je ovšem možné vložit kód (stored XSS), který uživatele přesměruje například na phishingovou stránku, která se může pokusit z něho vylákat přihlašovací údaje na Apple iCloud pod záminkou zobrazení zprávy.

Zranitelnost, kterou objevil Bobby Rauch, byla Applu nahlášena již 20. června, ale protože se dlouho nic nedělo, rozhodl se jí zveřejnit. Tím se dost možná připravil o odměnu z bug bounty programu společnosti Apple.

Zranitelnost iPhonů umožňovala bezkontaktní platbu bez vědomí uživatele

Výzkumný tým z univerzity z Birminghamu a univerzity v Surrey objevil zranitelnost v zařízení iPhone, která umožňovala bezkontaktní platby bez vědomí uživatelů. Podle odhadů expertů, zranitelnost umožňující obejít zabezpečení zámku obrazovky Apple Pay se týká pouze karet Visa, kdy musí také být nastavený režim Express Transit.

Tento režim umožňuje uživatelům provádět platby bez otisku prstu či autentizace pomocí rozpoznání obličeje. Tým zjistil, že pomocí jednoduchého rádiového zařízení mohou vyslat jedinečný kód, který odemkne Apple Pay v telefonu. Následně potom může proběhnout platba i v případě, že je iPhone uvnitř tašky uživatele.

Závažný bug v Microsoft Exchange Autodiscover funkci vyzrazuje uživatelská hesla

Byla objevena velmi závažná chyba ve funkci Microsoft Exchange Autodiscover. Problém spočívá v tom, že někteří klienti, včetně klienta Microsoft Outlook, se v případě neúspěchu s průzkumem na úrovni e-mailové domény pokusí o připojení na doménu autodiscover.[tld], kde TLD je odvozena z e-mailové adresy uživatele.

V případě domény .CZ se tedy jedná o doménu autodiscover.cz. Během komunikace s příslušnou autodiscover.[tld] doménou jsou odeslány přihlašovací údaje uživatele na danou autodiscover.[tld] doménu.

Nová chyba Azure AD umožňuje útočníkům kradmo provádět Brute-force hesel

Výzkumníci objevili neopravenou bezpečnostní chybu v protokolu používaném v Microsoft Azure Active Directory, která umožňuje potenciálním útočníkům nepozorovaně provádět útoky hrubou silou.

Slabina se nachází ve funkci Seamless Single Sign-On, která umožňuje zaměstnancům automatické přihlášení (bez nutnosti zadávat heslo) při používání korporátních zařízení připojených do firemní sítě. Pokud proces seamless SSO selže, přihlášení se vrátí k výchozímu chování, kdy uživatel musí na přihlašovací stránce zadat své heslo.

Mechanismus závisí na využití protokolu Kerberos při vyhledávání odpovídajícího uživatele ve službě Azure AD a vydání ticket-granting ticket (TGT), který uživateli povoluje přístup k požadovanému zdroji. Ovšem pro uživatele Exchange Online s klienty Office staršími než Office 2013 s aktualizací z května 2015 se ověřování provádí prostřednictvím koncového bodu založeného na hesle s názvem „UserNameMixed“, který buď generuje přístupový token, nebo chybový kód podle toho, zda jsou přihlašovací údaje validní. Právě tyto chybové kódy jsou místem, které umožňuje provádět útoky hrubou silou přes UserNameMixed endpoint, neboť je logováno pouze případné úspěšné odeslání přístupového tokenu.

Služby umožňující získat OTP jsou na vzestupu

Roste počet služeb, které se zaměřují na získání jednorázových hesel zaslaných přes SMS, nebo vygenerovaných pomocí aplikací jako je Google Authenticator. Klient takové služby pouze zadá telefonní číslo a jméno cíle a služba poté zahájí telefonní hovor, který cílovou osobu upozorní na neoprávněnou aktivitu na jejím účtu. Následně oběť vyzve k zadání OTP hesla, které je pak předáno „zákazníkovi” služby. Pro využití tohoto typu služby je pochopitelně potřeba mít již z jiného útoku k dispozici platné přihlašovací údaje.

Nový trojský kůň krade údaje na Epicu a Steamu

Nový pokročilý trojský kůň s názvem „BloodyStealer“ je prodáván na ruských fórech, kde nabízí uživatelům možnost krást účty uživatelů v populárních herních klientech jako například Steam, Epic Games a EA Origin. Společnost Cybersecurity Kaspersky jej poprvé detekovala v březnu 2021, kde byl nabízen na prodej za méně než 10 dolarů na jeden měsíc, případně za 40 dolarů na celoživotní předplatné.

Útoky pomocí tohoto trojského koně byly zatím odhaleny v Evropě, Latinské Americe a asijsko-pacifickém regionu. Jak uvádí společnost Kaspersky, BloodyStealer dokáže shromažďovat a získávat různé typy dat, například soubory cookie, hesla, formuláře, bankovní karty z prohlížečů, snímky obrazovky, přihlašovací paměť a relace z různých aplikací. Získané informace jsou přeneseny na vzdálený server, kde nejspíš probíhá následný prodej získaných dat na darknetu.

Čína prohlásila transakce prováděné pomocí kryptoměn za ilegální.

„Obchodní aktivity související s kryptoměnami jsou ilegální”, uvedla podle BBC Čínská lidová banka. Již v červnu bylo bankám a obchodním platformám oznámeno, aby přestaly zprostředkovávat transakce založené na kryptoměnách a byla zakázána těžba kryptoměn. Aktuální oznámení je ale již jasným signálem, že Čína chce zakázat obchodování s kryptoměnami ve všech jejích formách.

UX DAy - tip 2

Další prověrka čínských mobilních telefonů

Podle mluvčího ministerstva vnitra provádí německá BSI „technickou prověrku" mobilního telefonu firmy Xiaomi. Mluvčí neuvedl o podstatě prováděných testů žádné další podrobnosti. Minulý týden jsme se mohli seznámit s litevskou zprávou o analýze mobilních telefonů firem Huawei, Xiaomi a OnePlus. Na německou zprávu si budeme muset ještě počkat.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.