Hlavní navigace

Postřehy z bezpečnosti: problémy Androidu, macOS a IoT

CESNET CERTS

Dnes si řekneme o problémech Androidu, macOS i internetu věcí, o zabezpečení hlasovacích strojů a policejních osobních kamer i o australském středoškolákovi toužícím po zaměstnání u firmy Apple.

Doba čtení: 5 minut

Sdílet

Zranitelnost mobilních telefonů s Androidem

Americká firma Kryptowire, která se zabývá bezpečností mobilních zařízení, na bezpečnostní konferenci DEFCON zveřejnila zprávu o zranitelnostech mobilních telefonů s operačním systémem Android. Tyto chytré mobily mohou být zranitelné už v okamžiku, kdy je uživateli dodává jeho telefonní operátor, a neplatí tedy obecně přijímaný názor, že malware se do telefonu může dostat jen vinou uživatele, který si ho sám nainstaloval.

Problém je v tom, že chytré telefony se obvykle dodávají s řadou předinstalovaných a zbytečných aplikačních programů (tzv. bloatware), které obvykle nelze odinstalovat a které obsahují různé zranitelnosti; ty pak umožňují špehovat uživatele (např. poslouchat pomocí mikrofonu, sledovat obsah displeje, číst a měnit zprávy a e-maily), odesílat zprávy, vytáčet telefonní čísla, spouštět různé příkazy, provést tovární reset a znemožnit uživateli přístup k telefonu.

Firma zjistila problémy v telefonech od výrobců Alcatel, Asus, Coolpad, Doogee, Essential Phone, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo a ZTE. Ohlásila je firmě Google i příslušným výrobcům; některé problémy už mají být odstraněné.

Další zranitelnost Androidu: Man-in-the-Disk

Pracovníci známé bezpečnostní firmy Check Point Research odhalili další zranitelnost operačního systému Android, která se může projevit, pokud uživatelský program nevhodně využívá externí paměti.

Aplikační programy v operačním systému Android mohou ukládat data nejen do interní paměti, kde je chrání systémový sandbox, ale i do externí paměti na paměťové kartě. Firma Google doporučuje používat pro citlivé soubory a data právě interní paměť; tímto doporučením se ale neřídí některé programy od Google (Google Text-to-Speech, Google Translate, Google Voice Typing) ani další oblíbené programy (Xiaomi Browser, Yandex Translate): data v externí paměti dosud považovaly za důvěryhodná a jejich integritu nekontrolovaly.

Pokud si uživatel do telefonu nevědomky nainstaluje trojského koně „Man in the Disk“, který umí monitorovat data přenášená mezi aplikačními programy a externí pamětí, ten může jejich data (resp. kód) v externí paměti modifikovat a tím zmanipulovat jejich výsledky, nebo tyto programy přinutit, aby havarovaly, nebo místo nich nainstalovat vlastní kód, který dokáže eskalovat uživatelská práva a získat přístup k dalším součástem systému (kamera, mikrofon, seznam kontaktů atd.).

Např. telefony Xiaomi provádí update browseru tak, že nová verze se nahraje do externí paměti, kde ji MitD může modifikovat nebo přímo nahradit vlastním malwarem.

Check Point píše, že Google už své zranitelné programy upravil; Xiaomi zatím ne.

Google sleduje vaši polohu lépe, než si asi myslíte

Pokud si přejete, aby firma Google nesledovala vaši polohu, asi se řídíte jejím doporučením a např. dáte příkaz Pause Location History nebo  Delete Location History.

Společnost Associated Press ale zjistila, že údaje o poloze se mohou i přesto ukládat; dělají to jednotlivé aplikační programy jako např. Google Search a Google Maps. Pokud to chce uživatel zakázat, měl by vypnout funkci Web and App Activity, která je implicitně povolena.

Podrobný návod pro počítače a telefony Android i iOS

Zranitelný je i macOS

Bezpečnostní expert Patrick Wardle ve své presentaci „The Mouse is Mightier than the Sword“ na DEFCONu odhalil, že zranitelnost CVE-2017–7150 stále umožňuje, aby trojský kůň klikl na souhlas s potenciálně nebezpečnou akcí – např. Run untrusted app?   Authorize keychain access? Authorize outgoing network connection?

Děti se učily hackovat volební stroje

Součástí bezpečnostní konference DEFCON byl také projekt „Voting Village“, kde se 50 dětem ve věku 8 – 16 let dostalo školení o útocích SQL Injection; nově nabyté vědomosti si hned mohly vyzkoušet na replikách webů – hlasovacích strojů různých amerických států.

Celkem 46 dětem se podařilo měnit volební výsledky, jména kandidátů i názvy politických stran atd. Postižená strana namítá, že při těchto testech nebyl zohledněn fakt, že ve skutečnosti jsou hlasovací stroje chráněny lépe (útočníci k nim nemají přímý přístup).

Zranitelné jsou i osobní policejní kamery

Útočník může sledovat polohu policisty, získat přístup k souborům a modifikovat je. Může zjistit např. i to, zda se neblíží větší počet policistů.

Školák obelstil Apple

Šestnáctiletý australský středoškolák ukradl firmě Apple 90 GB dat. Jeho obhájce tvrdí, že školák je fanouškem firmy Apple a jednou by v ní rád pracoval.

Ve zkratce

Zranitelné klimatizace, topení a bojlery mohou způsobit výpadek rozvodné sítě

Kardiostimulátor je zranitelný ještě 18 měsíců po ohlášení chyby

Pro pobavení

500 Internal Server Error

Sorry, something went wrong.

A team of highly trained monkeys has been dispatched to deal with this
situation.

If you see them, show them this information:

cR2wqReb30NV9xQ3dETttUMBOS8CQzyJp7s5R7DOz26fYopDO-NKAhhDq_8t
TQAJo2imDpH0O7J9s5qHhn_jqESTVhUEhzubO8auflosf1RRzOhTG1D5J1QZ
kw3iAz0hGj0hjAGfM6XisPJJG67D_cGSbxVY6pF7h6uYHzCLGJD844DTerx-
UxTxp5GC2ZHB9VS689OwiBFzuy1Rg6Iik1UMevf0IjC6OXcHmFq-dQmA7CLd
Hihv90NaV-7a-TmdtJGOSTmPMeP_PJ_a7Suy0C4MU_wjFVkqb4UydvGtI7r8
mgNWNHM9x_N0WnTl7_ynCuaczdNQ9RRKpJMRR62pShfi7rSOciZHjm43E-NX
7CYP3-Nbo42Mq5r5qzzriCfl6pxhIBs1cNl_3Vs-NWlLQHDt0po8bI7zyDTO
GKdyeGfjROrAW1zAbdHx2DbNch-_JqJPzkhtl90GkEfDyYvGerkmGkwXZ-KV
NZ8_Rz0xZKFsneLqagjyhNoyYILSa3fKL4wi1487XfwXYFqakq_t8EDhS3gX
qGI4pNz4j_tTyhs0PjfleJ3ubyy5PDJQx3w6De19_cUzAD0wzmOBhRU0OmZD
oDcyO6pdDUDODPsQxl_LPhlxRiIPBMYB9xCrDuOZ8t_KhwJWWbwwjBhXspUx
mI9flR3dLvuyITWiulc4mKtxiizPv0WrtsuztrRl2Ftbumkb7YT6IEhpatd9
O2OmQYMWquDYWixy23J97Si1AEFvcRdStXMB_zmpv9cFo4m44QdvHhWHggMr
Vkl6JdlX66zHK2tb1iy_h6qUXWYrSIE9MyeWZkowMPenrYIQQMeqWG8Uh-lW
7mZH_MIfAp2eAcMJS4m5g8FJjc1Mwnh2T_oWIIg0nI3tR05GWQyQjmGnW8Nr
qY-y-GDf1dvSyQXlwIrn_iB_rwRpAaAIO87v3RF-fni5OQSe_VfIZFVszcKW
X2403ZDbG1JiqonWpM-nMCba6pcoBAfmdD4kUq_dnZAVqsPNcnq0mwCGDPL5
7m0iv5ejqARYxSU50w9lYWhnsFVmBs_NG-U_TsH7a7FHDaMzS0CbzMuQocWj
3igIjSa8CGBNDfZSWl3-ooE0QN_tywie6d_Qz-tIMWlseNGwB1RzX-6zW0Va
cD6t4IKYCAap1dv6GjIR6vWsSFxb2sdzRQ2vvyb5fj_Sh-H6FgooKlxh5WXC
M-5hu4PXQw0etCeRRUB4oteZD8NqtxAdqTGIYGgCMdEVJ1LfA8ILGdDJSJ5z
1ZCYCfTSaR58BhHfXYFwUYJsD69dIWyDYimfOKcSOIanBA810axYSNus39HP
kpqSaUbTWZf843xcfL9m4p1-vAnbCXALeqo3uCsDojQIdKLHmjgXJXqohbS9
hInwx-7AK500Wht7w63eI5Vrxg1ivRFu46BSaYIPpSM2I3iNBHY-IL5T_v5P
fdPuFLwRTOQAwO_cv1ImSZgVPe_pD1EpIJR-UTsPSAw47zZ0CCL3YwAXxOP2

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.