Hlavní navigace

Postřehy z bezpečnosti: Problémy Androidu, NASů i OpenPGP key serverů

15. 7. 2019
Doba čtení: 5 minut

Sdílet

Dnes se zaměříme na problémové aplikace Androidu, na malware „Agent Smith“, na ransomware napadající NASy firmy QNAP, na útoky na SKS key servery systému OpenPGP i na několik dalších bezpečnostních novinek.

Aplikace obcházejí oprávnění systému Android

Pracovníci dvou amerických universit, IMDEA Networks Institute, International Computer Science Institute a firmy AppCensus otestovali chování 88 113 aplikací pro systém Android: chtěli zjistit, zda aplikace dokážou obejít oprávnění systému a dostat se k údajům, ke kterým jim uživatel nepovolil přístup – typicky k takovým, které mohou identifikovat osobu uživatele, jako např. identifikátor IMEI, Ethernetová adresa MAC zařízení a routeru, a geolokační údaje. Výzkumníci našli 61 aplikací, které neoprávněně odesílaly takové údaje, a dalších 12 923 takových, které obsahovaly kód umožňující získat tyto údaje.

Tyto aplikace získávaly neoprávněný přístup k datům:

  • utajenými kanály: např. pokud aplikace A má právo zjistit identifikátor IMEI, může ho předat aplikaci B, která toto právo nemá – obvykle prostřednictvím sdílené paměti na paměťové kartě;
  • postranními kanály: např. pokud aplikace neměla povolený přístup ke geolokačním údajům, mohla o ně požádat geolokační server prostřednictvím IP adresy telefonu nebo příslušného routeru, případně je zjistit z metadat EXIF nedávno pořízené fotografie.

Když výzkumníci analysovali tyto provinilé aplikace, našli SDK Salmonads a Baidu, které dokázaly zjistit IMEI a uložit je ve skrytém souboru na paměťové kartě pro použití dalšími aplikacemi. Unity game engine zase umí zjistit MAC adresu telefonu a 9 dalších SDK umožňuje přístup k MAC adrese routeru a k tabulce ARP; s jejich pomocí lze také získat geolokační údaje i další zajímavé informace.

Výzkumníci předali své závěry firmě Google, která jim vyplatila odměnu a slíbíla, že mnoho z těchto problémů odstraní v připravovaném Androidu Q. Uživatelé dosavadních verzí Androidu si zatím mohou přečíst výzkumnou zprávu 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System nebo najít podrobné informace o všech 88 tisících prozkoumaných aplikací.

Nebezpečný malware „Agent Smith“

Výzkumníci firmy Check Point Research zveřejnili údaje o novém malwaru „Agent Smith“ pojmenovaném podle fiktivní postavy z filmu Matrix, který už údajně infikoval přes 25 milionů zařízení s Androidem. Pokud si uživatel obstaral z některého neoficiálního zdroje trojského koně obsahujícího tento malware, Agent Smith využije zranitelností Androidu „Janus flaw“ nebo „Man in the Disk“, infikuje všechny už nainstalované aplikace, které jsou uvedeny v jeho seznamu cílů, znovu je nainstaluje a zakáže jejich update z oficiálních zdrojů. Sám je ale může znovu infikovat novějším kódem. Uživatel tedy může své aplikace stále používat a netuší, že jsou infikované. Tato infekce se prozatím projevuje jen tím, že telefon neoprávněně zobrazuje větší počet reklam a hackerům tak vydělává peníze; v budoucnosti ale Agent Smith může začít páchat i další škody – např. exfiltrovat bankovní údaje nebo odposlouchávat komunikaci uživatele.

Proti Agentu Smithovi se lze chránit dodržováním známých bezpečnostních zásad:

  • Nestahovat software z neoficiálních zdrojů
  • Včas updatovat operační systém i aplikace
  • Pokud má uživatel podezření, že aplikace je infikována, je třeba ji odinstalovat a z oficiálního zdroje (Google Play) ji stáhnout a znovu nainstalovat.

Nový ransomware eCh0raix/QNAPCrypt vydírá majitele NAS QNAP

Pracovníci firem Anomali a Intezer odhalili nový ransomware pojmenovaný eCh0raix (Anomali) nebo QNAPCrypt (Intezer). Zaměřuje se na síťová datová úložiště tchajwanské firmy QNAP, jež infikuje prostřednictvím brute-force útoku na službu SSH. Od svého CC serveru si vyžádá veřejný RSA klíč pro zašifrování souborů s koncovkami, které obsahuje jeho seznam, a také adresu bitcoinového účtu pro zaslání výkupného. První verze malwaru posílala každé oběti jinou bitcoinovou adresu; pracovníci Intezeru toho ale využili a činnost malwaru zablokovali. Autoři malwaru tedy vytvořili další verzi, která už využívá jediného veřejného RSA klíče a jediné bitcoinové adresy.

Je zajímavé, že tento ransomware kontroluje locale NASu; pokud zjistí, že patří Bělorusku, Rusku nebo Ukrajině, svou činnost ukončí a žádnou škodu tam nezpůsobí.

Proti tomuto ransomwaru se opět můžeme chránit pomocí známých zásad:

  • Užívat dostatečně bezpečných přihlašovacích údajů
  • Povolit automatický update firmwaru NASu
  • Připojit NAS do místní sítě, kde nebude dostupný z Internetu
  • Zálohovat data NASu v další lokalitě.

Útok na síť OpenPGP SKS key serverů a na GnuPG

Koncem června 2019 zjistili dva odborníci na OpenPGP, že někdo v síti SKS (synchronizujících key serverů) zaútočil na jejich veřejné PGP klíče tak, že k nim přidal desetitisíce dalších podpisů. Tím zneužil známé skutečnosti, že celá síť SKS serverů je kvůli obavám z censury a vkládání falešných informací navržena tak, že do ní lze informace pouze přidávat, ale nelze je mazat; původní správné informace z ní tedy nejdou odstranit. Tato výhoda se ale nyní projevuje negativně: Certifikát každého uživatele může mít podle protokolu OpenPGP až 150 tisíc podpisů, ale např. GnuPG takový počet podpisů nesnese a zadře se. Také se dá předpokládat, že podobný útok zasáhne i další uživatele PGP, kteří zveřejnili své klíče na SKS serverech.

Každý, kdo by teď chtěl s Robertem J. Hansenem nebo s Danielem Kahnem Gillmorem komunikovat s využitím jejich PGP klíčů, které by si stáhl z některého SKS serveru, tedy riskuje, že se jeho GPG instalace zakousne a přestane fungovat, možná nenávratně. Veřejný klíč R.J.H. už má 150 tisíc podpisů.

Tyto „otrávené“ certifikáty nelze ze sítě SKS serverů v současnosti nijak odstranit; k tomu by bylo třeba změnit celý jejich systém, což by bylo velmi obtížné.

Autor příspěvku R.J.H. navrhuje tato prozatímní řešení pro GnuPG:

  • V souboru „gpg.conf“ zakomentovat všechny řádky začínající na „keyserver“
  • Na konec souboru „dirmngr.conf“ přidat řádku „keyserver hkps://keys.openpgp.org“. Tato řádka odkazuje na nový experimentální key server, který nepatří do sítě SKS serverů a jeho funkčnost je omezená, ale je odolný proti popsanému útoku a umožní opět bez risika spouštět příkaz „gpg –refresh-keys“.

Ve zkratce

Zranitelný videokonferenční software Zoom

Zadní vrátka v knihovně Ruby ‚strong_password‘

Obrovská pokuta pro British Airways a hotely Marriott

DNS over HTTPS (DoH) vyvolaly spory; Kritici DNS over HTTPS ustoupili

UX DAy - tip 2

Američtí starostové se zavazují, že nezaplatí, pokud jejich sítě infikuje ransomware

Pro pobavení


O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.