Hlavní navigace

Postřehy z bezpečnosti: Twitter dovolil zneužití telefonních čísel a e-mailů k cílení reklamy

14. 10. 2019
Doba čtení: 5 minut

Sdílet

Minulý týden si Twitter všimnul, že vyzrazuje osobní údaje. Dále nás čeká ransomware phpMyAdminu na NAS, teoretická zadní vrátka od NSA, detekce škodlivých ASN a velmi drahé uvozovky ANSI.

Bezpečnostní údaje zneužity pro cílenou reklamu

Ten pocit, když někomu svěříte své telefonní číslo a e-mailovou adresu pro zvýšení bezpečnosti a on ji použije pro lepší zacílení reklamy, nechce zažít asi nikdo. Společnost Twitter oznámila, že údaje, které jí pro účely 2FA přihlašování poskytli uživatelé, byly v některých případech použity pro lepší zacílení reklamy. Společnost nicméně ujišťuje, že žádná osobní data uživatelů neunikla.

Proces probíhal tak, že inzerent dodal Twitteru seznam uživatelů, na které chtěl zaměřit reklamu, a to včetně jejich osobních údajů, které měl k dispozici. Problém byl, že se nedopatřením tento seznam porovnával i s údaji, které uživatelé poskytli Twittteru pouze za účelem zvýšení bezpečnosti. Kolika uživatelů se to týkalo, není společnost schopna říci. Dlužno říci, že Twitter se přiznal sám a omluvil.

Minulý rok byla podle serveru Hacker News při zneužívání telefonních čísel poskytnutých za účelem 2FA chycena společnost Facebook. V tomto případě Federal Trade Commission (FTC) obvinila Facebook ze záměrného používání těchto dat pro účely reklamy a letos v červenci pak FTC ocenila tento počin pokutou.

Bonjour znamená sbohem

Spousta našich zpráv začíná slovy „výzkumníci odhalili“, „výzkumníci zjistili“. Jsou to sice jen úvodní fráze, ale na poslech zní lépe než slova „útočníci zjistili, jak nabourat iTunes“. Na vině je aplikace Bonjour, která zajišťuje updaty pro produkty Apple a dostane se do Windows například právě při nainstalování iTunes. I když však uživatel iTunes odinstaluje, Bonjour v počítači může zůstat , činný, nezáplatovaný a uživatelem neodhalený, protože se jako aplikace, která je podepsaná Applem, jeví naprosto důvěryhodně pro antivirové produkty. Ty, ve snaze neobtěžovat uživatele, méně kontrolují aktivitu, jež by u jiných aplikací byla označena jako podezřelá.

A co že bylo to za problém, který stál mnoho organizací značnou sumu peněz, protože otevřel dveře pro ransomware BitPaymer/iEncrypt? Byly to obyčejné uvozovky. Jedny před a jedny za cestou k souboru. Programátoři mylně předpokládali, že stačí, aby cesta k souboru byla textovým řetězcem, neošetřili jej uvozovkami a malér byl na světě. Škodlivý program, který Bonjour spouštěl, byl dodán útočníky jako program s názvem ‚Program‘.

Bonjour zkoušel spustit aplikaci s názvem ‚SoftwareUpdate.exe‘ ve složce ‚c:\\Program Files‘, ale překvapila ho mezera za slovem ‚Program‘, takže zapátral nejprve na cestě ‚c:\\Program‘. Tam nalezl existující soubor, který spustil. A malware byl o to méně podezřelý, že nepotřeboval příponu „.exe“, ale jen celkem obyčejný, nicneříkající název ‚Program‘.

Terminál branou

Terminál iTerm2 je široce užíván jako náhrada za vestavěný terminál operačního systému macOS. Pro svou rozšířenost se na něj výzkumníci zaměřili v rámci bezpečnostního auditu financovaného programem Mozilla Open Source Support. Zjistili, že speciálně upravený vstup umožní útočníkovi spouštět libovolné příkazy přes integraci s programem tmux.

Pro využití zranitelnosti musí sice uživatel „spolupracovat“ a takříkajíc padnout do pasti tím, že nechá některou aplikaci vypsat závadné znaky, ovšem past může být skrytá za některými běžně užívanými programy, u nichž by uživatel ani ve snu nepředpokládal, že mohou být nebezpečné. Verze iTerm2 3.3.6 již zranitelnost neobsahuje.

Jak to dopadá, když si z vývojářů děláte šoufky

Muhstik je ransomware, který byl detekován letos v září, a který napadá NAS zařízení výrobce QNAP. Samotné napadení probíhá pomocí brute-force útoku na službu phpMyAdmin. Jednou z obětí skupiny, která šířila ransomware Muhstik, byl německý vývojář Tobias Frömel, který byl donucen za dešifrování svých dat zaplatit. Následně se však rozhodl, že si to nenechá líbit.

Frömel se tedy naboural do serveru používaného skupinou stojící za tímto ransomwarem a zveřejnil dešifrovací klíče pro všechny jeho oběti na serveru Pastebin. Celkem se jedná o 2 858 klíčů, které na serveru nalezl. Kromě toho také zveřejnil nástroj, který uživatelům s dešifrováním pomůže a poskytl příslušným autoritám informace potřebné k odhalení jednotlivých členů skupiny.

Zranitelnost frameworku Ghidra

Byla objevena zranitelnost ve frameworku Ghidra 9.0.4. O tomto nástroji se veřejnost mohla poprvé dozvědět díky úniku informací z práce CIA v roce 2017, který zprostředkoval server WikiLeaks. V březnu tohoto roku se pak NSA rozhodla, že se o tento nástroj podělí a umožnila volné používání tohoto nástroje určeného pro reverzní inženýring. Jedná se o nástroj multiplatformní a najdou se i tací, kteří ho považují za multiplatformní zadní vrátka NSA – ta to však zcela překvapivě popírá.

Nově objevená zranitelnost může být útočníkem využita ke spuštění libovolného kódu v kontextu dotčené aplikace. Spočívá ve funkci Read XML Files v pluginu Bit Patterns Explorer. Zranitelnost nicméně může být exploitována, pouze pokud je zapnutý mód experimental. Už je také k dispozici záplata.

Varování před aplikacemi, které spouštějí skryté reklamy

Malwaru, neboli škodlivému kódu, jsou vystaveny i naše chytré telefony. Mezi nejčastější hrozbu pro telefony se systémem Android patřil v září tzv. adware. O první dvě příčky se velmi těsně dělí dva zástupci rodiny nazvané Hiddad. V obou případech se jedná o aplikace, které spouštějí skrytě reklamy.

„Jakmile tyto aplikace zapnete, začnou se na pozadí připojovat k reklamním serverům a po nějaké době vám začnou inzerci zobrazovat. Uživatel ale žádnou aktivitu nevidí. Působí to tedy dojmem, že aplikace nefunguje,“ popisuje aktivitu malwaru Miroslav Dvořák, technický ředitel pražské pobočky společnosti Eset.

Deepfake na vzestupu, rizikem je hlavně pro ženy

Bezpečnostní společnost Deeptrace objevila online celkem 14 698 tzv. deepfake videí, což je téměř dvojnásobek oproti necelým osmi tisícům zjištěným loni v prosinci. A přestože dosud převládaly obavy, že deepfake videa mohou být zneužita v politice, jak se ukazuje, většina z nich (96 %) je z kategorie pornografie – tváře původních aktérů jsou v nich nahrazeny tvářemi celebrit.

Nejčastěji obličeji amerických a britských hereček, kterým však zdatně sekundují hvězdy jihokorejské hudební scény. Ukazuje se tak, že deepfake videa představují hrozbu především v oblasti tzv. revenge porna neboli pornografie ze msty a kyberšikany.

Dopředu poznat síť, z které se chystá útok

BGP protokol umožňuje řídit provoz po Internetu, který je rozdělen na přibližně sto tisíc autonomních systémů, identifikovaných číslem (ASN). Laboratoř MIT shromáždila data o změnách routování za posledních pět let a dala je do souvislosti s historií proběhlých útoků. 

root_podpora

Na základě toho se snaží pomocí strojového učení odhadnout, které ASN vykazuje podobné charakteristiky změn v BGP routingu a může se tak v budoucnou ukázat jako původ útoku; což poskytne administrátorům čas připravit se dopředu.

Ve zkratce

Pro pobavení

Zdroj:https://upjoke.com/security-jokes

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.