Hlavní navigace

Postřehy z bezpečnosti: využití vysavače trochu jinak

CSIRT.CZ

V tomto vydání se podíváme na zabezpečení čínských vysavačů, na triviální chybu macOS, kterou vývojáři Apple opět přehlédli, co nás čeká s WPA3 a koukneme se taky na hatery na internetu.

Doba čtení: 4 minuty

Internet věcí nás nepřestává překvapovat. Nedávno byl pokusně tzv. rootnut vysavač Xiaomi Mi – ukázalo se, že je se svými třemi procesory výkonnější než leckterý smartphone. Výzkumnicí se snažili hacknout toto zařízení různými způsoby. Překvapivě dobře zabezpečené byly všechny porty včetně microUSB.

Úspěšní byli výzkumníci až s využitím hliníkové fólie, která jim posloužila ke zkratu některých kontaktů na základní desce. Podařilo se jim tak dostat k firmwaru, který mohli nejen pozměnit, ale získali i absolutní kontrolu nad zařízením. Až potom, co důsledně prozkoumali firmware, zjistili, jak se také dostat do zařízení přes Wi-Fi, tudíž bez potřeby manuálního rozebrání vysavače a hraní si s fólií uvnitř. Na IoT zařízení jde o poměrně výkonný stroj. Firmware pracuje na Linux Ubuntu, který je pravidelně aktualizován, používá rootovské heslo pro každé zařízení a neexistuje žádné univerzální heslo, kterým by šlo hacknout všechna zařízení najednou.

Zklamáním je, že vysavač údajně posílá denně několik megabytů dat svým výrobcům. Nejde však jen o data, která by se týkala nevinné provozní telemetrie, obsahuje také jména a hesla všech Wi-Fi sítí, která přístroj zná a mapy pokojů, kde luxuje. Tato data navíc ve vysavači zůstávají i potom, co se pokusíte o uvedení přístroje do továrního nastavení, abyste ho mohli prodat dál. Současně s vysavačem tak prodáváte i bonusy ze svého soukromí. I když Čína dlouhodobě vede ve všech malware žebříčcích, zdá se, že tito výrobci dali do bezpečnosti trochu víc, než výzkumnicí očekávali.

Naše postřehy

Poslední dobou to vypadá, že vývojáři macOS mají potíže především se zabezpečením a validací hesel. Před pár měsíci se v systému macOS vyskytla chyba, která heslo uživatele zobrazila při nepovedeném přihlašovacím pokusu čitelně namísto nápovědy. Za další dva měsíce zase bylo možné přihlášení na superuživatele root úplně bez hesla. Přestože se Apple kaje, že bezpečnost je pro ně prioritou číslo jedna, nyní byla objevena další chyba. Tentokrát je možné bez přihlášení měnit nastavení aplikace App Store. Stačí nastavení “odemknout” a do přihlašovacího formuláře vepsat libovolné uživatelské jméno a heslo. Oproti předchozím bugům se jedná v podstatě o maličkost, protože v nastavení App Store je možné měnit jen např. nastavení instalace aktualizací, ale přesto to není pro Apple nejlepší reklama.

Útočníci si opět našli způsob, jak dostat nakažené aplikace přes antivirovou kontrolu. Až 22 aplikací bylo odstraněno z obchodu Google Play. Důvodem bylo nalezení tzv. adwaru, který byl v aplikacích nahrán. Aplikace také obsahovaly script, který přepisoval jejich oprávnění. Uživatelé svých zařízení byli nuceni klikat na reklamy, aby mohli vykonávat další aktivity. Jedna z nakažených aplikací, sloužící k nahrávání hovorů, byla stažena pěti miliony uživateli. Napadeným zařízením se nezobrazovaly reklamy jenom při používání konkrétní nakažené aplikace, ale zobrazovaly se kdykoliv. Například po skončení telefonního hovoru.

Protokol WPA2, který byl používán přes 15 let bude postupně nahrazován vylepšenou verzí WPA3. Verze WPA2 již obsahovala několik chyb a mezi nimi také KRACK (key reinstallation attack), který umožňuje zachytávat a dešifrovat komunikaci. V minulém roce Wi-Fi Aliance představila WPA3 protokol, který obsahuje řadu zlepšení v oblasti bezpečnosti. WPA3 slibuje posilnění soukromí uživatelů v otevřených sítích, měl by lépe chránit před slovníkovými brute force útoky, nabízí zjednodušenou ochranu pro zařízení, které nemají displej pro konfiguraci (např. IoT zařízení) a také 192bitovou sadu zabezpečení pro sítě, které vyžadují vyšší míru bezpečnosti. První certifikovaná zařízení, která budou podporovat WPA3, by se na trhu měla objevit koncem roku.

Kolegové ze SANS narazili na nárůst provozu na portu TCP/3333. Podrobnější analýza tohoto provozu zatím chybí. Nicméně na Turrisech jsme to zaznamenali také. Nejpravděpodobnější se zatím zdají útoky na infrastrukturu těžící kryptoměny. Například v případě Monera je tento port využíván pro připojování těžících strojů do poolu, které se využívají pro kolektivní těžení. Další možností je samotný nástroj na těžbu měny na počítači, který otevírá tento port pro monitoring. To by mohlo znamenat, že pro něj existuje exploit. Jako další spekulace se objevuje spojitost s CVE-2017–10271.

Jiří Kwolek ze společnosti GoodMentions publikoval na portálu lupa.cz velmi zajímavý článek zabývající se nenávistnými projevy na Internetu. Z obsahové analýzy, kterou zmiňovaná firma provedla, vyplývá, že ruku v ruce s teroristickými útoky ve světě, rostou i projevy nenávisti na sociálních sítích. Tento fakt dokládá přehledným grafem, kde výhrůžky smrtí vždy mnohonásobně narostly v období, kdy došlo k nějakému útoku. Autor článku současně vyzývá, aby se do diskusí, kde jsou nenávistné komentáře publikovány, zapojovala veřejnost, aby takzvaným haterům bylo jasné, že jejich chování nic neřeší a naopak nahrává špatné náladě ve společnosti, která je právě pro terorismus tím nejpříznivějším podhoubím.

Ve zkratce

Tisíce routerů značky MikroTik a Ubiquiti obětí defacementu

Bitcoinová peněženka Electrum byla zranitelná přes dva roky

Skype zlepšuje soukromí konverzací

Záplaty na zranitelnosti Meltdown a Spectre způsobují problémy na Ubuntu 16.04

Microsoft patchuje 16 kritických zranitelností

Phishing jménem společnosti Netflix sbíra informace ke kreditním kartám 

Zranitelnost v aplikaci WhatsApp není až tak kritická 

Pro pobavení

O seriálu 

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.

Našli jste v článku chybu?