Hlavní navigace

Postřehy z bezpečnosti: zranitelnosti v lokalizačních zařízeních

25. 7. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním souhrnu novinek ze světa bezpečnosti se podíváme na chyby v GPS zařízeních nákladních vozů, na malwary pro Apple macOS a Linux, na novou možnost deanonymizace uživatelů nebo využití SATA kabelu jako antény.

123456 na cestách

Bezpečnostní firma BitSight minulé úterý vynesla na světlo hned šest chyb zařízení, které se používá pro lokalizaci v nákladních vozech. Zranitelnosti umožňují realizovat MitM útok, překonat autentikaci či šmírovat polohu. Nechybí mezi nimi takové perly, jako je natvrdo vepsané heslo v zařízeních, což útočníkům umožňuje správu přes SMS zprávy, i výchozí heslo na straně serveru.

Ano, pro programátora je vždycky jednodušší, když se může soustředit na produkt a nezabývat se bezpečností, ale je špatně, pokud se jeho kód s heslem 123456 (jako v tomto případě) dostane do milionu a půl nákladních vozů, jejichž hacknutelný GPS modul může způsobit katastrofu. BitSight kontaktoval MiCODUS už v září loňského roku, firma ale nepřinesla řešení a vyhýbá se komunikaci. Dokud lidé nezačnou porovnávat přístroje nejen podle ceny, ale i podle bezpečnosti a kvality, budou IoT přístroje tikat jako bomby.

Spyware CloudMensis na Apple macOS

Analytici společnosti ESET objevili dosud neznámý spyware, který cíli na Apple macOS. Malware z napadeného PC krade dokumenty, zaznamenává stisky kláves a pořizuje snímky obrazovky. CloudMensis je je vytvořen v Objective-C a vzorky, které ESET analyzoval, byly kompilovány pro Intel i Apple architekturu. Malware je zajímavý z několika důvodů. Jeho instalace probíhá ve dvou fázích, přičemž stažení kódu v druhé části není prováděno přes veřejně dostupné odkazy, ale z cloudu na základě přístupového tokenu.

Experti ESETu se domnívají, že vzhledem k jeho malému rozšíření byl tento malware používán k cíleným operacím. Vzhledem k tomu, že zranitelnosti používané malwarem k úspěšnému narušení sandboxu Safari jsou z roku 2017, domnívají se analytici, že malware se od roku 2017 vyhýbal detekci.

„OUROBOROS“ a Turtla pod falešnou vlajkou

O víkendu, kdy Rusko napadlo Ukrajinu, se Českou republikou prohnal hacktivistický vítr. Množství lidí, v touze něco malého udělat, nalezlo stránky, které z prohlížeče DDoSovaly ruské cíle. Přestože Rusko hrdinně popírá, že vede válku, jeho hackeři s tím problém nemají. 

Naopak vydávají falešné stránky, kde nabádají uživatele internetu, aby pomohli pluku Azov DDoSem proti ruské agresi, a to tím způsobem, že si stáhnou aplikaci pro Android. Tam čeká standardní malware od skupiny Turtla či Uroburos, navázané na FSB.

Deanonymizace v Toru i jinde

Zajímavou techniku na deanonymizování uživatelů přináší New Jersey Institute of Technology. Spočívá v tom, že pokud jste jako oběť v prohlížeči (a může to být i zcela anonymní Tor) přihlášena k některé z velkých internetových platforem, útočník vás identifikuje přes ně.

Je k tomu třeba, aby získal soukromý link například k vaší fotce v Google Drive – není důležité, že on sám link nemůže prokliknout, Google Drive mu fotku nezobrazí, protože je soukromá. Důležité je, že ji zobrazí vám. Útočníkovi stačí, když vás naláká na stránku, kam tento link vloží, a pokud prohlížeč zjistí, že se vám vaše fotka zobrazila, jste to vy.

Překonání vzduchové mezery pomocí SATA kabelu

Šéf R&D z Univerzity Bena Guriona, Dr. Mordechai Guri, přišel s nápadem využít aktivní SATA kabel v počítači jako anténu a pomocí té přenášet informace na blízkou vzdálenost. Data přenáší na frekvenci 6 GHz.

Na demonstračním videu přenesl zprávu obsahující řetězec „secret“. Zdejší laboratoř má v tomto odvětví četné úspěchy. Například s využitím síťových kabelů nebo nastavením jasu na obrazovce. Mezi ochrany před tímto útokem patří – zabránit infekci daného stroje – malware se musí dostat na stroj, aby mohl posílat data, monitorování bezdrátového pásma v oblasti 6 GHz na výskyt anomálií, či přímo jeho rušení.

Nový Linux Malware Framework umožňuje útočníkům instalovat rootkit na cílené systémy

Byl objeven velice zajímavý linuxový malware nazývaný „Swiss Army Knife“ (díky své modulární architektuře a schopnosti instalovat rootkity). Framework obsahuje jak pasivní, tak aktivní možnosti, jak může útočník komunikovat se systémem, včetně otevření SSH portu na infikovaném počítači. Hlavním prvkem malwaru je stahovací program („kbioset“) a modul jádra („kkdmflush“), přičemž první z nich se snaží vždy stáhnout alespoň sedm různých pluginů ze vzdáleného serveru.

root_podpora

Základní modul naváže kontakt se serverem pomocí „command-and-control“, aby zajistil potřebné příkazy ke spuštění zásuvných modulů, přičemž se také postará o to, aby nebyl detekován na napadeném počítači. Malware umožňuje útočníkům například vytvořit fingerprint napadeného stroje, spouštět příkazy v shellu, nahrávat soubory na server, zapisovat libovolná data do souboru a dokonce se může sám aktualizovat a případně odstranit z infikovaného stroje.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.