CDR.cz - Vybráno z IT

SecUpdate: Ke kameře z Amazonu vám přibalí malware zdarma!

nepřehlédněte
Jak může vypadat softwarové vylepšení kamer z Amazonu? Proč vás mohou ohrožovat populární doplňky pro Firefox? Jak se dal odemknout iPhone 6 bez znalosti hesla a do kterých iPhonů se dostane FBI? Nejen na tyto otázky vám dnes odpovíme!

Velké překvapení čekalo na Mika Olsena, který si v obchodě Amazon vyhlédl set 6 kamer včetně příslušenství k nahrávání a koupil ho pro svého kamaráda. Když se ale snažil kamery zprovoznit, přihlásil se do webového rozhraní a něco bylo špatně. Obraz z kamery byl vidět, ale žádné ovládací prvky nebyly dostupné. S předpokladem chyby v CSS Mike otevřel nástroje pro vývojáře a tam místo chybějící definice pro CSS styly našel na konci stránky vložený iframe odkazující na velmi zvláštní doménu.

 

Vložený iframe v těle stránky webového rozhraní kamer

Doména vypadala podezřele, ale to ještě nic neznamená. Pár vteřin na Googlu ale Mikovi prozradilo, co se na doméně ukrývá. Našel totiž příspěvek na blogu společnosti Sucuri, který o doméně mluví jako o distributorovi malwaru z roku 2009 a 2011.

 

Adresa, na kterou se iframe odkazuje

Vzhledem k tomu, že prodávající má skvělé hodnocení a cena za daný produkt je také výhodná, většina lidí si tohoto problému asi vůbec nevšimne. Kdo by taky očekával, že zboží, které si koupí na Amazonu, mu do počítače stáhne malware?!?

Populární doplňky do Firefoxu mohou být pro uživatele nebezpečné

Doplňky v prohlížeči nám velmi často zjednodušují život a přináší mnoho výhod. V minulosti jsme se už setkali s případy, kdy některé z nich byly škodlivé, proti tomu ale více či méně úspěšně bojují tvůrci prohlížečů detailní analýzou a kontrolou doplňků, které mají v nabídce. Člověk by si tedy řekl, že pokud stahuje jeden z nejpopulárnějších doplňků, nemůže v něm být žádný problém. Realita je ale jiná.

Na bezpečnostní konferenci BlackHat Asia prezentovala skupina výzkumníků nový útok zneužívající skupinu zranitelností v doplňcích Firefoxu. Ty spočívají v tom, že architektura doplňků umožňuje využití sdíleného JavaScriptového jmenného prostoru. Skupinu chyb pojmenovali „extension-reuse“ [PDF] zranitelnosti s ohledem na to, že mohou být zneužity doplňkem útočníků ke znovupoužití funkcionality běžného doplňku. Podle výzkumníků je odhalení těchto škodlivých rozšíření obtížné, což zvyšuje šanci, že rozšíření projdou kontrolním mechanizmem Mozilly.

 

Schéma znázorňující princip útoku využívajícího extension-reuse zranitelnosti

Výzkumníci vytvořili nástroj CrossFire, který slouží ke statické analýze doplňků a hledá v nich extension-reuse zranitelnosti. Analýzu poté provedli u 10 nejpopulárnějších doplňků a zjistili, že 9 z nich je zranitelných a útočník díky nim může provést spuštění vlastního kódu, získat přístup k síti a souborům, číst uložené cookie a upravovat nastavení prohlížeče. Mezi zranitelnými doplňky je například Firebug, NoScript, DownThemAll! a další. Jediným bezpečným doplňkem z TOP 10 byl Adblock.

Pokud jeden ze zranitelných doplňků používáte, nejste ihned v nebezpečí. Jak je vidět na schématu, k úspěšnému útoku musí být v prohlížeči nainstalován kromě zranitelného doplňku také doplněk škodlivý, kterým je útok proveden. Proto doporučujeme se zamyslet nad instalací každého doplňku, alespoň do doby, než Firefox zapracuje na jejich lepším oddělení.

WhatsApp nasazuje end-to-end šifrování

WhatsApp potěšil svůj bilion uživatelů zprávou o nasazení šifrování veškeré komunikace. Od teď bude každý hovor, zpráva a obrázek zašifrován tak, že si je zobrazíte jen vy a váš protějšek. Mimo jiné to znamená, že WhatsApp nebude schopen dodávat uživatelská data na základě soudních příkazů.

V aplikaci tedy už pravdpodobně vidíte upozornění, že vaše zprávy jsou šifrovány a také ikony zámku u profilu adresáta, která vás o šifrování ujišťuje. Není potřeba šifrování zapínat někde v nastavení, začne se používat automaticky.

 

Ověření bezpečnostního kódu v aplikaci WhatsApp

Nově v aplikaci najdete možnost „Ověřit bezpečnostní kód“, kterou je možné provést vyfocením QR kódu, nebo porovnání číselného kódu o 60 znacích. Je také možné zapnout si upozorňování na změnu bezpečnostního kódu u vašich kontaktů.

Máte radost z vyššího soukromí? Je tu ale jeden háček! Pokud budete konverzovat ve skupině, kde bude jeden či více uživatelů se starší verzí aplikace bez podpory šifrování, bude veškerá komunikace ve skupině nešifrovaná!

Zranitelnost na iPhonech 6S umožňovala překonat zámek telefonu a přistoupit ke kontaktům a fotografiím

Jste vlastníky iPhonu 6S či 6S Plus? Tak v tom případě si někdo až do poloviny minulého týdne mohl prohlížet vaše fotografie a kontakty aniž by znal heslo k vašemu telefonu. V úterý o způsobu, jak se k datům dostat, informovala německá společnost Vulnerability Lab. O chybě informovala nejdříve společnost Apple a to v polovině března. Když se ale v systému iOS 9.3.1 neobjevila oprava, Vulnerability Lab chybu zveřejnila.

Ukázka překonání zámku telefonu

Trik spočívá ve využití Siri k hledání na Twitteru nebo jiné nainstalované aplikaci. Útočník vyhledá nějakou emailovou adresu a poté na ní vyvolá kontextové menu. Z toho již může přidávat či upravovat kontakty. Po vybrání kontaktu může pokračovat nastavením fotografie kontaktu, čímž se dostane i k fotografiím.

Rychlou možností opravy bylo zakázání přístupu Siri k fotkám, případně kompletní zakázání Siri při zamčeném zařízení. Nyní už by měl být problém zažehnán, jelikož jak uvedla společnost Apple v prohlášení, byla provedena oprava na serverové straně, díky čemuž není třeba žádná aktualizace u uživatelů.

Nalezena další díra ve Flashi, kterou již zneužívají distributoři malwaru

Zranitelnost, která umožňuje vzdálené spuštění kódu, byla objevena výzkumníkem ze společnosti Proofpoint poté, co si všiml změny v exploit kitu Magnitude. Po detailnější analýze bylo zjištěno, že se jedná o dosud neznámou zranitelnost. Ležela v nezdokumentovaném ASnative API a spočívala v chybě při práci s pamětí.

Chyba dostala označení CVE-2016-1019. Existuje od verze Flash Playeru 21.0.0.197, ale byla zneužívána k šíření malware na systémy, kde byl Flash Player 20.0.0.306 či starší a Windows 10 či starší. Mezi malwarem, který byl díky chybě šířen, byl i ransomware Cerber a Locky.

 

Ukázka zneužití CVE-2016-1019 k šíření ransomware Cerber

Společnost Adobe rychle zapracovala a ve čtvrtek vydala balíček oprav, který kromě zmíněné zranitelnosti řeší i dalších více než 20 chyb.

Jaká jsou omezení hackovacího nástroje, který FBI používá na iPhony?

Ředitel FBI James Comey ve středu ve svém prohlášení potvrdil, že si FBI koupila nástroj pro získání dat z iPhonu střelce ze San Bernardino od soukromé firmy. Název firmy neprozradil, podotkl jen, že zná několik osob v dané společnosti a má v nich důvěru. Věří, že mají stejný zájem a motivaci jako FBI.

Dále se podrobněji vyjádřil k zařízením, na kterých nástroj funguje. Uvedl, že s nejnovějšími modely od Applu si neporadí a je krátký také na iPhone 5S. Co se týká sdílení nástroje se společností Apple, zatím o tom nebylo učiněno rozhodnutí. Je ale pravděpodobné, že FBI o chybě Apple informovat nebude, aby se v dalším případě opět neopakoval soudní spor o získání přístupu k datům.

135 miliónů modemů je možné vzdáleně vyresetovat do továrního nastavení

U modemu Arris SURFboard SB6141, který je velmi častý v amerických domácnostech, nalezl výzkumník David Longenecker chybu, která je činní zranitelné vůči neautorizovaným restartům. David zveřejnil svůj exploit poté co s ním výrobce modemu, společnost Motorola, přestal komunikovat ohledně problému.

 

Modem Arris SURFboard SB6141

A v čem chyba spočívá? Je to jednoduché – modemy nemají žádné ověření uživatele. Kdokoli v síti tedy může vstoupit do webového rozhraní modemu na adrese 192.168.100.1, bez potřeby znát nějaké jméno či heslo.

Ve webovém rozhraní pak může útočník modem restartovat, čímž v podstatě způsobí DoS útok na celou síť, která se po dobu 2-3 minut nemůže připojit k internetu. Další možností je také reset nastavení do továrních hodnot.

 

Webové rozhraní administrace modemu a tlačítko pro restart, vše přístupné bez hesla

Problém ale nemusí způsobit jen útočník z lokální sítě. Modem nekontroluje, zda příkazy na restart přicházejí z jeho webového rozhraní, či z externího zdroje. Je tak možné vytvořit škodlivou stránku nebo email obsahující url http://192.168.100.1/reset.htm v prvku, který se načte při zobrazení a modem se restartuje.

Oprava by však neměla být komplikovaná, otázkou spíše je, kolik uživatelů si případně nově vydaný firmware skutečně nainstaluje.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Ke kameře z Amazonu vám přibalí malware zdarma!

Sobota, 16 Duben 2016 - 14:35 | Kedar Míša | UPC prodává svůj modem, který schválila a je v...
Pátek, 15 Duben 2016 - 20:58 | Jirka1 | Stejně by ten bastl nikdo dál udržovat nechtěl.
Pátek, 15 Duben 2016 - 20:55 | Jirka1 | Ani v našich končinách ne. Už hodně dlouhou dobu...
Úterý, 12 Duben 2016 - 18:22 | Mastafa | Proč ten Flash neuvolní jako open soudce? Stejně...
Úterý, 12 Duben 2016 - 00:01 | Artael | Tohle moc dobře znám, provozuju velmi primitivní...
Pondělí, 11 Duben 2016 - 21:00 | Jack FX | To jsem si taky myslel ... Jenže http://edition....
Pondělí, 11 Duben 2016 - 19:20 | HKMaly | Bezne se dneska pouziva AES128, maximalne AES256...
Pondělí, 11 Duben 2016 - 19:15 | HKMaly | Nejjednodussi zpusob jak vypnout supernode...
Pondělí, 11 Duben 2016 - 18:35 | Kedar Míša | Tak zas bych to nepřeháněl. Každopádně tady jde o...
Pondělí, 11 Duben 2016 - 18:00 | Jack FX | Jenže co dneska trvá pár (desítek?) let, bude za...

Zobrazit diskusi