CDR.cz - Vybráno z IT

SecUpdate: PayPal ohrožuje vaše finance a lednice vaše emaily!

nepřehlédněte
Dnes zjistíte, jak bylo možné vysát peníze z PayPalu a nebo jak z lednice dostat login jejího majitele. Podíváme se i na umírající Flash, problémy GitHubu, nebezpečné routery u vás doma, novou metodu na odhalení škodlivých aplikací a další díru na Facebooku.

Využíváte pro platby na e-shopech PayPal? Tak to jste si možná všimli, že při placení jste přesměrováni na stránku https://securepayments.paypal.com, kde typicky zadáte číslo karty, CVV, datum expirace a další informace potřebné k provedení platby. Ty se pak odešlou šifrovaným protokolem HTTPS, takže by neměly být jen tak někým zachyceny.

 

Formulář na zranitelné stránce, po úpravě s využitím XSS zranitelnosti bude na pohled stále stejný

Bezpečnostní expert Ebrahim Hegazy si k těmto datům ale cestu našel. A to pomocí zranitelnosti XSS, kterou právě stránka pro provádění plateb obsahovala. Pomocí této chyby může útočník upravit HTML kód stránky a změnit tak její obsah. Může tedy uživateli zobrazit vlastní formulář, jehož obsah po vyplnění odešle v nešifrované formě na svůj server. Ukradená data poté může využít k nákupu čehokoli za finance oběti nebo k převodu veškerých prostředků oběti na svůj PayPal účet.

PoC video ukazující, jak zneužít zranitelnost k získání informací o kartě a přihlašovacích údajů uživatele

Chybu Ebrahim nalezl a nahlásil PayPalu 19. června a 24. srpna obdržel informaci o její opravě. Při platbách na webu tedy můžeme být zase o něco klidnější.

Chytrá lednice od Samsungu vystavuje útoku vaše přihlašovací údaje k Gmailu

Vidět na lednici svůj kalendář může být super. Pokud za to ale zaplatím tím, že sousedovic script-kiddie bude mít přístup do mého Gmailu, tak se raději vrátím k papírovému diáři.

Proč by se to mohlo stát vysvětlili výzkumníci ze společnosti Pen Test Partners na nedávné konferenci DEF CON. Ve své prezentaci popsali chybu chytré lednice od Samsungu, která je jedním z inteligentních domácích spotřebičů z nabídky této společnosti.

 

Chytrá lednice Samsung RF28HMELBSR 

Lednice je navržena tak, aby zobrazovala informace z Gmail kalendáře na svém displeji. Ty načítá stejně jako každé jiné zařízení pracující s kalendářem přihlášeného uživatele a jejich přenos je zabezpečený díky použití SSL certifikátu. Problém je, že lednice použitý certifikát neověřuje. Proto útočník, který se připojí na stejnou síť, na které je připojena lednice, může provést Man-In-The-Middle útok a získat uživatelův login do Gmailu.

Zamávejte flashi, minimálně u reklam

V minulém týdnu Amazon oznámil, že od 1. září nebude akceptovat reklamy využívající Adobe Flash pro web amazon.com. Toto omezení vychází z limitací, které proti této technologii postavili hlavní internetové prohlížeče jako Chrome Firefox a Safari.

Právě blokaci flashových reklam v rámci výchozího nastavení v Google Chrome připomínal příspěvek od Google AdWords. K blokaci bude docházet také od 1. září a proto je všem zákazníkům doporučováno své reklamy převést na HTML5. Google od této změny očekává jednak zvýšení rychlosti prohlížeče, ale také vyšší bezpečnost uživatelů.

Nová metoda pro hledání škodlivých aplikací na Android představena na konferenci USENIX

Škodlivé aplikace na OS Android nám mohou způsobit velké škody od narušení soukromí po finanční újmu. Pokud instalujete pouze aplikace z Google Play Store měli byste být relativně v bezpečí. Podle reportu Google [PDF] je na tomto marketu přibližně 0,1 % škodlivých aplikací.

Poněkud odlišný názor ale mají výzkumníci z Univerzity v Indianě, kteří na konferenci USENIX prezentovali novou platformu pro hledání škodlivých aplikací pro Android. Běžné analyzátory aplikací pracují se signaturami a detekcí na základě chování aplikace. MassVet, jak svou platformu výzkumníci pojmenovali, funguje jinak.

Analyzuje zdrojový kód aplikací na úrovni metod a porovnává ho vzájemně mezi aplikacemi. U aplikací, které k sobě mají blízko (stejná aplikace v různých verzích nebo s přidanou funkcionalitou) se zaměřují na jejich odlišné části. U různorodých aplikací zkoumají části kódu, které mají společné. Díky tomu jsou schopní identifikovat podezřelé části kódu. Samotný scan aplikace přitom trvá přibližně 10 sekund.

Předvedení MassVet - platformy pro detekci škodlivých aplikací

Ve svém vědeckém článku [PDF] kromě detailnějšího principu platformy popisují také její dosažené výsledky. Škodlivé aplikace našli ve 33 marketech po celém světě, včetně Google Play. Na tom bylo konkrétně škodlivých 7,6 % z 400 000 testovaných aplikací. Tento výrazný rozdíl v porovnání s 0,1 %, o kterých mluví Google, by měl vést k zamyšlení nad spolehlivostí verifikace aplikací na straně Googlu.

Podle výsledků MassVet odhalil na Google Play 400 škodlivých aplikací, u kterých počet stažení přesahoval 1 000 000 a 2 000 aplikací, které byly staženy více než 50 000 krát. Všechny tyto aplikace byly na market přidány během posledních 14 měsíců. Google Play se ale stále pohyboval daleko za čínskými markety, kde množství škodlivých aplikací dosahovalo od 23 % (Anfen) do 39 % (Anzhi).

Github zažil další DDoS útok

Během úterý se vám mohlo stát, že jste se nedostali k repozitářům na GitHubu. Na vině byl DDoS útok, kterému v tu dobu GitHub čelil. O problémech repozitář informoval na status stránce a také na svém Twitteru.

Administrátoři se s útokem vypořádali během přibližně 4 hodin. To je mnohem kratší doba než při podobném útoku v březnu, kdy byl GitHub nedostupný po dobu několika dní.

K původu útoku se zatím nikdo nevyjádřil. Je tedy otázkou, zda se podobně jako v březnu jednalo o útok ze strany Číny, který byl tehdy zaměřený zejména na repozitáře projektů sloužících k obcházení velkého čínského firewallu.

Domácí routery mohou z výroby obsahovat neměnné loginy, které otevírají cestu útočníkům

CERT při univerzitě Carnegie Mellon vydal upozornění pro majitele následujících domácích routerů:

Ty totiž obsahují nastavené přihlašovací údaje z výroby, které je možné využít při přihlášení k zařízení pomocí telnetu a získat tak k němu administrátorský přístup.

Na většině routerů se jedná o uživatelské jméno admin, případně adminpldt a heslo je XXXXairocon, kde XXXX jsou poslední 4 znaky z MAC adresy zařízení. Tu může útočník zjistit pomocí SNMP protokolu.

Pokud vlastníte zranitelný model, můžete se bránit omezením přístupu přes telnet pouze z důvěryhodných zdrojů a kompletním blokováním SNMP protokolu na zařízení.

Spravujete Facebookové stránky? Zkontrolujte, kdo všechno je mezi administrátory!

Lovec odměn z bugbounty Laxman Muthiyah, který tento rok u Facebooku objevil možnost mazat cizí fotoalba a dostat se k soukromým fotkám uživatelů, má na pažbě další zářez. Podařilo se mu najít chybu umožňující útočníkovi převzít správu facebookové stránky.

I přesto, že aplikace na Facebooku mohou provádět velké množství činností jako postovat statusy nebo zveřejňovat fotografie, Facebook neumožňuje z aplikací přidávat nebo měnit správce stránek.

 

Ukázka dialogu s žádostí o oprávnění pro správu stránek

Jak ale Laxman popisuje na svém blogu, existuje oprávnění manage_pages, které umožňuje administrátorovi stránky měnit role dalších uživatelů, kteří se stránkou mají nějaký vztah. Kontrola příslušnosti uživatele ke stránce se ale dala obejít a následujícím požadavkem bylo možné nastavit roli administrátora jakémukoliv uživateli:

Request :-
POST /<page_id>/userpermissions HTTP/1.1
Host :  graph.facebook.com 
Content-Length: 245
role=MANAGER&user=<target_user_id>&access_token=<application_access_token>

Response :-
true

Na následky útoku je možné se podívat v PoC videu.

I přesto, že Facebook již chybu opravil, přidělení oprávnění manage_pages nějaké aplikaci je na zvážení. Bude totiž díky tomu mimo jiné moci na vaší stránce zveřejňovat statusy a fotografie. Pokud si chcete pro jistotu u některé aplikace oprávnění zkontrolovat, případně je nějak omezit, můžete tak učinit na této stránce.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: PayPal ohrožuje vaše finance a lednice vaše emaily!

Úterý, 1 Září 2015 - 21:47 | BTJ | A treti ..... ten opravdovy, ze na desktop je to...
Úterý, 1 Září 2015 - 18:31 | HKMaly | Kde zijes? Babicka a nova tiskarna? Babicka bude...
Úterý, 1 Září 2015 - 18:26 | HKMaly | Ono nejde o to, ze je Paypal tak bezpecny, ale...
Úterý, 1 Září 2015 - 18:23 | HKMaly | Tady nejde o to, jestli je to zajima. Tady jde o...
Úterý, 1 Září 2015 - 13:49 | WIFT | Tohle bylo kousek vedle, Irsko, mentalita bude...
Úterý, 1 Září 2015 - 08:40 | Fotobob | Jde o to jestli tě zajímá: - bezpečnost té které...
Pondělí, 31 Srpen 2015 - 22:15 | petr ib | Přesně. V době, kdy existuje instantní TopUp...
Pondělí, 31 Srpen 2015 - 21:16 | Fotobob | Tak Yakuzu tam mají, že, mafie jak hrom a obecně...
Pondělí, 31 Srpen 2015 - 20:57 | BTJ | https://bugs.launchpad.net/ubuntu/+bug/1...
Pondělí, 31 Srpen 2015 - 20:37 | Anonym | Paypal je podle me nejbezpecnejsi zpusob placeni...

Zobrazit diskusi