CDR.cz - Vybráno z IT

SecUpdate: Stačí použít CTRL+C a CTRL+V a může z vás být oběť útoku!

Kopírujete text na webových stránkách? Ukážeme vám útok, který toho zneužívá! Dozvíte se také o hrozbě na zařízeních s iOS, o sledování chování uživatelů ze strany Facebooku, a o tom, jaké má plány Google a Microsoft na poli bezpečnosti hesel.
nepřehlédněte

Víte, že je možné změnit obsah vaší schránky z webového prohlížeče? Tedy ne té poštovní, ale té, do které se uloží data při jejich kopírování. Ano, je tomu tak již dlouho a změnu je možné provést pomocí HTML a CSS. Nyní ale bezpečnostní expert Dylan Ayrey nalezl nový způsob tohoto útok, při kterém se používá javascript. Útok získal jméno Pastjacking a spočívá v přepsání obsahu uživatelské schránky během 800 ms po spuštění události v prohlížeči. Událostí je právě stisknutí kláves CTRL+ C.

Pro útok je k dispozici i PoC kód. Jak se můžete sami podívat na připravené stránce, uživatel si označí a zkopíruje do schránky text echo "not evil", ale skutečný obsah stránky je echo "evil"\n. Díky znaku nového řádku je zajištěno vykonání příkazu ihned po vložení do terminálu, uživatel tedy nemusí příkaz ani potvrzovat a nemá možnost si skutečný obsah přečíst. Za nevýhodu by se dalo považovat to, že k úpravě schránky dojde pouze na základě stisknutí klávesové zkratky. Na druhou stranu díky tomuto faktu dostane útočník škodlivý kód do schránky, ať už oběť na dané stránce označí ke kopírování cokoliv.

 

Ukázka zkopírovaného text (vlevo) a skutečného obsahu schránky (vpravo)

Na GitHubu můžete také nalézt ukázku sofistikovanějšího payloadu, ve kterém útočník vytvoří soubor na disku uživatele, poté vymaže obsah konzole a vypíše do ní text, který pravděpodobně oběť chtěla zkopírovat. V kombinaci například s phishingovým emailem od technické podpory, který bude žádat uživatele o spuštění nevinných příkazů, se může jednat o velmi úspěšný vektor útoku.

 

Varování před vložením textu, který je zakončen novým řádkem

Jak se proti útoku bránit? Jednoduchou možností je ověřování obsahu schránky před vložením do terminálu. I u této obrany ale můžete být útočníkem obelstěni. Pokud se rozhodnete zkontrolovat si obsah vložením do editoru vim, a útočník připravil škodlivý kód obsahující vim makra, tak vám tato ochrana moc nepomohla. Naštěstí i u vimu je ale parametr (+p), díky kterému nebude interpretován obsah ze schránky jako příkazy vimu. U terminálů obecně pomůže prohledat nastavení, zda umožňují varovat před vkládáním obsahu, který končí novou řádkou, jako je tomu například u iTermu na obrázku výše.

Na iOSu je možné nahrazovat legitimní aplikace škodlivými a dostat se tak k datům

Bezpečnostní expert Chilik Tamir ze společnosti Mi3 Security objevil nový útok, díky kterému je možné na ne-jaibreaknuté iOS zařízení instalovat škodlivé aplikace.

Tamir využíval k instalaci malwaru do zařízení nástroj pro vývojáře Xcode 7. Je v něm možné vytvářet aplikace pro iOS s certifikátem vydaným na základě AppleID. K tomu musí vývojář poskytnout své jméno a emailovou adresu, ověření pravosti se ale nekoná. Takto je možné vytvářet aplikace, které nemusí být nahrány do AppStore a nemusí tedy projít běžnou kontrolou aplikací u společnosti Apple. Mají kvůli tomu omezené možnosti, ale stále mohou vše, co běžný malware potřebuje – dostat se k datům o uživateli, k jeho adresáři s kontakty, ke kalendáři a při tom celou dobu sledovat jeho polohu pomocí GPS.

Jako proof-of-concept připravil Tamir nástroj Su-A-Cyder. Ten mohou útočníci použít k nahrazení legitimní aplikace škodlivou verzí, kterou nástroj vytvořil. Dle Tamira se jedná o nástroj, který dokáže vytvořit škodlivou verzi aplikace pouhým připojením zařízení k počítači.

Ukázka použití malwaru vydávajícího se za jabber klienta, na YouTube najdete dalších 6 ukázek

Apple proti tomuto útoku ale zakročil a do iOSu od verze 8.3 přidal nové bezpečnostní opatření. To ale Amir dokázal obejít pomocí útočné metody SandJacking [PDF], kterou představil na nedávné konferenci Hack in the Box v Amsterdamu.

SandJacking využívá nedostatečné kontroly obnovených procesů. Útočník nejprve vytvoří zálohu, poté odstraní legitimní aplikaci, nainstaluje její škodlivou verzi a obnoví zálohu. Při tomto scénáři nebude škodlivá aplikace odstraněna a útočník získá přístup do sandboxu aplikace, kterou nahradil.

Tamir na konferenci přislíbil, že jakmile Apple zranitelnost opraví, vydá nástroj SandJacker, který tento útok zautomatizuje. Oprava ale zatím není dostupná a to i přesto, že o problému společnost ví od ledna 2016.

Nemáte účet na Facebooku? Ten i přesto sleduje vaše chování na internetu

Společnosti zabývající se online reklamou jsou vždy rády za každou informaci o tom, co na webu děláte, co se vám líbí, nebo co byste si chtěli pořídit. Mezi tyto společnosti patří i Facebook. Není divu, během posledního čtvrtletí mu jeho reklamní síť vynesla přes 5 miliard dolarů. A tato částka přišla v době, kdy Facebook zobrazoval cílenou reklamu pouze svým uživatelům. Teď ale chce do své sítě přidat další data za účelem zlepšení reklam. Ve svém oznámení společnost uvedla, že rozšíří svou reklamní síť, aby bylo možné zasáhnout reklamou z Facebooku více uživatelů.

Jak toho chce Facebook docílit? Jednoduše, bude používat cookies na stránkách třetích stran, které využívají různé pluginy, nejčastěji známé Facebook "Like tlačítko". Může tak jednoduše shromažďovat data i o lidech, kteří tuto sociální síť v oblibě nemají. Najít totiž dnes web bez kousku kódu stahovaného právě od Facebooku už může dát trochu práce.

 

Povolení použití dat pro reklamy v nastavení Facebooku – výchozí stav

Všechny novinky samozřejmě počítají s dodržováním Evropských práv, které se cookies týkají. Facebook bude z pohledu reklamy fungovat v podstatě stejně jako Google AdWords a další online reklamní platformy. Jednoznačně tak míří mezi giganty na tomto trhu. Je tu ale i cesta, jak se použití vašich dat pro cílenou reklamu můžete vyhnout. V nastavení Facebooku máte možnost vypnout přizpůsobování reklam tomu, co na webu děláte. Na tuhle možnost ale neregistrování uživatelé nedosáhnou.

Google se chce zbavit hesel a nahradit je měřením “důvěryhodnosti”

Téměř každý týden se můžete dočíst o obrovském úniku dat, který obsahuje hesla uživatelů. O to, aby se psalo i o jiných tématech, usiluje společnost Google a kráčí směrem k tomu, aby heslo k ověření uživatele nebylo potřeba. Prvním krokem by mohlo být nahrazení druhého faktoru autentizace za Trust API, které bylo představeno na vývojářské konferenci Google I/O.

Trust API by mělo místo použití unikátně vygenerovaného PIN kódu používat biometrická data. Konkrétně chce Google sledovat vzory v psaní uživatele, jeho aktuální polohu a další parametry. V případě, že dobře dopadne testování, bude tato novinka k dispozici vývojářům na konci roku.

 

Použití analýzy chování uživatele pro přístup k jeho datům

Google již dříve představil podobnou technologii zvanou Smart Lock. Ta automaticky zamykala a odemykala zařízení na základě toho, že bylo v důvěryhodné oblasti, nebo když rozpoznalo obličej majitele či se připojilo k důvěryhodnému bluetooth zařízení. Trust API je pokračováním Smart Locku. Využívá senzory chytrého telefonu ke sběru dat o uživateli a přidělení tzv. skóre důvěry. To je pak použito k přihlášení bez zadání hesla nebo PIN kódu. Pokud není skóre dostatečně vysoké, aplikace může vyžadovat zadání hesla.

Použití číselné hodnoty jako skóre umožňuje rozlišovat různou úroveň zabezpečení aplikací. Například přístup do herní aplikace může vyžadovat nižší skóre než přístup do aplikace bankovní.

Microsoft zakazuje slabá a častá hesla

A jak je na tom s hesly společnost Microsoft? Každopádně zjistila, že slabá a často se opakující hesla jsou hlavním důvodem kompromitace online účtů. Proto se společnost rozhodla v rámci ochrany svých uživatelů takováto hesla u svých služeb zakázat. K posouzení hesel Microsoft využívá uniklé databáze, které analyzuje a zjišťuje, která hesla se nejvíce opakují. Ty pak přidává na takzvaný útočný seznam. Hesla z tohoto seznamu jsou následně uživatelům zakazovány.

Podle informací na blogu společnosti Microsoft čelí denně útoku více než 10 miliónů uživatelských účtů, registrovaných u této společnosti. A i data z právě těchto útoků jsou využívána k aktualizaci zakázaných hesel.

 

Kontrolu hesel dle seznamu naznačuje červené upozornění

Kromě kontroly hesel Microsoft také zlepšuje nástroj zvaný Smart Password Lockout. Ten slouží k odříznutí útočníka, který se snaží dostat k účtu oběti a testuje různá hesla. Smart Password Lockout se snaží rozpoznat útočníka i v případě, že se hlásí z vlastního počítače oběti, tedy nejen když se jedná o zcela neznámý počítač. Cílem však není kompletně zablokovat přístup k účtu, ale zablokovat pouze podezřelou přihlašovací session.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Stačí použít CTRL+C a CTRL+V a může z vás být oběť útoku!

Pondělí, 30 Květen 2016 - 18:37 | HKMaly | Skvela myslenka: Nahradime hesla tim, ze bude...
Pondělí, 30 Květen 2016 - 13:07 | CCblue | Ke kopírování, a co když používám jinou...
Pondělí, 30 Květen 2016 - 11:25 | Jack FX | Na zamezení sledování facebookem, twitterem a...
Pondělí, 30 Květen 2016 - 09:22 | John Douberro | anebo lze kopirovaci utok obejit zkopirovanim...

Zobrazit diskusi