Vítám vás u dalšího dílu CDR SecUpdate. Hráči počítačových her od Ubisoftu pozor! Uplay obsahuje nebezpečnou chybu, čtěte Chyby v softwaru níže. Konference Black Hat přinesla mnoho šokujících odhalení. Jedním z nich je také možnost sledovat Android uživatele. Google připravil pro uživatele Chrome překvapení do nové verze, čtěte Novinky. Červ Flame dostal v USA od hackerů cenu uznání. Olympijské hry v Londýně přinesly žně pro počítačové podvodníky, čtěte Události.

Chyby v softwaru

Ubisoft Uplay zranitelnost vzdáleného spuštění kódu

Týká se verzí: Uplay DRM systém

Firma Ubisoft je známá především mezi počítačovými hráči pro hry jako Assassin´s Creed nebo Far Cry. V posledních dnech se dostala do hledáčku kvůli práci Tavise Ormandyho, který objevil zranitelnost v ubisoftím systému práce s digitálními právy (Digital Rights Management systém) Uplay. Zranitelnost umožňuje vzdálené spuštění kódu přes standardní API volání, které lze zpřístupnit přes webovou stránku bez jakéhokoli ověření.

Ubisoft vydal oficiální patch, ale napsání exploitu je relativně triviální a lze očekávat útoky na nedbalé uživatele se zastaralou verzí systému. Pokud hrajete ubisoftí hry, určitě aktualizujte.

Novinky

Android GPS systém lze zneužít ve velkém

Jedním z mnoha zajímavých příspěvků na letošní konferenci Black Hat USA byla prezentace slabiny v systému určování polohy na androidích zařízeních. Uživatelé chytrých telefonů stále častěji využívají služby určení polohy kupříkladu pro Facebook. Díky chybě je možné sledovat polohu zařízení a také stahovat do telefonu malware.

Telefony se ve většině případů nepřipojují pouze na GPS satelity, protože by komplexní výpočty polohy trvaly nepříjemně dlouho. Místo toho využívají asistovaný GPS (A-GPS), ve kterém telefonní síť odhadne přibližnou polohu zařízení, aby se celý proces zjednodušil a zrychlil. To však zahrnuje do procesu dalšího hráče – server mobilní sítě.

Výzkumník Ralf-Philipp Weimann z University of Luxembourg testoval proces přenosu a mimo jiné zjistil, že data jsou na server přenášena v nezašifrované podobě – téměř kdokoliv na lokální síti si může data přečíst. To umožňuje přesvědčit telefon, aby posílal své údaje o poloze útočníkovi, i když je mimo dosah původní "infekční" lokální (WiFi) sítě.

Weimann také zjistil, že některá zařízení zpracovávají data z A-GPS serverů přímo na hlavním procesoru. Existuje tedy nebezpečí, že vhodně napsaný kód způsobí pád operačního systému a potenciální zisk nejvyšších práv. Instalace malware v takovém případě bude prakticky logický důsledek.

Zrak a sluch pro web - Chrome uvidí a uslyší

Nová verze internetového prohlížeče Google Chrome přináší mimo opravené kritické zranitelnosti překvapení. Chrome nyní obsahuje getUserMedia API, což umožní webovým aplikacím přistupovat k vaší kameře a mikrofonu bez použití zásuvného modulu (plug-inu). Podle slov Google je to první krok k WebRTC, novému real-time komunikačnímu standardu, který by měl zprostředkovat komunikaci s vysoce kvalitním videem a zvukem.

Pokud máte nejnovější verzi Chrome, můžete getUserMedia API vyzkoušet v experimentu Sketchbox. Webová aplikace v něm vytvoří váš portrét z webkamery. Obrys obličeje pak pošle do vědeckého muzea v Londýně, kde Google robot nakreslí váš portrét do písku. :-)

V další aplikaci můžete odhalit svůj skrytý hudební talent při hraní na virtuální xylofon přes webkameru :-)

Události

Stvořitelé Flame dostali bezpečnostního Oscara

Bezpečnostní konference Black Hat každoročně koncentruje špičky počítačové bezpečnosti. Součástí konference jsou různé soutěže a projekty, patří mezi ně také cena Epic 0wnage ("česky" asi epický hack), prestižní kousek ze série cen Pwnie Awards.

Za Epic 0wnage byl nakonec označen červ Flame, kterému jsem se věnoval několikrát zde v CDR SecUpdate. Za autory této komplexní APT, která byla s největší pravděpodobností součástí projektu Stuxnet, byly nakonec označeny státy Izrael a USA. Konkrétně se na útoku podílely izraelské obranné složky, americká NSA a CIA. Ředitel NSA vystupoval shodou okolností kolem doby předávání cen na DefConu (další americká bezpečnostní konference), ale cenu Epic 0wnage si z Black Hatu nevyzvedl. :-)

Důvodem zisku ceny byl mimo jiné způsob šíření přes Windows Update.

Pozor na podvody spojené s olympiádou v Londýně

S běžícími OH v Londýně se samozřejmě objevily podvodné weby, malware a další havěť využívající euforie, která každé čtyři roky zachvátí sportovní příznivce. Organizátoři mysleli i na počítačovou bezpečnost návštěvníků a diváků a na oficiální web umístili seznam známých podvodů a doporučené chování.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• CDR SecUpdate za 30. týden – Apple maže nepohodlné aplikace z AppStore a Dropbox dále sdílí sdílené složky

• CDR SecUpdate za 29. týden – Ruský hacker vám ukáže jak nakupovat na AppStore zadarmo, nová hrozba Madi

• CDR SecUpdate za 28. týden – Dá se i vaše auto vzdáleně ovládnout? Na slovíčko s největší webovou hrozbou

Díly CDR Security Update SPECIÁL

• CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund

• CDR SecUpdate SPECIÁL: Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace