CDR.cz - Vybráno z IT

CDR SecUpdate za 30. týden – Apple maže nepohodlné aplikace z AppStore a Dropbox dále sdílí sdílené složky

Týdenní bezpečnostní bulletin internetového magazínu CDR. Hlídací pes nově objevených kritických chyb ve vašem softwaru a moderní trendy počítačové bezpečnosti na jednom místě.
Apple-evil

Vítám vás u dalšího dílu CDR SecUpdate. Podíváme se v něm nejprve na nebezpečí, které hrozí uživatelům Kindle Touch. Apple v posledních dnech uvolnila další verzi OS X s názvem Mountain Lion, čtěte Novinky níže v článku. Proč byla asi odstraněna z AppStore aplikace Clueful se dozvíte v Událostech, stejně tak i o nové funkci DropBoxu, která nemusí být tak nevinná, jak vypadá.

Chyby v softwaru

Vzdálený exploit v Kindle Touch

Týká se verzí: Kindle Touch

Zabudovaný internetový prohlížeč v Kindle Touch integruje podporu pro Netscape Plugin API – moderní a na prohlížeči nezávislý skriptovací jazyk. Bohužel je implementován tak, že umožňuje injekci příkazů do prohlížeče s administrátorskými právy. Přestože je API špatně dokumentováno a neexistuje příliš informací o exploitech (kódech, které danou zranitelnost zneužívají), je relativně triviální takový exploit napsat a je záhodno předpokládat, že exploit existuje. 

Novinky

Apple OS X 10.8 Mountain Lion 

Firma Apple 25. 7. vypustila do divočiny nový přírůstek do své smečky – OS X 10.8 Mountain Lion. Před podobně velkou aktualizací systému je třeba mít se na pozoru. Pojďme se podívat, co nám nová verze přináší.

Předně to je vylepšený Gatekeeper, který nyní vyžaduje (stejně jako na iOS) podepsaný software digitálním certifikátem, který má Apple zařazený do své databáze jako důvěryhodný. Jednak díky tomu dostává uživatel pouze software z důvěryhodných zdrojů, a současně tato funkce zabraňuje změnám instalačního balíku při přenosu. Uživatel může povolit instalaci veškerého softwaru, softwaru z Apple AppStore nebo AppStore + podepsaný software.

GateKeeper

Mezi další novinky patří sandboxing aplikací jako je Mail, FaceTime, Game Center a další. Při spuštění souboru jej systém izoluje od kritických systémových komponent, vašich dat a další aplikací. Antiphishing v Safari zase chrání uživatele před vstupem na nebezpečné weby, které se tváří jako legitimní (viz Phishingové trendy aneb jak postupuje útočník a Phishing v praxi aneb jak jsem nachytal české studenty).

Před instalací pumy americké doporučuji aktualizovat veškerý software, aby byl po instalaci plně kompatibilní. Další novinky, které přinese aktualizace, má Apple na svém webu

Události

Apple maže nepohodlné aplikace z AppStore

Firma BitDefender před časem zveřejnila aplikaci pro ochranu soukromí na iOS - Clueful app. Tato aplikace identifikuje jiné aplikace, které nerespektují soukromí uživatele a kupříkladu používají seznam kontaktů, či odesílají soukromá nezašifrovaná data na server. Další informace naleznete na webu projektu - www.cluefulapp.com.

Clueful-app

Nějakou dobu byla aplikace dostupná na oficiálním AppStore Applu, když prošla všemi náležitými procedurami. Předminulý týden jí však Apple z neznámých důvodů smazal. Tyto důvody však nemusí být tak neznámé, když se podíváme na výsledky studie BitDefenderu ohledně aplikací (ne)respektujících soukromí na iOS. Z analyzovaných 60000 aplikací 42,5 % nešifrovalo uživatelská osobní data, i když bylo zařízení připojeno přes veřejnou WiFi – kdokoliv na stejné síti si teoreticky mohl číst v posílaných datech. 41,4 % aplikací má funkci zjištění polohy uživatelského zařízení. Skoro 20 % aplikací má přístup k celému seznamu kontaktů, některé odesílají data na servery bez šifrování.

"I když většina vývojářů pro iOS využívá tyto informace k legitimním důvodům, ostatní nemusí," říká Bitdefender Chief Security Researcher Catalin Cosoi. "Clueful byl pro uživatele ten nejlepší způsob jak to rozlišit. I když Clueful stále není na AppStore, snažíme se zjistit, co způsobilo, že naše aplikace byla odstraněna a vylepšit Clueful, aby měla větší šanci na AppStore zůstat."

Dropbox nyní umožňuje dále sdílet sdílené složky

Cloud je velmi mocný nástroj pro sdílení dat. Bohužel poskytovatelé cloud služeb mohou někdy umožnit sdílení až moc jednoduše. Organizace si tohoto risku musí být vědomé, jinak vystavují svá data do rizika.

Gigant Dropbox nedávno ohlásil novinku – pokud sdílíte složku, můžete umožnit těm, se kterými sdílíte, aby přizvali další. Můžete tedy dát administrativní kontrolu ostatním uživatelům. Co vám však Dropbox nesdělil je fakt, že je to nyní výchozí funkce a automaticky se aplikovala na všechny složky, které jste v minulosti nasdíleli. Musíte jít do nastavení a všechno sdílení u všech složek vypnout a následně znovu zapnout u těch, co potřebujete.

Jako říkal Radim Polčák na konferenci ITTE minulý rok - při používání služeb na internetu jsme často nuceni slepě přijmout často nesmyslná pravidla daného internetového prostoru. Tato pravidla je možné ze strany poskytovatele služby často libovolně a podle chuti měnit. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku CDR SecUpdate za 30. týden – Apple maže nepohodlné aplikace z AppStore a Dropbox dále sdílí sdílené složky

Žádné komentáře.