Vítejte u posledního prázdninového CDR Security Update. Uživatelé iPhonů by se měli mít na pozoru, SMS zprávy totiž nemusí přicházet od zobrazovaných čísel, čtěte Chyby v softwaru. V Novinkách zavítáme na sociální síť Facebook, kde McAfee chystá novinku, která by se měla stát strážným andělem fotografií. Microsoft ve Windows 8 automaticky mění HOSTS file za účelem ochrany proti malwaru.

Že neuhádnete, koho počítačoví útočníci zase dostali? Nápověda: je to žluté a kulaté. Čtěte Události níže v článku.

Chyby v softwaru

Apple iPhone SMS – nevíte, kdo vám píše

Týká se verzí: iOS 6 beta 4 a nižší

Na internetu byly publikovány detaily o chybě v implementaci SMS služeb na nejnovějších verzích iOS.

SMS zprávy jsou posílány většinou ve formách PDU (Protocol Description Unit) přes sítě mobilních operátorů. V posílaném textu se může objevit také sekce UDH (User Data Unit), která definuje další pokročilé funkce. Když s nimi je telefon (většinou smartphone) kompatibilní, umí také přečíst parametr, který definuje adresu pro odpověď na zprávu. Útočník tak může tento parametr měnit, a pokud někdo odpoví na danou SMS zprávu, data se odešlou na jiné číslo, než z kterého přišla.

Pokud by byla tato funkce dobře implementována, příjemce by viděl originální číslo a číslo pro odpověď (tak tomu u většiny smartphonů skutečně je). Pokud vám však přijde taková SMS na iPhone, bude vypadat, jako kdyby přišla z čísla pro odpověď.

Takový útok lze zneužít kupříkladu pro phishing zdánlivě vyvolaný důvěryhodnou entitou (banka), možnosti použití jsou neuvěřitelně široké. Apple by měl co nejdříve přijít se záplatou.

Novinky

McAfee ochrání vaše fotografie na Facebooku od "úchyláků"

Firma McAfee pracuje na vývoji Facebook aplikace, která by měla ochránit vaše soukromí, konkrétně fotografie. Umožní svým uživatelům definovat, kdo přesně bude mít k fotografiím přístup a kdo naopak bude o snímky ochuzen. Chce tak zabránit v porušování soukromí lidem, kteří si fotky tisknou nebo zneužívají dále na internetu. K tomuto účelu McAfee uzamkne fotografie proti zvětšování a kopírování, neměl by fungovat ani Print Screen.

McAfee pravděpodobně použije dedikované servery, kde se fotografie budou ukládat.

Aplikace by měla umožňovat také uživatelský whitelisting (foto uvidí jen kámošky Jája a Mášulka) a zakáže sdílení na zeď. Když pošlete na zeď přítele fotografii s McAfee Social Protection App, můžete také zvolit, že pouze on k ní má přístup a nikdo jiný. Ostatní v takovém případě uvidí jen rozmazaný snímek. Kdyby se někdo nepovolaný pokusil stáhnout chráněnou fotografii, ukáže se mu na ní obrovský zámek a má smůlu.

A já se ptám, nebylo by jednodušší fotografie, které nechci, aby se dále sdílely, prostě na Facebook nenahrávat? Navíc printscreen prostě fungovat bude, ať se to McAfee líbí nebo nelíbí…

Windows 8 upravuje automaticky HOSTS file

Windows 8, kterému jsem zasvětil svůj víkendový článek, je opět na pořadu dne. Vypadá to totiž, že samostatně a automaticky maže změny v HOSTS file. Přišlo se také na fakt, že to provádí Windows Defender jako obranný mechanizmus proti malwaru měnícím tyto záznamy.

Pokud tedy cíleně měníte HOSTS záznamy například pro zákazy přístupů na určité populární weby, máte se zapnutým Defenderem poměrně smůlu. Problém se nejspíš většiny webů netýká, ale Facebook, Twitter a Doubleclick do "nechtěných" domén spadají.

Události

Reuters blog hack volume 2

Pokud máte dojem, že jste něco podobného jako Reuters hack četli, usuzujete správně. Tento měsíc to je již třetí průnik, se kterým se Reuters potýká, a podruhé se stal obětí jejich blogovací Wordpress. Tentokrát však útočníci nenavázali na jednoznačně falešné zprávy a vydali na blogu článek o smrti ministra spravedlnosti Saudské Arábie Prince Saud al-Faisala.

I když není známo, kdo za útokem stál, nabízí se teorie, že kyberkriminálníci využili ukořistěných údajů a kontaktů z prvního útoku ze začátku měsíce.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• CDR SecUpdate za 33. týden – Kamerový systém sledující podezřelé chování občanů, Julian Assange z WikiLeaks získal azyl v Ekvádoru

• CDR SecUpdate za 32. týden – Írán si vytvoří vlastní internet, Blizzard hack – jsou data hráčů v nebezpečí?

• CDR SecUpdate za 31. týden – Android ve velkém odhaluje nejen vaší polohu, nový Chrome obsahuje úžasné překvapení

Díly CDR Security Update SPECIÁL

• CDR SecUpdate SPECIÁL: Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• CDR SecUpdate SPECIÁL: Jak se dostat k citlivým datům iPhonu za pár sekund

• CDR SecUpdate SPECIÁL: Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace