CDR SecUpdate za 40. týden – Hackeři umí vytvořit 3D model domu přes foťák vašeho chytrého telefonu
Vítejte u CDR SecUpdate za 40. týden. Dnes bude na programu novinka v oblasti mobilního malwaru - trojský kůň, který dokáže mapovat váš fyzický prostor. Dále se budeme věnovat srovnání bezpečnosti prohlížečů z pohledu aktivního napadání hackery bez možnosti aktualizace bezpečnostních chyb. Čtěte Novinky.
Chyby v softwaru
Java 5, 6, 7 - četné zranitelnosti
Týká se verzí: Java SE 5 Update 22, Java SE 6 Update 35, Java 7 Update 7 na Windows 7 na prohlížečích Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421, Opera 12.02, Safari 5.1.7
Softwarová chyba v Javě, o které jsme informovali minulý týden je stále na pořadu dne i když nejsou naštěstí známy žádné útoky, které by jí zneužívaly. Firma Security Explorations evidentně odvedla dobrou práci a žádné konkrétní informace se nedostaly na veřejnost.
Je pravděpodobné, že Oracle počká s vydáním aktualizace na 16. října 2012 a patche budou součástí říjnového Oracle Critical Patch Update. Do té doby zůstaňte na nejnovější verzi Java 7 update 7.
Internet Explorer – zranitelnost nultého dne typu use-after-free
Týká se verzí: Internet Explorer 6 – 9 na Windows XP, Vista, 7, Windows Server 2003 a 2008
Aktualizaci této zranitelnosti rozhodně neberte na lehkou váhu, protože jí může jakýkoliv útočník velmi jednoduše a rychle zneužít k zisku kontroly nad vaším účtem. Motivační demonstrace je ke zhlédnutí na YouTube zde. A detailnější popis čtěte zde.
Aktualizujte na nejnovější verze softwaru přes Windows Update!
Novinky
Malware vidí skrz kamery vašeho chytrého telefonu
Na internetovém webu Arxiv.org se objevila velmi zajímavá studie na téma vizuálních krádeží přes chytré telefony. Že trojské koně umí odesílat fotografie pořízené ve smartphonu není žádná novinka. Také využití akcelerometru k zaznamenání stisknutých kláves není senzací. Ale aby váš miláček pod kontrolou z vesmíru vytvořil během pár hodin normálního používání interaktivní 3D model vašeho domu ve vysokém rozlišení?
Trojský kůň pojmenovaný PlaceRaider se tváří jako normální fotografická aplikace s dalšími funkcemi podobná např. Instagramu. Že Instagram využívá foťák, odesílá data na internet a ukládá fotografie do paměti nikoho ani v nejmenším nepřekvapí a většina z nás klidně potvrdí instalaci podobné aplikace.
Vyslanec hackerského podsvětí ve vašem telefonu během standardního používání skrytě (vypne zvuk spouště) fotí a automaticky vyhodnocuje zda je daná fotka relevantní, či ne (např. rozmazaná, tmavá atd). Dokáže také pomocí různých senzorů odhadnout polohu. Povedené fotografie následně zabalí a pošle s dalšími daty řídícímu serveru. Server dokáže z obrázků vytvořit interaktivní 3D model s poměrně vysokou kvalitou "textur".
PlaceRaider může pomoci zlodějům, kteří si například chtějí zmapovat váš fyzický prostor nebo vyfotit zajímavé informace na vašem stole/monitoru. Jednotlivé části 3D modelu se dají zvětšovat a odhalí například vaší nástěnku, či dokumenty na pracovním stole.
Bezpečnost internetových prohlížečů podle aktivně zneužitelných chyb - jaký je nejhorší?
O bezpečnosti internetových prohlížečů se vedou vášnivé diskuze. Není divu, vždyť srovnávat se dá hned z několika úhlů pohledu. Z uživatelského hlediska je nejspíš nejkritičtější (ne)zneužitelnost prohlížeče k zisku kontroly nad počítačem. Brian Krebs z KrebsOnSecurity.com se podíval na počet chyb v hlavních prohlížečích v uplynulých dvou letech a reakce vývojářů z hlediska uvolněných aktulizací. Reagoval pravděpodobně na vyjádření Rika Fergusona z TrendMicro, který kritizoval doporučení většiny bezpečnostních expertů přesunout se během zveřejnění děr v Exploreru na jiné prohlížeče.
Jak Krebsovi potvrdili i zástupci Chrome, prohlížeč se čtyřbarevným kolečkem interní chybu, na kterou by neexistoval v době zveřejnění patch a byla aktivně zneužívaná hackery, za celou svou existenci ve stabilních vydáních nezaznamenal. Situace je jiná se zásuvným modulem Flash, ale ten se týká současně více prohlížečů najednou.
Mozilla od roku 2010 takovou chybu také nezaznamenala, u Internet Exploreru je však situace jiná. V naší minisoutěži prohrává na plné čáře s 89 dny aktivního zneužívání chyb bez možnosti aktualizace od začátku roku 2011. Částečně by se prohra dala svézt na velký podíl na trhu, ale ten v posledních měsících mluví také proti Exploreru.
Události
Konference Future of Cyber - poslední možnost registrace
17. – 18. října 2012 proběhne v pražských Letňanech výstava nejmodernější vojenské techniky Future soldier společně s bezpečnostní konferencí Future of Cyber. Tento týden máte poslední možnost registrace - uzávěrka je 10. 10. 2012. Pokud plánujete návštěvu a měli byste zájem o spolupráci, napište mi na mozek(at)cdr.cz.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.