Dnes se zaměříme na dva giganty digitálního světa - Google a Samsung. Druhý jmenovaný se potýká v poslední době s řadou bezpečnostních problémů ve spojitosti s Androidem. Dozvíte se také novinky ohledně informačních kiosků v Plzni.

Chyby v softwaru

Do telefonů Samsung se dostanete i přes bezpečnostní kód

Týká se verzí: Potvrzený Samsung Galaxy Note II, pravděpodobně další

Známý Androidí nadšenec Terence Eden objevil další chybu v Androidu na chytrých telefonech Samsung. Eden má na svém kontě již několik zásahů do této mobilní platformy, tento prý testoval na Galaxy Note II. Vypadá to, že Android, který můžete stáhnout přímo od Google tuto chybu neobsahuje, týká se pravděpodobně jen Samsungu.

K tomu, aby se útočník mohl do systému dostat, potřebuje mít fyzický přístup k telefonu a pár minut na provedení procedury. Ta zahrnuje opakování několika kroků a potřebujete k ní opravdu rychlé prsty. Ovládat systém můžete jen zlomek sekundy, systém se poté znovu zamkne. S trochou šikovnosti se však proklikáte k instalaci aplikace z Google Play, která "lock screen" vypne a systém je váš (viz video).

Četné chyby na smartphonech od Samsungu poškozují jméno firmy

Útočníci cílí na Android jako na velmi rozšířený systém, ale v posledních měsících to vypadá, že často zužují své pole působnosti na Samsung smartphony a vychází jim to. Dělá Samsung něco špatně?

Nezávislý italský výzkumník Roberto Paleari se nedávno podíval na několik Samsung zařízení bezpečnostními brýlemi a našel 6 zneužitelných zranitelností týkajících se staršího Galaxy Tabu i nového Galaxy SIII. Paleari přisuzuje tyto problémy "specifickému softwaru od Samsungu a jeho úpravám". Objevené chyby prý umožňují útočníkovi provádět skrytě skoro jakékoliv akce včetně hovorů, sms zpráv a odesílání e-mailů.

Paleari prý kontaktoval Samsung v lednu 2013 ohledně výše zmiňovaných chyb, ale dosud se odpovědi nedočkal.

Plzeňské informační kiosky jsou mimo provoz

Minulý týden jsme informovali o výzkumu Petra Subbera, který "otestoval" plzeňské informační kiosky a objevil v systému několik bezpečnostních chyb. Na doprovodné prezentaci předváděné během bezpečnostní konference SOOM byl přítomen zástupce dopravních podniků a dá se proto předpokládat, že Plzeň nyní podniká akce nezbytné k ochraně uživatelů plzeňských karet. Máme potvrzeno, že se nyní na nějaké formě opravy skutečně pracuje.

O celé kauze s Petrem komunikujeme, v současné době jsou některé informační kiosky mimo provoz. Zda je to kvůli údržbě nebo nějaký šikula zhlédl Subberovu prezentaci a teď "něco zkouší", těžko říci :-)

Novinky a Události

Google Pwnium kontest - Google vs. hackeři - 1:0

Na posledním ročníku konference CanSecWest proběhla také oblíbená soutěž v hackování softwaru od Google. Letos byla zaměřená primárně na Chromium OS, který běží na Chromeboocích. Podle všeho odvedli programátoři Google dobrou práci, protože se žádnému ze soutěžících nepodařilo Chromium prolomit. Přitom si Google na ceny vyhradil celé 3 miliony dolarů.

Nějaké to "kapesné" si nakonec přece jeden z účastníků odnesl - známý hacker, který vystupuje na scéně pod přezdívkou Pinkie Pie, představil svůj nedokončený projekt zaměřený na zneužití Chromia. Obsahoval informace o několika chybách v softwaru od Googlu a proto byl oceněn částkou 40 000 dolarů.

Během soutěže pánové z MWR Labs kompromitovali Chrome, což jim přineslo příjemnou odměnu od HP Zero Day Initiative, ale Chromium OS přežil. Pokud používáte Chrome, možná vás zaujme pár zajímavých tipů na ochranu soukromí od Threatpostu. Google je totiž znám využíváním uživatelských dat na cílené a efektivní reklamní kampaně, o které vy třeba nemusíte stát.

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Skrz kiosky Plzeňských dopravních podniků lze potenciálně získat data uživatelů

• DDoS útoky na české weby - kolik by vás stály?

• Mandiant o čínské průmyslové špionáži ve světě

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace