CDR.cz - Vybráno z IT

Vánoční CDR SecUpdate za 51. týden - Tipy na bezpečné zacházení s elektronikou pod stromečkem

christmas-secup-logo
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.

Vítejte u vánočního dílu bezpečnostního týdeníku CDR Security Update. Na úvod se podíváme na zajímavou chybu v zařízeních od Samsungu (týká se např. Galaxy S III). Čtěte Chyby v softwaru. Hlavním tématem dnešního dílu jsou elektronické dárky, zejména pak notebooky a chytré telefony. Přečtěte si naše Tipy pro bezpečné zacházení s elektronickými dárky pod stromečkem.

Chyby v softwaru

Zranitelnost v zařízeních Samsung přepisuje libovolnou paměť

Týká se verzí: SoC Exynos 4 - Samsung Galaxy S III, SG S II, SG Note, SG Note II a další 

Na diskuzním fóru XDA-Developers uživatel alephzain objevil kuriózní chybu, která umožňuje zisk práv roota a tedy i instalaci nebezpečných aplikací bez vědomí uživatele systému. Díra se týká SoC (System on chip) Exynos 4, tedy i vlajkových lodí chytrých telefonů Samsung - Galaxy S III a Galaxy Note II.

Během několika hodin uživatel chainfire připravil plně funkční balíček apk, který dá uživateli kontrolu nad celým problémem. 

ExynosAbuse APK 1.40 umožňuje:

  • bezpečně aktualizovat díru
  • přes zranitelnost získat root oprávnění
  • úplně povolit/zakázat exploit
  • povolit/zakázat patch exploitu při startu systému
  • vzdát se roota a "uklidit po sobě"

U některých firmwarů (konkrétně např. SG SIII) je možné, že tato záplata přeruší nějaké funkcionality vašeho fotoaparátu. S výše uvedenou aplikací by však neměl být problém chybu znovu "povolit" a tím zpět rozchodit i fotoaparát. Tato vlastnost nejspíš pramení z problémové knihovny umístěné v /system/lib/hw/camera.smdk4x12.so, která souvisí s chybou v exynosu v /dev/exynos-mem.

exynos-soc2

Největší nebezpečí v této chvíli vidím v možnosti kvůli exploitu instalovat libovolné aplikace s právy roota. V těchto dnech tak doporučuji stahovat nový software do Samsung zařízení s maximální opatrností. Vždy ověřujte zdroj aplikací! Samsung chybu zaregistroval a plánuje "vydat záplatu co nejrychleji".

Osobně jsem neměl dosud čas celou věc vyzkoušet, pokud s ní již máte zkušenosti, podělte se o ně v diskuzi pod článkem.

Tipy pro bezpečné zacházení s elektronickými dárky pod stromečkem

Základnímu nastavení nového zařízení věnujeme obvykle největší pozornost. Pak již chceme, aby fungovalo bezchybně po celý životní cyklus. Na co se vyplatí nezapomenout během přizpůsobování?

První zapnutí notebooku - předinstalovaný software

Výrobci obvykle neodolají lákavé možnosti předinstalovat do systému kdejaký nepotřebný balast. Při prvotním nastavení proto doporučujeme pečlivě vybírat z nabízeného softwaru a většinu aplikací neinstalovat. Veškerý hardware by měl být plně funkční, nemusíte se tedy obávat, že přeskočením instalace nějaké "appky" přijdete o funkcionalitu.

intel-ultrabook

Stejně tak se objevují na OEM systémech předinstalované trial verze antivirových programů (např. McAfee od Intelu nebo Norton). Pokud nemáte zájem o plné verze těchto řešení, začněte shánět alternativu. Doporučuji kvalitní antivir řešit co nejdříve, budete mít po Novém roce klid a plně funkční zabezpečené zařízení. Nezapomeňte existující řešení před instalací nového AV odstranit!

Pokud i přes všechny vaše protesty je nový systém plný nepotřebných programů, použijte například starý dobrý CCleaner k bezpečné odinstalaci softwaru.

První zapnutí chytrého telefonu - nové aplikace

V poslední době se telefonům říká chytré, protože skrz nejrůznější software relativně dobře suplují přenosné počítače. Mobilní telefon však s touto novou funkcionalitou nese i rizika komplexních systémů, které jsou naprosto přirozeně náchylné k chybám a zranitelnostem. 

android-apps

Pokud budete vybírat a instalovat ještě pod stromečkem nové aplikace, dbejte zvýšené opatrnosti a ověřujte zdroje softwaru. Snažte se omezit stahování na prověřené aplikace a hry (typu Angry Birds) od prověřených vývojářů (Rovio).

Pod stromečkem je iPhone/iPad/iMac/iPod Touch/MacBook

Oficiální Apple AppStore má velmi striktní pravidla pro distribuci softwaru. Možná i díky tomu může v posledních dnech Google Play přerůst konkurenta z Applu. Na druhou stranu je to poměrně dobře zabezpečená platforma. Pozor na jailbreak! Stahováním aplikací na "rootnuté" zařízení o tyto výhody přicházíte včetně aktualizací systému!

ipod-iphone-ipad

S velkou opatrností přistupujte k instalaci certifikátů na zařízení. Instalace neznámého certifikátu je velmi jednoduchá a může mít nežádoucí důsledky.

Pod stromečkem je chytrý telefon Android

Při prvním nastavování zkontrolujte aktualizace softwaru, počítačový útočník může neaktualizovaný software zneužít. 

Oficiální Google Play je benevolentnější při schvalování aplikací. Díky tomu je na něm k dispozici užitečný software, který na AppStore nenajdete. Dbejte však zvýšené pozornosti při výběru softwaru a čtěte uživatelské recenze. Dobře se dívejte na oprávnění, která instalací softwaru garantujete. 

nexus-sg-s3google-play-opravneni

Na platformu Android již v současné době existuje mnoho antivirových programů. Pokud uvažujete o výběru, můžete se s vybranými zástupci seznámit v našem průvodci

To je pro dnešek vše, zůstaňte s námi, užijte si vánoční svátky a za dva týdny nashledanou.

Veselé Vánoce! :)

Minulé díly CDR Security Update

Díly CDR Security Update SPECIÁL

Bude dnes pod stromečkem elektronika?

Ano, dávám/dostanu notebook/ultrabook/pc.
9% (8 hlasů)
Ano, dávám/dostanu chytrý telefon.
7% (6 hlasů)
Ano, dávám/dostanu jinou domácí elektroniku.
12% (11 hlasů)
Ne.
73% (67 hlasů)
Celkem hlasů: 92
Tagy: 
Zdroje: 

Jiří Moos (Google+)

Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.

více článků, blogů a informací o autorovi

Diskuse ke článku Vánoční CDR SecUpdate za 51. týden - Tipy na bezpečné zacházení s elektronikou pod stromečkem

Pátek, 28 Prosinec 2012 - 16:49 | HKMaly | Vsimni si, ze jsem mluvil specialne o...
Pátek, 28 Prosinec 2012 - 08:27 | Richmond | Rozhodně je účinější než odinstaller, který...
Čtvrtek, 27 Prosinec 2012 - 15:51 | HKMaly | Neni funkcionalita zalozena na snapshotu systemu...
Pondělí, 24 Prosinec 2012 - 22:34 | Zed70 | Tak ten milion pochází odsud http://www.slashgear...
Pondělí, 24 Prosinec 2012 - 17:07 | Jiří Molnár | K tomu milionu se zřejmě někteří počtáři dostali...
Pondělí, 24 Prosinec 2012 - 15:44 | Richmond | Že to je best of na čištění souhlasím, ale "...
Pondělí, 24 Prosinec 2012 - 13:45 | Zed70 | Určitě podpořil! A k těm číslům z listopadu, oni...
Pondělí, 24 Prosinec 2012 - 13:07 | Jiří Moos | CCleaner jsem uvedl, protože jeho funkcionalita...
Pondělí, 24 Prosinec 2012 - 10:56 | Zed70 | Autor článku by si měl asi procvičit základy...
Pondělí, 24 Prosinec 2012 - 10:38 | Richmond | CCleaner NEUMÍ "bezpečně" odinstalovat...

Zobrazit diskusi