Vánoční CDR SecUpdate za 51. týden - Tipy na bezpečné zacházení s elektronikou pod stromečkem
Týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
Vítejte u vánočního dílu bezpečnostního týdeníku CDR Security Update. Na úvod se podíváme na zajímavou chybu v zařízeních od Samsungu (týká se např. Galaxy S III). Čtěte Chyby v softwaru. Hlavním tématem dnešního dílu jsou elektronické dárky, zejména pak notebooky a chytré telefony. Přečtěte si naše Tipy pro bezpečné zacházení s elektronickými dárky pod stromečkem.
Chyby v softwaru
Zranitelnost v zařízeních Samsung přepisuje libovolnou paměť
Týká se verzí: SoC Exynos 4 - Samsung Galaxy S III, SG S II, SG Note, SG Note II a další
Na diskuzním fóru XDA-Developers uživatel alephzain objevil kuriózní chybu, která umožňuje zisk práv roota a tedy i instalaci nebezpečných aplikací bez vědomí uživatele systému. Díra se týká SoC (System on chip) Exynos 4, tedy i vlajkových lodí chytrých telefonů Samsung - Galaxy S III a Galaxy Note II.
Během několika hodin uživatel chainfire připravil plně funkční balíček apk, který dá uživateli kontrolu nad celým problémem.
ExynosAbuse APK 1.40 umožňuje:
- bezpečně aktualizovat díru
- přes zranitelnost získat root oprávnění
- úplně povolit/zakázat exploit
- povolit/zakázat patch exploitu při startu systému
- vzdát se roota a "uklidit po sobě"
U některých firmwarů (konkrétně např. SG SIII) je možné, že tato záplata přeruší nějaké funkcionality vašeho fotoaparátu. S výše uvedenou aplikací by však neměl být problém chybu znovu "povolit" a tím zpět rozchodit i fotoaparát. Tato vlastnost nejspíš pramení z problémové knihovny umístěné v /system/lib/hw/camera.smdk4x12.so, která souvisí s chybou v exynosu v /dev/exynos-mem.
Největší nebezpečí v této chvíli vidím v možnosti kvůli exploitu instalovat libovolné aplikace s právy roota. V těchto dnech tak doporučuji stahovat nový software do Samsung zařízení s maximální opatrností. Vždy ověřujte zdroj aplikací! Samsung chybu zaregistroval a plánuje "vydat záplatu co nejrychleji".
Osobně jsem neměl dosud čas celou věc vyzkoušet, pokud s ní již máte zkušenosti, podělte se o ně v diskuzi pod článkem.
Tipy pro bezpečné zacházení s elektronickými dárky pod stromečkem
Základnímu nastavení nového zařízení věnujeme obvykle největší pozornost. Pak již chceme, aby fungovalo bezchybně po celý životní cyklus. Na co se vyplatí nezapomenout během přizpůsobování?
První zapnutí notebooku - předinstalovaný software
Výrobci obvykle neodolají lákavé možnosti předinstalovat do systému kdejaký nepotřebný balast. Při prvotním nastavení proto doporučujeme pečlivě vybírat z nabízeného softwaru a většinu aplikací neinstalovat. Veškerý hardware by měl být plně funkční, nemusíte se tedy obávat, že přeskočením instalace nějaké "appky" přijdete o funkcionalitu.
Stejně tak se objevují na OEM systémech předinstalované trial verze antivirových programů (např. McAfee od Intelu nebo Norton). Pokud nemáte zájem o plné verze těchto řešení, začněte shánět alternativu. Doporučuji kvalitní antivir řešit co nejdříve, budete mít po Novém roce klid a plně funkční zabezpečené zařízení. Nezapomeňte existující řešení před instalací nového AV odstranit!
Pokud i přes všechny vaše protesty je nový systém plný nepotřebných programů, použijte například starý dobrý CCleaner k bezpečné odinstalaci softwaru.
První zapnutí chytrého telefonu - nové aplikace
V poslední době se telefonům říká chytré, protože skrz nejrůznější software relativně dobře suplují přenosné počítače. Mobilní telefon však s touto novou funkcionalitou nese i rizika komplexních systémů, které jsou naprosto přirozeně náchylné k chybám a zranitelnostem.
Pokud budete vybírat a instalovat ještě pod stromečkem nové aplikace, dbejte zvýšené opatrnosti a ověřujte zdroje softwaru. Snažte se omezit stahování na prověřené aplikace a hry (typu Angry Birds) od prověřených vývojářů (Rovio).
Pod stromečkem je iPhone/iPad/iMac/iPod Touch/MacBook
Oficiální Apple AppStore má velmi striktní pravidla pro distribuci softwaru. Možná i díky tomu může v posledních dnech Google Play přerůst konkurenta z Applu. Na druhou stranu je to poměrně dobře zabezpečená platforma. Pozor na jailbreak! Stahováním aplikací na "rootnuté" zařízení o tyto výhody přicházíte včetně aktualizací systému!
S velkou opatrností přistupujte k instalaci certifikátů na zařízení. Instalace neznámého certifikátu je velmi jednoduchá a může mít nežádoucí důsledky.
Pod stromečkem je chytrý telefon Android
Při prvním nastavování zkontrolujte aktualizace softwaru, počítačový útočník může neaktualizovaný software zneužít.
Oficiální Google Play je benevolentnější při schvalování aplikací. Díky tomu je na něm k dispozici užitečný software, který na AppStore nenajdete. Dbejte však zvýšené pozornosti při výběru softwaru a čtěte uživatelské recenze. Dobře se dívejte na oprávnění, která instalací softwaru garantujete.
Na platformu Android již v současné době existuje mnoho antivirových programů. Pokud uvažujete o výběru, můžete se s vybranými zástupci seznámit v našem průvodci.
To je pro dnešek vše, zůstaňte s námi, užijte si vánoční svátky a za dva týdny nashledanou.
Veselé Vánoce! :)
Minulé díly CDR Security Update
Díly CDR Security Update SPECIÁL
Bude dnes pod stromečkem elektronika?
Ano, dávám/dostanu notebook/ultrabook/pc.
9% (8 hlasů)
Ano, dávám/dostanu chytrý telefon.
7% (6 hlasů)
Ano, dávám/dostanu jinou domácí elektroniku.
12% (11 hlasů)
Ne.
73% (67 hlasů)
Celkem hlasů: 92
Zdroje:
Jiří Moos (Google+)
Jirka Moos je redaktor CDR.cz a DIIT.cz, kreativec se smyslem pro humor a také blázen do zabezpečení IT systémů. Vede bezpečnostní týdeník CDR Security Update a v současné době řeší marketing a redakční spolupráce CDR/DIIT.
