CDR.cz - Vybráno z IT

SecUpdate: Hackeři nabourali Mitsubishi, přes WiFi! A také Marka Zuckerberga

nepřehlédněte
Co týden, to velký únik dat. V minulém týdnu dokonce dva! A jejich vliv pocítil i CEO Facebooku Mark Zuckerberg. Problémy ale byly také u vozů Mitsubishi, na chatu Facebooku či v kamerách D-Link a prohlížeči Chrome.

V dnešní době je možnost ovládání nových vozů z mobilního telefonu či počítače vcelku běžná záležitost. Stále tuto výhodu ale vyvažuje také nevýhoda v oblasti bezpečnosti. Posledním vozidlem, které má problémy se zabezpečením a pomocí telefonu či notebooku se k jeho ovládání dostane v podstatě kdokoliv, je Mitsubishi Outlander plug-in hybrid. Tento automobil má vestavěný WiFi modul, díky kterému se vlastník auto může připojit přes mobilní aplikaci a vůz ovládat.

Podobnou možnost ale mají i ostatní, jak ukázali výzkumníci ze společnosti Pen Test Partners. A to díky slabému klíči zabezpečujícímu WiFi síť, jehož prolomení trvalo výzkumníkům necelé 4 dny. Je to ale možné provést mnohem rychleji, pokud si útočník při prolamování pomůže výkonným cloudovým řešením. Při investici necelých 1500 dolarů se dostane ke klíči téměř okamžitě.

Ukázka nalezených problémů u Mitsubishi Outlander

Pomocí man-in-the-middle útoku výzkumníci analyzovali jednoduchý binární protokol, který se při komunikaci s automobilem používá. Díky tomu se jim následně dařilo měnit nastavení klimatizace, zapínat a vypínat světla, měnit nastavení nabíjení automobilu, vybít baterii a hlavně vypnout alarm a umožnit tak odcizení automobilu. Většinu činností můžete vidět na videu.

Zrušení spárování vozidla s aplikací

Mitsubishi podle svého vyjádření na opravě již pracuje, jak ale ochránit vozidla do té doby, než bude oprava vydána? Krátkodobou pomocí je zrušit spárování vozidla se všemi zařízeními. To je možné v Settings menu aplikace volbou Cancel VIN Registration. Jakmile jsou všechny zařízení odpárovány, WiFi modul v automobilu přejde do režimu spánku a není možné zranitelnosti zneužít.

Z Ruské sociální sítě VKontakte uniklo 100 miliónů přihlašovacích údajů

S uniklými databázemi se v poslední době roztrhl pytel. A to nemluvíme o databázích s pár uživateli, ale o těch, které mají několik gigabajtů! Před třemi týdny to bylo 117 miliónů uživatelských účtů ze sítě LinkedIn, dva týdny zpátky 100 miliónů účtů z MySpace a minulý týden byla napadena Ruská sociální síť VKontakte.

Databázi nabízí na darknetu stejný prodejce jako v případech předchozích úniků. Uvnitř je tentokrát možné najít celá jména uživatelů, spolu s emailovou adresou, hesly v plain-textu, informace o umístění, telefonní čísla a v některých případech záložní emailovou adresu. Informaci o úniku včetně základních statistik z dat zveřejnil web LeakedSource. Podle odhadů byly data ukradeny na přelomu let 2012 a 2013. Tomu také odpovídá přímé uložení hesel v databázi, což v té době nebylo ojedinělé.

 

Nejčastější hesla a nejčastější domény u emailových adres

Celý balík dat je k prodeji za pouhý jeden bitcoin, což je při aktuálních cenách přibližně 570 dolarů. Prodává ho hacker jménem Peace na marketu The Real Deal. Při pohledu na statistiku nejčastějších hesel je až neuvěřitelné, kolik lidí si dokáže nastavit heslo 123456. Co se týká registrovaných emailových domén, dle předpokladů vyhrává mail.ru. Pokud ale na síti účet máte, určitě co nejdříve změňte heslo a nezapomeňte tak učinit i dal dalších sítích, kde používáte heslo stejné, nebo velmi podobné.

Útoku hackerů podlehl i Mark Zuckerberg

Problém s unikajícími hesly na každém rohu postihuje i známé osobnosti. Příkladem z posledních dní je CEO sociální sítě Facebook Mark Zuckerberg. Tomu se útočníci ze skupiny OurMine Team, pocházející ze Saudské Arábie, dostali na účty sociálních sítí Pinterest, Twitter, Instagram a LinkedIn.

 

Zachycení vzkazu od útočníků na účtu Marka Zuckerberga na síti Pinterest

Podle informací z venturebeat.com útočníci tvrdí, že se na účty dostali díky uniklému heslu ze sítě LinkedIn. To mělo být „dadada“. Vidíte tedy, že i světově známá osobnost IT oboru trpí nešvarem jednoduchých hesel, které ještě ke všemu používal na několika různých webech.

Desítky miliónů přístupových údajů na Twitter jsou k mání na černém trhu

Hackeři si evidentně stojí za tím, že úniků dat není nikdy dost a tak nám v minulém týdnu naservírovali také únik ze sociální sítě Twitter. Data nabízí opět stejný uživatel, jako u předchozích úniků a cena je tentokrát nastavena na 10 bitcoinů. Že je to hodně? Důvod bude asi ten, že v balíku je více než 32 miliónů uživatelských účtů.

Data již byla analyzována a na blogu LeakedSource je možné se o nich dozvědět více. Twitter popřel, že by došlo k nějakému útoku na jejich servery, ze kterého by tato data pocházela. Podle LeakedSource se pravděpodobně jedná o data, která byla nasbírána pomocí malwaru infikujícího počítače obětí. Další možností je, že tato databáze je pouze spojení dat, které se již vyskytovali v jiných únicích, např. ze sítí LinkedIn, Tumblr a MySpace. Ať už je zdroj jakýkoliv, určitě je opět vhodný čas ke změně hesla.

 

Statistika nejčastějších hesel a domén v uniklých datech

Poté, co Twitter úniklá data blíže analyzoval a porovnal s daty, které leží na jeho serverech, přistoupil u některých účtů k jejich dočasné blokaci. Majitelé si tak budou muset resetovat heslo. Další doporučení pro zvýšení zabezpečení, které Twitter navrhuje uživatelům, jsou použití dvoufaktorové autentizace, používání silného hesla a využití služeb manažerů hesel jako je LastPass či 1Password.

Facebook opravil zranitelnost v chatu umožňující útočníkovi upravovat obsah zpráv

Výzkumníci objevili možnost jak měnit obsah zpráv, které byly odeslány na Facebook chatu, a to jak přes aplikaci, tak přes webové rozhraní. Sociální síť tento problém označila za zranitelnost s malým rizikem. Chyba byla nahlášena přes bugbounty program několika experty a následně byla detailně popsána na blogu společnosti Check Point.

 

Odhalení ID vybrané zprávy

Problém spočívá v číselném ID, které je generováno pro každou zprávu. Útočník může toto ID získat požadavkem z adresy facebook.com/ajax/mercury/thread_info.php a poté odeslat další zprávu cílovému uživateli se stejným ID. Díky tomu bude předchozí zpráva nahrazena.

Podle společnosti Check Point může mít zranitelnost vážný dopad vzhledem k tomu, že může být zneužita v podvodných kampaních ke změnám obsahu konverzace, nebo k nahrazení skutečných odkazů za škodlivé.

Video s ukázkou využití zranitelnosti

Facebook vydal opravu a také vyjádření ke zranitelnosti. A právě ve vyjádření je možné najít drobnou odlišnost od informací, které uvádí společnost Check Point. Facebook totiž tvrdí, že problém byl pouze u aplikace na OS Android. V ostatních klientech je chování při detekci duplicitního ID zprávy nastaveno tak, aby se zobrazila první zpráva. Chyba v konfiguraci aplikace na OS Android vedla k zobrazování poslední zprávy. Nízké riziko chyby bylo odůvodněno zejména tím, že útočník mohl měnit obsah pouze těch zpráv, které poslal z vlastního účtu, nebylo možné měnit zprávy jiných uživatelů.

Zranitelnost v kamerách od D-Linku je vzdáleně zneužitelná

Výzkumníci ze startupu Senrio objevili zranitelnost ve WiFi kamerách D-Link DCS-930L, které jsou určeny na videomonitoring domácností. Problém spočívá v přetečení zásobníku u služby pro zpracování vzdálených příkazů. I přesto, že úspěšný útok byl proveden pouze na řadě DCS-930L, jeho nálezci věří, že zranitelné mohou být i jiné výrobky D-Link, které používají stejnou zranitelnou součást.

 

Zranitelná kamera D-Link DCS-930L

Díky zranitelnosti je možné vzdáleně resetovat přístupové heslo kamery a následně se k ní útočník může přihlásit s využitím výchozích údajů. Experti ze společnosti Senrio o problému informovali společnost D-Link a aktuálně společně pracují na opravě.

Google opravil chybu v Chromu, která umožňovala spustit kód při otevření PDF

Aleksandar Nikolic, ze skupiny CISCO Talos, objevil zranitelnost, umožňující spustit libovolný kód (CVE-2016-1681) v PDF komponentě jménem PDFium, kterou využívá prohlížeč Google Chrome. Přišel na to, že speciálně upravený PDF soubor, obsahující obrázek ve formátu JPG2000 (JP2) může vyvolat zneužitelné přetečení zásobníku.

 

Zranitelný kód ve funkci opj_j2k_read_siz v souboru j2k.c

V samostatných buildech knihovny OpenJPEG je kritické volání v pořádku, ale ve verzi, která je součástí prohlížeče Chrome, se chyba nachází. Google ji ale opravil promptně po nahlášení a od verze Chromu 51.0.2704.63 již není možné zranitelnost zneužít. Oprava byla na světě hned den po nahlášení problému a během 5 dnů byla součástí stabilní verze prohlížeče Google Chrome.

Další zprávy ze světa IT bezpečnosti v bodech:

Tagy: 

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Hackeři nabourali Mitsubishi, přes WiFi! A také Marka Zuckerberga

Úterý, 14 Červen 2016 - 19:54 | HKMaly | https://commons.wikimedia.org/wiki/File:US_911_%...
Úterý, 14 Červen 2016 - 09:02 | Bonfire | 9-11-1961 a 9111961? Podle wikipedie se ten den...
Pondělí, 13 Červen 2016 - 19:20 | franta flinta | Po vypnutí alarmu by to asi nebyl problém, ale...
Pondělí, 13 Červen 2016 - 19:15 | HKMaly | Zalezi jestli se dostali k ovladani plynoveho...
Pondělí, 13 Červen 2016 - 16:09 | franta flinta | "Hackeři nabourali Mitsubishi, přes WiFi!...

Zobrazit diskusi