CDR.cz - Vybráno z IT

SecUpdate: Je to rozbitý! Tento týden padal Skype i MacBooky a na FB řádil HOAX

nepřehlédněte
Jaká zpráva dokáže rozhodit celý Skype? Proč je lepší nenechat váš MacBook usnout? A kdo zase naletěl facebookovým útočníkům? Odpovědi vám přináší nejnovější SecUpdate!

Díky pouhým osmi znakům bylo možné vyvolat u Skype klienta nekonečnou smyčku, která způsobila pád programu. A co víc, dokud byla zpráva v historii komunikace, aplikace nebyla schopná znovu fungovat. Stačilo pouze odeslat zprávu http://: a uživatel musel přeinstalovat Skype. Zajímavé ale je, že zkáza potkala nejen příjemce zprávy, ale i jejího odesilatele. Smazání konverzace navíc nepomáhalo, protože historie se pravidelně stahuje ze serveru.

Podle informací ze Skype komunity byla zranitelná verze pro Windows, iOS i Android. K problému naopak nedocházelo na verzi pro Mac a nejnovější verzi pro Windows 8.1. Skype zareagoval velmi rychle - nejprve zablokoval odeslání daného řetězce a během 24 hodin od zjištění zranitelnosti vydal opravené verze pro všechny zranitelné varianty produktu.

Pád aplikace Skype po obdržení kritické zprávy

Facebook recovery - nevěřte hrozbě o blokaci Facebookového účtu

Facebook je ideálním místem pro různé klamné kampaně, které sociálním inženýrstvím získávají cenná uživatelská data. Jedním z posledních příkladů je Facebook recovery. Vše začíná příspěvkem na zdi od buď falešného Facebook účtu, nebo účtu, který byl ukraden. Titulek příspěvku je „Facebook recovery“ a v textu se dozvíte, že váš účet byl ostatními uživateli označen za škodlivý a bude blokován. Pro obnovu účtu musíte okamžitě kliknout na odkaz v příspěvku.

Podvodný příspěvek na Facebooku

Není překvapivé, že vás odkaz zavede na stránku, která vyžaduje zadání emailu či telefonu a hesla k potvrzení FB účtu. Po zadání jsou přihlašovací údaje odeslány a uživatel je přesměrován na platební stránku, která vyžaduje ještě jeho celé jméno, adresu a údaje o platební kartě.

Vzhledem k anglickému jazyku je hrozba pro uživatele z ČR menší, nicméně i tak varujeme - Facebook po svých uživatelích nikdy nechce peníze za to, že dělá cokoli, takže nějaké centrum pro odblokování účtů za poplatek je jasným podvodem. Největší počet prokliků na falešný web proběhl v Americe a asijských zemích, nicméně např. i na Slovensku se našli jednotlivci, kteří na klamavý příspěvek reagovali.

Tvůrce malwaru Rombertik odhalen!

Rombertik - paranoidní malware, o kterém jsme již několikrát psali. Doposud ale nebylo jasné, kdo za ním stojí – o jeho tvůrci nikdo nic nevěděl. Nyní ale ThreadConnect provedl další zkoumání malwaru, které ho dovedlo k 30letému muži jménem Kayode Ogundokun z Lagosu v Nigérii. Jak se jim to podařilo?

Výzkumníci začali analýzou C&C domény centozos[.]org[.]in, na kterou Rombertik odesílal ukradená data z infikovaných počítačů. Podle informací z registrace je doména svázána s emailovou adresou genhostkay@dispostable[.]com. Jedná se o jednorázovou adresu, ke které může přistoupit kdokoli bez použití hesla.  K přístupu je nutné znát pouze přihlašovací jméno. Tahle stopa tedy moc úspěšná nebyla.

Vyšetřovatelé si ale všimli, že kopie jednoho z obdržených emailů vedla také na adresu kallysky@yahoo[.]com, která je zavedla právě do Nigérie. Jak se ukázalo, na rozdíl od Rombertiku se jeho autor svému odhalení moc nebrání. Na sociálních sítích (např. Facebook  a YouTube profil) otevřeně nabízí své služby a návody týkající se malwaru. Vypadá to, že se zabývá zejména botnety a RATy (remote access trojan) za účelem získání peněz a nemá špionážní či jiné ideologické úmysly.

Po probuzení Macu ze spánku je možné na něj jednoduše nainstalovat rootkit

Výzkumník Pedro Vilaça odhalil zranitelnost ve starších počítačích MAC od společnosti Apple. Ta spočívá v chybné implementaci návratu z režimu spánku, díky které je možné zapisovat do určitých oblastí paměti náležících EFI (rozšiřitelné firmwarové rozhraní). Tyto oblasti by v rámci ochrany měly být přístupné pouze pro čtení.

Závažnost chyby je vysoká také díky tomu, že by mohla být zneužitelná i vzdáleně. Při kombinaci s dalším vektorem útoku, například nějaké zranitelnosti v prohlížeči Safari, je možné vyvolat přechod do režimu spánku vzdáleně a po probuzení vzdáleně nainstalovat EFI rootkit, který je běžnými antiviry v podstatě nedetekovatelný.

Zranitelnost byla otestována na zařízeních MacBook Pro Retina, MacBook Pro 8.2 a MacBook Air s poslední dostupnout verzí firmwaru EFI. Novější zařízení dle Vilaça zranitelná nejsou.

Faceboková aplikace UnfriedAlert sbírá přihlašovací údaje

Každého zajímá, kdo sleduje jeho profil na sociálních sítích, kdo si koho zablokoval nebo odebral z přítel. A právě to za vás prý bude sledovat aplikace UnfriendAlert. Jedná se o desktopovou aplikaci, která by vás po instalaci měla informovat o tom, že na Facebooku s vámi někdo přestal kamarádit. K tomu po instalaci vyžaduje od uživatele přihlášení k Facebooku.

UnfriendAlert vyžaduje přihlášení uživatele

Jak ale zjistili výzkumníci z Mallwarebytes, údaje se neodesílají na adresu Facebook API, ale na doménu yougotunfriended[.]com. Autoři aplikace tedy mají k dispozici přihlašovací údaje všech podvedených uživatelů. Pokud jste naletěli i vy, doporučujeme aplikaci odinstalovat a poté si na Facebooku změnit heslo.

Google vzdělává své uživatele v oblasti bezpečnosti a soukromí

Po omezení oprávnění aplikacím na OS Android Google vypouští na svět dvě novinky na poli soukromí a bezpečnosti - rozcestník pro správu Google nastavení zvaný Můj účet a novou stránku, která zodpovídá důležité otázky ohledně soukromí a bezpečnosti na Googlu.

Můj účet – brána k nastavení soukromí a bezpečnosti

Stránka Můj účet umožňuje rychlý přístup k nastavením a nástrojům, pomocí kterých můžete zabezpečit svá data, ochránit své soukromí a určit, jak vaše informace může Google využívat k přizpůsobení svých nástrojů a služeb. Můžete například využít asistenci průvodců Kontrola zabezpečení nebo Kontrola ochrany soukromí, který vás krok za krokem provede důležitým nastavením soukromí a bezpečnosti. Můžete upravit nastavení využití informací z vyhledávání, YouTube, Map a dalších aplikací ke zlepšení vaší práce s Googlem. Dále můžete ovlivnit použití dat o vašich koníčcích a vyhledávání reklamami nebo kontrolovat, které aplikace a stránky jsou připojeny k vašemu účtu.

Na stránce privacy.google.com Google odpovídá na nejčastější otázky ohledně soukromí a bezpečnosti. Dozvíte se tam, jaká data Google shromažďuje, co s nimi dělá, jak fungují relevantní reklamy, aniž by se data někomu předávala, nebo jak zvyšuje zabezpečení vašich dat šifrování a filtrování spamu.

I tvůrce virů je jenom člověk

Za zmínku také stojí překvapivý obrat, který nastal u dvou tvůrců ransomwaru. Autor ransomwaru Locker se ve svém příspěvku omluvil a zveřejnil šifrovací klíče. O pravosti příspěvku se vedly diskuze, ale nakonec ji naznačilo automatické dešifrování souborů napadených uživatelů, ke kterému došlo o půlnoci z úterý na středu. Přesně tak, jak autor v příspěvku uvedl.

Podobný krok učinil také autor platformy pro šíření ransomware Tox, který nabízí celou platformu k prodeji. Dle jeho slov Tox dosáhl nečekaného úspěchu. Je možné, že již má vyděláno, a tak nabízí Tox dříve, než se objeví nějaká konkurence. Každopádně v příspěvku deklaroval, že pokud se do měsíce nenajde zájemce, zveřejní šifrovací klíče a u obětí dojde k automatickému dešifrování jejich souborů, podobně jako tomu bylo u Lockeru.

Další zprávy ze světa IT bezpečnosti v bodech:

Ondřej Přibyl

Autor se věnuje vývoji jak webových, tak desktopových aplikací a zajímá ho jejich bezpečnost. Rád analyzuje nové typy útoků a snaží se díky tomu zvyšovat bezpečnost svých aplikací. Pro CDR zpracovává především bezpečnostní seriál SecUpdate.

více článků, blogů a informací o autorovi

Diskuse ke článku SecUpdate: Je to rozbitý! Tento týden padal Skype i MacBooky a na FB řádil HOAX

Žádné komentáře.