SecUpdate: Není úniku, množí se útoky na Facebook, chytré telefony i WiFi sítě
Znáte to: na Facebooku na vás vyskočí fotka sexy blondýny s popiskem „Sexy holka si to rozdává se svým dědou“. Nenapadne vás nic lepšího, než kliknout? Naštěstí se pak neobjeví žádný děda v choulostivé situaci, to jste pouze naletěli na tzv. clickbait. Pojmem “clickbait” se označuje obsah, který využívá zvědavosti uživatele pomocí působivých titulků a obrázků. Poté, co na něj uživatel klikne, získá služba odměny z reklamy. A může být pěkně zákeřný!
Blog společnosti Sucuri popisuje ukázku clickbaitu, který využívá návštěvníka ke svému šíření. Velmi často při návštěvě takovýchto článků vyskočí na uživatele pop-up okno s reklamou, podobné tomu na obrázku níže. Většinou není problém ho zavřít kliknutím na ikonku křížku. Ale co se ale stane ve skutečnosti?
Skrytý iframe obsahující tlačítko pro sdílení na Facebooku
Na stejné pozici jako zavírací křížek je na stránce umístěný iframe, který je díky svému nastavení parametru opacity
průhledný. Pokud bychom ale nastavení změnili tak, abychom viděli obsah iframu, zjistili bychom, že obsahuje tlačítko pro sdílení na Facebooku. Váš úmysl zavřít okno tedy způsobí sdílení článku všem vašim přátelům. A všichni vaši kamarádi zjistí, že jste se dívali na dovádějícího důchodce.
Chcete tomu zabránit? Vyhněte se nedůvěryhodným odkazům, či používejte javascript jen na důvěryhodných stránkách a na ostatních si ho zakažte.
Aktualizační mechanizmus na telefonech LG neověřuje SSL certifikát
Většina výrobců telefonů do svých přístrojů instaluje vlastní aplikace a utility, které nejsou běžně dostupné na Google Play Store. Tyto aplikace mají vlastní mechanizmus pro upgrade a právě v něm, u telefonů značky LG, byl nalezen problém. Výzkumníci z maďarského Search-Lab zjistili, že se při updatu neověřuje bezpečnostní SSL certifikát na serveru LG, což uživatele vystavuje man-in-the-middle útokům.
Výzkumníci ve své zprávě popisují, že aktualizace těchto aplikací se provádějí automaticky, tedy bez potvrzení uživatele. Má je na starosti aplikace Update Center, která kontroluje updaty na serveru lgcpm.com. Adresa aplikace se hledá v poli “appUrl”, které obsahuje šifrované URL kódované v base64. Symetrický šifrovací klíč je také součástí zprávy, a jelikož není využíván žádný jiný mechanizmus pro kontrolu integrity zprávy, útočník může zprávu odposlechnout a parametr appUrl upravit tak, aby směřoval na jeho škodlivou aplikaci.
Search-Lab nahlásil problém LG již v říjnu a zpráva udává, že LG opraví problém pro budoucí zařízení, ale pro aktuální telefony opravu neplánuje. Obranou pro aktuální uživatele by mělo být vypnutí možnosti “Auto app update” v systému telefonu.
WiFi 802.11n - vyšší rychlost může znamenat více nebezpečí
Proč jsou WiFi sítě standardu 802.11n rychlejší než ty, které využívají 802.11g? Implementují totiž mechanizmus pro agregování rámců na úrovní MAC vrstvy. Ten snižuje množství dat pro režii přenosu a zvyšuje propustnost posíláním dvou či více datových rámců v jednom přenosu. Výzkumníci z univerzity Hasselt v Belgii ale právě v tomto mechanizmu objevili zranitelnost.
Výzkumníci předvedli, jak je pomocí techniky zvané Packet-in-Packet (PiP) možné dostat libovolné pakety do bezdrátové sítě a tím komunikovat se službami v síti. Útočník tak může obejít pravidla firewallu, odhlásit klienty ze sítě, skenovat hosty a otevřené porty v síti a podobně. Detaily k útoku i jeho následkům popisují výzkumníci ve svém odborném článku.
Škodlivý rámec skrytý v HTTP datech a jednoduché schéma útoku.
Útočník pro provedení útoku ani nemusí být připojený k síti. Škodlivé rámce je možné vložit do jakýchkoliv dat, např. do obrázku. Ten pak může agresor uploadovat na web a k útoku dojde ve chvíli, kdy ho bude oběť z cílové sítě stahovat.
Zranitelnosti jde ale naštěstí předejít různým nastavením. Například šifrováním MAC vrstvy, zakázáním agregace rámců (A-MPDU), vyžadováním zahození chybně formátovaného A_MPDU rámce nebo kontrolou paketů (Deep Packet Inspection).
Žárlivý trojan Kovter
Francouzský výzkumník Kafeine si všiml, že nový druh malwaru Kovter se chová poněkud žárlivě. Při analýze škodlivého kódu totiž našel místo, kde se malware snaží stáhnout poslední verzi Flash Playeru, aby se do infikovaného počítače nedostal žádný další vir.
Jak jste se mohli dočíst i v našem seriálu, v nedávné době bylo opraveno několik kritických zranitelností Flash Playeru. A tyto zranitelnosti byly rychle podporovány čím dál tím větším počtem různých exploit-kitů (Magnitude, Angler, Neutrino), díky kterým je možné je jednoduše využít. Právě to asi vedlo vývojáře Kovteru k rychlé akci za účelem ochrany “svých” napadených počítačů. Přeci jen s vyšším počtem malwaru na počítači oběti se zvyšuje jeho odhalení.
A Kovter je důslednější. Mimo Flashe aktualizuje i poslední verzi prohlížeče Internet Explorer, která také opravuje dvě často zneužívané zranitelnosti.
Na blogu Kafeine uvádí, že Kovter není prvním malwarem, který se snaží po infikování počítač záplatovat. Podobně se choval například i trojan Betabot, který umožňoval upravit nastavení napadeného počítače, aby nedošlo k dalšímu infikování.
TrendMicro identifikovalo 20letého autora bankovního malwaru
Bezpečnostní experti z TrendMicro našli studenta, kterému se asi běžné studentské přivýdělky nezamlouvaly. Jedná se o 20letého brazilského studenta, který za poslední dva roky vytvořil přes 100 různých bankovních trojanů. Běžně je prodával za cenu pohybující se kolem 300 dolarů.
Lordfenix, jak si student na internetu přezdíval, měl s prodejem úspěch, kterým se dokonce chlubil na Facebooku.
Bankovní trojany z dílny Lordfenixe používaly ke krádeži informací falešný prohlížeč. Pokud trojan detekoval zadání adresy některé z cílových bank, došlo k zobrazení chyby spolu s otevřením falešného prohlížeče, který měl na startovní liště zobrazen název "chome". Pokud do něj uživatel vložil své přihlašovací údaje, byly odeslány autorovi viru emailem.
Lordfenix nabízel trojské koně i zdarma na fóru.
Hledání pirátského obsahu na webu přinese víc škody než užitku
Výzkumník Chris Mannon dlouhodobě zjišťuje, jak můžete dopadnout při stahování pirátského obsahu. Sleduje totiž adwarové kampaně, které k šíření využívají právě zájem uživatelů o pirátské verze nejrůznějších her, programů, filmů či televizních seriálů. Konkrétně ve svém článku popisuje dvě velké adwarové rodiny Outbrowse a MultiPlug.
Místo stažení skutečného obsahu si uživatelé stáhnou a nainstalují škodlivý software. V případě Outbrowse je využíváno populárních seriálů a softwaru ke stažení programu, který sleduje aktivity uživatele na internetu. Na základě toho ho poté směruje na placené stránky nabízející různé služby.
MultiPlug se chová podobně, tedy po instalaci zobrazuje nevyžádané reklamy. K tomu navíc na pozadí stahuje a instaluje další nechtěný software.
Odstranění je možné přes odinstalaci programů v Ovládacích panelech, případně Outbrowse se často vyskytuje v adresáři C:\Documents AndSettings\user\Local Settings\Temp\ . K analýze a odstranění tohoto adwaru Mannon také doporučuje programy jako HiJackThis nebo X-rayPC.
Další zprávy ze světa IT bezpečnosti v bodech:
- Ukradené údaje z vládních agentur USA jsou dostupné online [PDF]
- Apple záplatuje desítky děr v iOS a OS X
- ESET analyzoval špionážní platformu Dino
- Yahoo mělo zranitelný systém pro zpracování obrázků
- Společnost Akamai zaregistrovala zneužívání protokolu RIPv1 pro DDoS útoky
- Amazon vydal novou implementaci TLS protokolu
- Internetový podvod z českých luhů a hájů
- Ve Firefoxu byly opraveny kritické chyby
Diskuse ke článku SecUpdate: Není úniku, množí se útoky na Facebook, chytré telefony i WiFi sítě