SecUpdate: Odpojte USB dongle! Vaše bezdrátová myš otvírá počítač hackerům
Ve společnosti Bastille, která se zabývá bezpečností internetu věcí, našli způsob jak se nabourat do počítače díky zranitelnosti, která je přítomna v mnoha bezdrátových přijímačích myší a klávesnic. Problém se týká výrobců jako Dell, Logitech, Microsoft, HP, Gigabyte, Lenovo a možná dalších, kteří nabízejí bezdrátové periferie nepoužívající přenos přes Bluetooth.
Nový útok nazývají Mousejack a spočívá v tom, že útočník nacházející se v okruhu 100 metrů od cílového zařízení na něm může vzdáleně spouštět libovolné příkazy. Docílí toho zneužitím nalezené zranitelnosti a pomocí USB donglu za 15 dolarů, který bude mít připojen ve svém vlastním počítači. Může tak stáhnout na počítač oběti malware, ukrást z něj soubory a dělat cokoli jiného, jakoby seděl přímo u počítače.
Demonstrace útoku MouseJack
Zranitelnost je velmi závažná také proto, že útočník nepotřebuje fyzický přístup k cílovému počítači a útok je možné realizovat ať už je na počítači operační systém Windows, Linux, či Mac OS X.
Poté, co se v historii objevily snahy o odposlech stisknutých kláves u bezdrátových RF klávesnic, začali u nich výrobci komunikaci šifrovat. Šifrování se ale nepoužívá u komunikace myší, útočník tedy může takové zařízení napodobit a posílat do počítače vlastní pakety, jak je vidět na obrázku.
Princip odeslání falešného kliknutí do počítače oběti
Vzhledem k tomu, že ve valné většině zranitelných zařízení se používají jednorázově programovatelné čipy, je vydání opravy ze strany výrobce nemožné. Pokud ale například vlastníte zařízení od společnosti Logitech, které funguje pomocí přijímače pojmenovaného unifying, můžete již stahovat opravu. V ostatních případech raději odpojte dongle a používejte touchpad nebo myš s ocáskem.
Další auta, která může ovládat kdokoli a odkudkoli, patří Nissanu
Bezpečnostní expert Troy Hunt našel zranitelnost v API, které používá Nissan k přenosu informací o vozidlech LEAF v mobilní aplikaci. Ty mohou být vzdáleně zneužity ke změnám některých parametrů tohoto elektromobilu.
Nissan LEAF a ovládací aplikace
Při testování aplikace na svém smartphonu si Troy Hunt všiml, že odchozí požadavky odesílají posledních 5 číslic VIN kódu vozidla a nijak se neověřuje uživatel. Každý, kdo zná VIN kód vozidla tak může ovládat jeho klimatizaci nebo číst zaznamenaná data o jízdě včetně spotřeby energie a ujeté vzdálenosti. Z dostupných dat je dokonce možné určit i místa, kde se vozidlo pohybovalo.
Troy Hunt z Austrálie předvádí hackování automobilu svého známého v Anglii
Troy provedl řadu testů a ukázal, že útočník může například zapnutím klimatizace docílit vybití baterie zaparkovaného auta. Na druhou stranu také potvrdil, že není možné vzdáleně ovládat motor ani zamykat či odemykat vozidlo. Nissan problém zatím řeší tak, že server, který zranitelné API poskytoval, je aktuálně offline.
Zdrojové kódy bankovního malware pro OS Android unikly na internet
Na internet se dostaly zdrojové kódy rodiny malware, která je známá pod jmény GM Bot, SlemBunk, Bankosy nebo také MazarBot, jak ji nazvali výzkumníci z Heimdal Security. Vždy se jednalo o malware cílící na krádeže přístupů k bankovnictví, který ale uměl i spoustu dalších, obětem nepříjemných, funkcí. Mezi ty patřilo například přesměrování hovorů a záznam obsahu SMS zpráv, zjištění polohy, keylogger nebo možnost smazat obsah zařízení.
A jak se dostal kód ven? Odborník na kyberbezpečnost z IBM Limor Kessem na blogu uvádí, že jeden z kupců malwaru potřeboval zvýšit své renomé na undergroundovém diskuzním fóru a tak zveřejnil návod na použití mobilního malwaru k odcizení přístupů do bank a zároveň i heslem chráněný archiv se zdrojovými kódy GMBota a jeho ovládacího panelu. Heslo k archivu se mezi uživateli fóra rychle rozšířilo a dostalo se také za jeho hranice. A proto si teď můžete projít detailní analýzu kódu s popisem jeho funkcionalit.
Ukázka z ovládacího panelu – sekce pro procházení shromážděných dat
Jak je vidět na obrázku, pomocí ovládacího panelu může útočník jednoduše procházet nashromážděná data. Ta jsou rozdělena buď podle zemí, nebo podle obsahu na ukradená čísla kreditních karet, účty patřící obětem, nainstalované aplikace na napadeném zařízení, další účty nalezené na zařízení, data z vyplněných webových formulářů a data z formulářů, které oběti podstrčil sám malware.
Jaké budou následky tohoto úniku? Na jednu stranu by to mohlo běžným uživatelům pomoci, protože antivirové společnosti budou malware schopny lépe identifikovat. Je tu ale také možnost, že útočníci budou pracovat rychleji, kódem se inspirují a zaplaví nás vlna malwaru vycházejícího právě z uniklých zdrojových kódů.
Apple se dohodl na spolupráci s autorem nejbezpečnějšího messangeru na světě
Je to 14 dní co se v médiích velmi často objevují informace o sporu Apple vs FBI, ve kterém několikrát zaznělo i to, že inkriminovaný iPhone je možné hacknout bez pomoci společnosti Apple. Možná právě proto Apple činí kroky k ještě vyššímu zabezpečení svých zařízení. Jedním z nich je určitě zahájení spolupráce s Fredericem Jacobsem.
Frederic potvrdil spolupráci na Twitteru
Že vám to jméno nic neříká? Frederic je autorem aplikace Signal, což je open-source aplikace pro Android a iOS, která nabízí šifrování hlasové a textové komunikace. Používají ji často novináři, bezpečnostní experti a například také Edward Snowden.
Zaplaťte selfíčkem - MasterCard nahrazuje heslo fotkou
Společnost MasterCard oznámila plánované rozšíření platby pomocí selfie do 14 zemí na toto léto. Uživatelé by v budoucnu nemuseli zadávat bezpečnostní kódy či hesla, ale při platbě online by využili aplikaci Identity Check App ve svém telefonu, která ověří jejich identitu fotkou jejich obličeje.
MasterCard Identity Check
V České republice se bohužel toto léto nedočkáme. Mezi vybrané země patří USA, Anglie, Kanada, Nizozemsko, Belgie, Španělsko, Itálie, Francie, Německo, Švýcarsko, Norsko, Švédsko, Finsko a Dánsko. Třeba ale nepřítomnost naší země v první vlně bude výhodou – nechme se překvapit, za jak dlouho budeme psát o oklamání této technologie pomocí fotografie.
Další zprávy ze světa IT bezpečnosti v bodech:
- Kaspersky zhodnotil vývoj malware v roce 2015
- Datové centrum NSA čelí 300 milionům pokusů o narušení denně
- V USA vyměňují bankomaty, kartu do nich již nevložíte
- Tematický phishing zneužívá aktuální daňové období
- Chyba v glibs se projevila u produktů společnosti VMWare
- S kyselinou a lasery pro data z iPhonu
- Jak je možné obejít dvou-faktorovou autentizaci?
- V Drupalu bylo opraveno 10 zranitelností, z toho 1 kritická
- ASUS bude 20 let pod drobnohledem, protože nedbal na bezpečnost routerů
- Apple záplatoval svou Apple TV, která byla prošpikovaná chybami
- Cisco záplatuje command injection v produktech Cisco Ace 4710