Postřehy z bezpečnosti: předvánoční varování

16. 12. 2019
Doba čtení: 4 minuty

Sdílet

Dnes si přečteme o dvojím varování před neuváženým nákupem chytrých zařízení, o novém prohlížeči Chrome a o zranitelných doplňcích WordPressu. Dozvíme se i o dvojím zásahu proti propíračům špinavých peněz.

Chystáte se koupit k Vánocům chytré TV, spotřebiče nebo hračky?

Portlandský úřad FBI varuje před potenciálním zneužitím „chytrých“ TV připojených k Internetu. Některé jsou vybaveny mikrofony pro hlasové ovládání a případně i vestavěnou kamerou pro ovládání gesty nebo videochat. Mikrofony i kamery mohou zneužít ke špehování jak výrobci TV a vývojáři softwaru, tak i hackeři, kteří také mohou zlomyslně ovládat špatně zabezpečený televizor (přepínat programy a měnit hlasitost zvuku) a v krajním případě také proniknout do domácího počítače nebo do dalších zařízení v místní síti.

Zákazník by se měl pokud možno ještě před koupí TV důkladně seznámit s příslušnou dokumentací a zjistit zejména:

  • jaké pokročilé možnosti TV nabízí a jak se ovládají;
  • zda dokumentace obsahuje slova „mikrofon“, „kamera“ nebo „soukromí“;
  • nespoléhat se na implicitní nastavení a pokud to je možné, změnit hesla;
  • zda a jak lze vypnout mikrofon a kameru (v nouzi lze kameru aspoň přelepit černou lepicí páskou);
  • zda a jak lze zakázat sběr osobních údajů;
  • zda výrobce TV dodává bezpečnostní záplaty;
  • prohlášení výrobce a dodavatelů streamovacích služeb o ochraně osobních údajů: jaké údaje sbírají, jak je skladují a co s nimi dělají.

Na nebezpečí plynoucí z neuvážené koupě příliš „chytrých“ hraček upozorňuje americká Federal Trade Commission (FTC). Rodiče by měli zjistit:

  • Obsahuje hračka mikrofon nebo kameru? Pokud ano, co bude nahrávat? Dá se poznat, že probíhá nahrávání?
  • Umožňuje hračka, aby dítě odesílalo e-mail nebo se připojovalo k sociálním sítím?
  • Mohou rodiče hračku konfigurovat a sledovat její provoz? Co v ní lze nastavit? Jaká jsou implicitní nastavení?

Zákazník by také měl vědět, jaké údaje hračka odesílá, kde se tato data ukládají, s kým je firma sdílí, kdo k nim má přístup, zda jsou data zabezpečena a zda mají rodiče právo tato data vidět a případně smazat.

Podobně opatrně by měl zákazník přistupovat i ke koupi dalších „chytrých“ zařízení; dostatečně známé jsou např. chytré dětské náramkové hodinky, robotické vysavače nebo domácí IP kamery.

Zveřejněna nová verze prohlížeče Google Chrome

Ve středu 11. prosince 2019 zveřejnila firma Google verzi 79 prohlížeče Google Chrome pro MS Windows, MacOS a Linux. Odstraňuje celkem 51 zranitelností, z nichž 2 jsou kritické: CVE-2019–13725 a CVE-2019–13726.

Nejvýznamnější nové funkce prohlížeče:

Kontrola, zda nebyly ukradeny uživatelovy přihlašovací údaje, probíhá automaticky při přihlašování k webům. Dosud byla tato funkce dostupná prostřednictvím Password Checkup; nyní ji Google postupně zavádí každému, kdo je přihlášen do prohlížeče Chrome 79.

Ochrana před phishingem dosud fungovala tak, že prohlížeč Chrome si každých 30 minut stáhl seznam nebezpečných webů a kontroloval, zda v tomto seznamu není zadaná adresa. Nyní tato kontrola probíhá v reálném čase, což by mělo detekovat o 30% více nebezpečných webů. Funkce bude postupně zpřístupněna každému, kdo v konfiguraci prohlížeče povolí „Make searches and browsing better“.

Prediktivní ochrana před phishingem/vícenásobným použitím hesla: Pokud se uživatel přihlašuje k „neobvyklému“ webu a zadá libovolné heslo obsažené ve správci hesel prohlížeče nebo heslo k účtu Google, proběhne kontrola, zda je onen web podezřelý. V kladném případě prohlížeč uživatele varuje a vyzve ho ke změně zkompromitovaného hesla.

Šifrovaná komunikace DNS over HTTPS (DoH) ochrání komunikaci mezi prohlížečem a DNS serverem před nežádoucím sledováním. Implicitně by DoH mělo používat 1% prohlížečů Chrome 79 na strojích, které DoH podporují, tj. jako DNS servery používají např. Cloudflare 1.1.1.1, Google 8.8.8.8 nebo OpenDNS. Každý uživatel si může užití DoH sám nezávisle povolit nebo zakázat.

Zmrazení stránky sníží spotřebu energie prohlížeče, který má větší počet otevřených, ale neaktivních stránek: po 5 minutách nečinnosti se obsah stránky „zmrazí“ a stránka ukončí všechnu činnost, dokud ji uživatel znovu neotevře (ale v chrome://flags  lze vyhledat „Tab Freeze“ a tam nastavit jiné možnosti – např. „rozmrazit“ tuto stránku každých 15 minut na 10 sekund).

Zranitelné doplňky WordPressu Elementor a Beaver

Uživatelé WordPressu, kteří provozují doplňky „Ultimate Addons for Beaver Builder“ nebo „Ultimate Addons for Elementor“, by měli zkontrolovat, zda používají jejich nejnovější verze. Bezpečnostní tým MalCare zjistil, že tyto doplňky jsou postiženy zranitelností typu Authentication Bypass, takže umožňují velmi snadné přihlášení uživatelů Facebooku a Google bez znalosti hesla. Pracovníci MalCare ohlásili zjištěný problém autorům doplňků, kteří zveřejnili opravené verze během 7 hodin. Jsou to:

  • Ultimate Addons for Beaver Builder: bezpečná verze 1.2.4.1
  • Ultimate Addons for Elementor: bezpečná verze 1.20.1.

Prosincové bezpečnostní záplaty Adobe a Microsoft

Firma Adobe vydala 10. prosince 2019 tyto bezpečnostní záplaty:

  • Adobe Acrobat and Reader pro Windows a macOS (opravuje 25 CVE)
  • Brackets pro Windows, macOS a Linux (opravuje 1 CVE)
  • Photoshop CC pro Windows a macOS (opravuje 2 CVE)
  • Adobe ColdFusion (opravuje 1 CVE)

Bezpečnostní záplaty vydala 10. prosince 2019 i firma Microsoft, a to pro tento software:

bitcoin školení listopad 24

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Office and Microsoft Office Services and Web Apps
  • SQL Server
  • Visual Studio
  • Skype for Business

Tyto záplaty opravují celkem 36 CVE, z toho 7 kritických a 28 důležitých.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.