Zranitelnost mobilních telefonů s Androidem
Americká firma Kryptowire, která se zabývá bezpečností mobilních zařízení, na bezpečnostní konferenci DEFCON zveřejnila zprávu o zranitelnostech mobilních telefonů s operačním systémem Android. Tyto chytré mobily mohou být zranitelné už v okamžiku, kdy je uživateli dodává jeho telefonní operátor, a neplatí tedy obecně přijímaný názor, že malware se do telefonu může dostat jen vinou uživatele, který si ho sám nainstaloval.
Problém je v tom, že chytré telefony se obvykle dodávají s řadou předinstalovaných a zbytečných aplikačních programů (tzv. bloatware), které obvykle nelze odinstalovat a které obsahují různé zranitelnosti; ty pak umožňují špehovat uživatele (např. poslouchat pomocí mikrofonu, sledovat obsah displeje, číst a měnit zprávy a e-maily), odesílat zprávy, vytáčet telefonní čísla, spouštět různé příkazy, provést tovární reset a znemožnit uživateli přístup k telefonu.
Firma zjistila problémy v telefonech od výrobců Alcatel, Asus, Coolpad, Doogee, Essential Phone, Leagoo, LG, MXQ, Nokia, Oppo, Orbic, Plum, Sky, Sony, Vivo a ZTE. Ohlásila je firmě Google i příslušným výrobcům; některé problémy už mají být odstraněné.
Další zranitelnost Androidu: Man-in-the-Disk
Pracovníci známé bezpečnostní firmy Check Point Research odhalili další zranitelnost operačního systému Android, která se může projevit, pokud uživatelský program nevhodně využívá externí paměti.
Aplikační programy v operačním systému Android mohou ukládat data nejen do interní paměti, kde je chrání systémový sandbox, ale i do externí paměti na paměťové kartě. Firma Google doporučuje používat pro citlivé soubory a data právě interní paměť; tímto doporučením se ale neřídí některé programy od Google (Google Text-to-Speech, Google Translate, Google Voice Typing) ani další oblíbené programy (Xiaomi Browser, Yandex Translate): data v externí paměti dosud považovaly za důvěryhodná a jejich integritu nekontrolovaly.
Pokud si uživatel do telefonu nevědomky nainstaluje trojského koně „Man in the Disk“, který umí monitorovat data přenášená mezi aplikačními programy a externí pamětí, ten může jejich data (resp. kód) v externí paměti modifikovat a tím zmanipulovat jejich výsledky, nebo tyto programy přinutit, aby havarovaly, nebo místo nich nainstalovat vlastní kód, který dokáže eskalovat uživatelská práva a získat přístup k dalším součástem systému (kamera, mikrofon, seznam kontaktů atd.).
Např. telefony Xiaomi provádí update browseru tak, že nová verze se nahraje do externí paměti, kde ji MitD může modifikovat nebo přímo nahradit vlastním malwarem.
Check Point píše, že Google už své zranitelné programy upravil; Xiaomi zatím ne.
Google sleduje vaši polohu lépe, než si asi myslíte
Pokud si přejete, aby firma Google nesledovala vaši polohu, asi se řídíte jejím doporučením a např. dáte příkaz Pause Location History
nebo Delete Location History
.
Společnost Associated Press ale zjistila, že údaje o poloze se mohou i přesto ukládat; dělají to jednotlivé aplikační programy jako např. Google Search a Google Maps. Pokud to chce uživatel zakázat, měl by vypnout funkci Web and App Activity
, která je implicitně povolena.
Podrobný návod pro počítače a telefony Android i iOS
Zranitelný je i macOS
Bezpečnostní expert Patrick Wardle ve své presentaci „The Mouse is Mightier than the Sword“ na DEFCONu odhalil, že zranitelnost CVE-2017–7150 stále umožňuje, aby trojský kůň klikl na souhlas s potenciálně nebezpečnou akcí – např. Run untrusted app?
Authorize keychain access?
Authorize outgoing network connection?
Děti se učily hackovat volební stroje
Součástí bezpečnostní konference DEFCON byl také projekt „Voting Village“, kde se 50 dětem ve věku 8 – 16 let dostalo školení o útocích SQL Injection; nově nabyté vědomosti si hned mohly vyzkoušet na replikách webů – hlasovacích strojů různých amerických států.
Celkem 46 dětem se podařilo měnit volební výsledky, jména kandidátů i názvy politických stran atd. Postižená strana namítá, že při těchto testech nebyl zohledněn fakt, že ve skutečnosti jsou hlasovací stroje chráněny lépe (útočníci k nim nemají přímý přístup).
Zranitelné jsou i osobní policejní kamery
Útočník může sledovat polohu policisty, získat přístup k souborům a modifikovat je. Může zjistit např. i to, zda se neblíží větší počet policistů.
Školák obelstil Apple
Šestnáctiletý australský středoškolák ukradl firmě Apple 90 GB dat. Jeho obhájce tvrdí, že školák je fanouškem firmy Apple a jednou by v ní rád pracoval.
Ve zkratce
Zranitelné klimatizace, topení a bojlery mohou způsobit výpadek rozvodné sítě
Kardiostimulátor je zranitelný ještě 18 měsíců po ohlášení chyby
Pro pobavení
500 Internal Server Error
Sorry, something went wrong. A team of highly trained monkeys has been dispatched to deal with this situation. If you see them, show them this information: cR2wqReb30NV9xQ3dETttUMBOS8CQzyJp7s5R7DOz26fYopDO-NKAhhDq_8t TQAJo2imDpH0O7J9s5qHhn_jqESTVhUEhzubO8auflosf1RRzOhTG1D5J1QZ kw3iAz0hGj0hjAGfM6XisPJJG67D_cGSbxVY6pF7h6uYHzCLGJD844DTerx- UxTxp5GC2ZHB9VS689OwiBFzuy1Rg6Iik1UMevf0IjC6OXcHmFq-dQmA7CLd Hihv90NaV-7a-TmdtJGOSTmPMeP_PJ_a7Suy0C4MU_wjFVkqb4UydvGtI7r8 mgNWNHM9x_N0WnTl7_ynCuaczdNQ9RRKpJMRR62pShfi7rSOciZHjm43E-NX 7CYP3-Nbo42Mq5r5qzzriCfl6pxhIBs1cNl_3Vs-NWlLQHDt0po8bI7zyDTO GKdyeGfjROrAW1zAbdHx2DbNch-_JqJPzkhtl90GkEfDyYvGerkmGkwXZ-KV NZ8_Rz0xZKFsneLqagjyhNoyYILSa3fKL4wi1487XfwXYFqakq_t8EDhS3gX qGI4pNz4j_tTyhs0PjfleJ3ubyy5PDJQx3w6De19_cUzAD0wzmOBhRU0OmZD oDcyO6pdDUDODPsQxl_LPhlxRiIPBMYB9xCrDuOZ8t_KhwJWWbwwjBhXspUx mI9flR3dLvuyITWiulc4mKtxiizPv0WrtsuztrRl2Ftbumkb7YT6IEhpatd9 O2OmQYMWquDYWixy23J97Si1AEFvcRdStXMB_zmpv9cFo4m44QdvHhWHggMr Vkl6JdlX66zHK2tb1iy_h6qUXWYrSIE9MyeWZkowMPenrYIQQMeqWG8Uh-lW 7mZH_MIfAp2eAcMJS4m5g8FJjc1Mwnh2T_oWIIg0nI3tR05GWQyQjmGnW8Nr qY-y-GDf1dvSyQXlwIrn_iB_rwRpAaAIO87v3RF-fni5OQSe_VfIZFVszcKW X2403ZDbG1JiqonWpM-nMCba6pcoBAfmdD4kUq_dnZAVqsPNcnq0mwCGDPL5 7m0iv5ejqARYxSU50w9lYWhnsFVmBs_NG-U_TsH7a7FHDaMzS0CbzMuQocWj 3igIjSa8CGBNDfZSWl3-ooE0QN_tywie6d_Qz-tIMWlseNGwB1RzX-6zW0Va cD6t4IKYCAap1dv6GjIR6vWsSFxb2sdzRQ2vvyb5fj_Sh-H6FgooKlxh5WXC M-5hu4PXQw0etCeRRUB4oteZD8NqtxAdqTGIYGgCMdEVJ1LfA8ILGdDJSJ5z 1ZCYCfTSaR58BhHfXYFwUYJsD69dIWyDYimfOKcSOIanBA810axYSNus39HP kpqSaUbTWZf843xcfL9m4p1-vAnbCXALeqo3uCsDojQIdKLHmjgXJXqohbS9 hInwx-7AK500Wht7w63eI5Vrxg1ivRFu46BSaYIPpSM2I3iNBHY-IL5T_v5P fdPuFLwRTOQAwO_cv1ImSZgVPe_pD1EpIJR-UTsPSAw47zZ0CCL3YwAXxOP2
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET.