Aplikace obcházejí oprávnění systému Android

Pracovníci dvou amerických universit, IMDEA Networks Institute, International Computer Science Institute a firmy AppCensus otestovali chování 88 113 aplikací pro systém Android: chtěli zjistit, zda aplikace dokážou obejít oprávnění systému a dostat se k údajům, ke kterým jim uživatel nepovolil přístup – typicky k takovým, které mohou identifikovat osobu uživatele, jako např. identifikátor IMEI, Ethernetová adresa MAC zařízení a routeru, a geolokační údaje. Výzkumníci našli 61 aplikací, které neoprávněně odesílaly takové údaje, a dalších 12 923 takových, které obsahovaly kód umožňující získat tyto údaje.

Tyto aplikace získávaly neoprávněný přístup k datům:

• utajenými kanály: např. pokud aplikace A má právo zjistit identifikátor IMEI, může ho předat aplikaci B, která toto právo nemá – obvykle prostřednictvím sdílené paměti na paměťové kartě;
• postranními kanály: např. pokud aplikace neměla povolený přístup ke geolokačním údajům, mohla o ně požádat geolokační server prostřednictvím IP adresy telefonu nebo příslušného routeru, případně je zjistit z metadat EXIF nedávno pořízené fotografie.

Když výzkumníci analysovali tyto provinilé aplikace, našli SDK Salmonads a Baidu, které dokázaly zjistit IMEI a uložit je ve skrytém souboru na paměťové kartě pro použití dalšími aplikacemi. Unity game engine zase umí zjistit MAC adresu telefonu a 9 dalších SDK umožňuje přístup k MAC adrese routeru a k tabulce ARP; s jejich pomocí lze také získat geolokační údaje i další zajímavé informace.

Výzkumníci předali své závěry firmě Google, která jim vyplatila odměnu a slíbíla, že mnoho z těchto problémů odstraní v připravovaném Androidu Q. Uživatelé dosavadních verzí Androidu si zatím mohou přečíst výzkumnou zprávu 50 Ways to Leak Your Data: An Exploration of Apps’ Circumvention of the Android Permissions System nebo najít podrobné informace o všech 88 tisících prozkoumaných aplikací.

Nebezpečný malware „Agent Smith“

Výzkumníci firmy Check Point Research zveřejnili údaje o novém malwaru „Agent Smith“ pojmenovaném podle fiktivní postavy z filmu Matrix, který už údajně infikoval přes 25 milionů zařízení s Androidem. Pokud si uživatel obstaral z některého neoficiálního zdroje trojského koně obsahujícího tento malware, Agent Smith využije zranitelností Androidu „Janus flaw“ nebo „Man in the Disk“, infikuje všechny už nainstalované aplikace, které jsou uvedeny v jeho seznamu cílů, znovu je nainstaluje a zakáže jejich update z oficiálních zdrojů. Sám je ale může znovu infikovat novějším kódem. Uživatel tedy může své aplikace stále používat a netuší, že jsou infikované. Tato infekce se prozatím projevuje jen tím, že telefon neoprávněně zobrazuje větší počet reklam a hackerům tak vydělává peníze; v budoucnosti ale Agent Smith může začít páchat i další škody – např. exfiltrovat bankovní údaje nebo odposlouchávat komunikaci uživatele.

Proti Agentu Smithovi se lze chránit dodržováním známých bezpečnostních zásad:

• Nestahovat software z neoficiálních zdrojů
• Včas updatovat operační systém i aplikace
• Pokud má uživatel podezření, že aplikace je infikována, je třeba ji odinstalovat a z oficiálního zdroje (Google Play) ji stáhnout a znovu nainstalovat.

Nový ransomware eCh0raix/QNAPCrypt vydírá majitele NAS QNAP

Pracovníci firem Anomali a Intezer odhalili nový ransomware pojmenovaný eCh0raix (Anomali) nebo QNAPCrypt (Intezer). Zaměřuje se na síťová datová úložiště tchajwanské firmy QNAP, jež infikuje prostřednictvím brute-force útoku na službu SSH. Od svého CC serveru si vyžádá veřejný RSA klíč pro zašifrování souborů s koncovkami, které obsahuje jeho seznam, a také adresu bitcoinového účtu pro zaslání výkupného. První verze malwaru posílala každé oběti jinou bitcoinovou adresu; pracovníci Intezeru toho ale využili a činnost malwaru zablokovali. Autoři malwaru tedy vytvořili další verzi, která už využívá jediného veřejného RSA klíče a jediné bitcoinové adresy.

Je zajímavé, že tento ransomware kontroluje locale NASu; pokud zjistí, že patří Bělorusku, Rusku nebo Ukrajině, svou činnost ukončí a žádnou škodu tam nezpůsobí.

Proti tomuto ransomwaru se opět můžeme chránit pomocí známých zásad:

• Užívat dostatečně bezpečných přihlašovacích údajů
• Povolit automatický update firmwaru NASu
• Připojit NAS do místní sítě, kde nebude dostupný z Internetu
• Zálohovat data NASu v další lokalitě.

Útok na síť OpenPGP SKS key serverů a na GnuPG

Koncem června 2019 zjistili dva odborníci na OpenPGP, že někdo v síti SKS (synchronizujících key serverů) zaútočil na jejich veřejné PGP klíče tak, že k nim přidal desetitisíce dalších podpisů. Tím zneužil známé skutečnosti, že celá síť SKS serverů je kvůli obavám z censury a vkládání falešných informací navržena tak, že do ní lze informace pouze přidávat, ale nelze je mazat; původní správné informace z ní tedy nejdou odstranit. Tato výhoda se ale nyní projevuje negativně: Certifikát každého uživatele může mít podle protokolu OpenPGP až 150 tisíc podpisů, ale např. GnuPG takový počet podpisů nesnese a zadře se. Také se dá předpokládat, že podobný útok zasáhne i další uživatele PGP, kteří zveřejnili své klíče na SKS serverech.

Každý, kdo by teď chtěl s Robertem J. Hansenem nebo s Danielem Kahnem Gillmorem komunikovat s využitím jejich PGP klíčů, které by si stáhl z některého SKS serveru, tedy riskuje, že se jeho GPG instalace zakousne a přestane fungovat, možná nenávratně. Veřejný klíč R.J.H. už má 150 tisíc podpisů.

Tyto „otrávené“ certifikáty nelze ze sítě SKS serverů v současnosti nijak odstranit; k tomu by bylo třeba změnit celý jejich systém, což by bylo velmi obtížné.

Autor příspěvku R.J.H. navrhuje tato prozatímní řešení pro GnuPG:

• V souboru „gpg.conf“ zakomentovat všechny řádky začínající na „keyserver“
• Na konec souboru „dirmngr.conf“ přidat řádku „keyserver hkps://keys.openpgp.org“. Tato řádka odkazuje na nový experimentální key server, který nepatří do sítě SKS serverů a jeho funkčnost je omezená, ale je odolný proti popsanému útoku a umožní opět bez risika spouštět příkaz „gpg –refresh-keys“.

Ve zkratce

Zranitelný videokonferenční software Zoom

Zadní vrátka v knihovně Ruby ‚strong_password‘

Obrovská pokuta pro British Airways a hotely Marriott

DNS over HTTPS (DoH) vyvolaly spory; Kritici DNS over HTTPS ustoupili

Američtí starostové se zavazují, že nezaplatí, pokud jejich sítě infikuje ransomware

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…