Bořivojova 878/35, 130 00 Praha
+420.734 463 373

Novinky z Kybernetické bezpečnosti 19.2.2021

Cyber Security News

Společnost Apple Inc přidala do svého operačního systému bezpečnostní funkci pro boj s hackery, které se spoléhají na příchozí zprávy iMessages. iOS 14 obsahuje nový bezpečnostní systém „BlastDoor“ sandbox na iPhonech a iPadech, který má zabránit útokům prováděným pomocí aplikace iMessages.

Společnost Apple nesdílela informace o novém bezpečnostním prvku, ale Samuel Groß, bezpečnostní výzkumník v rámci projektu Google Zero o něm promluvil, a zmínil jej i ZDNet.

Groß popisuje BlastDoor jako pevně izolovanou službu „sandbox“, která je zodpovědná za analýzu všech nedůvěryhodných dat v iMessages. Sandbox je služba zabezpečení, která provádí kód odděleně od operačního systému, a tato nyní funguje v aplikaci Zprávy. BlastDoor se podívá na všechny příchozí zprávy a kontroluje jejich obsah v zabezpečeném prostředí, které zabraňuje jakémukoli škodlivému kódu uvnitř zprávy v interakci s iOS nebo v přístupu k datům uživatelů.

Tato funkce byla navržena tak, aby zmařila konkrétní typy útoků, například ty, kde hackeři používali pro přístup do sdílené mezi-paměti nebo brute force útoky. Jak ZDNet zdůrazňuje, bezpečnostní experti v posledních několika letech nacházeli chyby, které mohli vést k vzdálenému spuštění kódu pomocí iMessage, mohlo tak dojít k infiltraci iPhonu pouze textem, BlastDoor by měl teď podobné útoky řešit. Groß našel novou funkci ‌v iOS 14‌ poté, co zkoumal hackerskou kampaň Messages zaměřenou na novináře Al Jazeera. Útok nefungoval v ‌iOS 14 začal tedy vyšetřovat proč tomu tak je a výsledkem bylo objevení BlastDoor. Podle Großa jsou změny které Apple BlastDoor do systému přináší „blízko tomu nejlepšímu, co bylo možné udělat vzhledem k potřebě zpětné kompatibility“, a výrazně zvýší bezpečnost platformy iMessage.

Pokud Vás fungování BlastDoor zajímá přečtěte si blogový příspěvek Project Zero na toto téma.

 

Bug bounty lovec tvrdí, že nahlásil zranitelnosti uloženého skriptování mezi weby (XSS) na webu iCloud.com a Apple mu za odhalení této chyby měl vyplatit odměnu ve výši 5000 USD. Vishal Bharad, výzkumník a penetrační tester z Indie, zveřejnil na začátku tohoto týdne blogový příspěvek popisující jeho zjištění. Bharad uvedl, že se na webu icloud.com společnosti Apple pokusil najít předávání požadavků napříč weby (CSRF), nezabezpečené přímé odkazy na objekty (IDOR), logické chyby a další typy problémů, nakonec odhalil uloženou chybu XSS.

Bharad uvedl, že o svých zjištěních informoval společnost Apple v srpnu 2020 a v říjnu ho technický gigant informoval, že bezpečnostní díra mu vynesla 5 000 dolarů.

Výzkumník zveřejnil příspěvek na blogu, který podrobně popisuje jeho zjištění, a také video ukazující, jak útok fungoval.

 

Uživatelé Android verze aplikace pro sdílení souborů s názvem ShareIt jsou varováni před zranitelnostmi, které by mohly umožnit únik jejich dat útočníkovi nebo převzetí kontroly nad jejich mobilním zařízením. Varování pochází od dodavatele zabezpečení Trend Micro, který učinil koncepční útok k prokázání zranitelností. Společnost na tento problém před třemi měsíci upozornila vývojáře aplikace, společnost s názvem Smart Media 4U Technology, ale nedostali doposud žádnou odpověď. Výsledkem zedy je, že společnost Trend Micro nyní zveřejňuje svá zjištění. Web ShareIt v obchodě Google Play uvádí, že aplikace byla stažena milionkrát.

 

Hackeři pokračují v hledání nových způsobů krádeže dat platebních karet ze obchodních platebních terminálů. Bezpečnostní reportér Brian Krebs tento týden ohlásil novinku: Zařízení s technologií Bluetooth, které podvodníci připevňují na terminály platebních karet, aby ukradli data z kreditních a debetních karet. Lidé platící za zboží svými kartami nemají šanci zjistit, že s platebním terminálem bylo manipulováno. Cílem útočníků je zkopírovat PINy zákazníků a také údaje na magnetickém pruhu na zadní straně karty. Díky získaným údajům mohou podvodníci pak jednoduše naklonovat kartu. Je již dlouho známo, že magnetický proužek je velice zranitelný a údaje o platební kartě mohou být snadno zcizena hackery, proto jsou moderní karty vybaveny jak kontaktním, tak bezkontaktním čipem. Nicméně toto nové skimovací zařízení znemožní terminálu přečtení čipů a donutí tak klienta k tomu, aby použil pro platbu právě magnetický proužek na zadní straně karty.

Tento objev je tedy varováním: Pokud vám čtečka karet v obchodě z nějakého důvodu odmítne bezkontaktní platbu nebo nebude číst čip, pokud jej vložíte do spodní části čtečky, nepřetahujte kartu. Buď zaplaťte v hotovosti, nebo řeknete, že si produkt nekoupíte. Je zde totiž velká šance že je tato čtečka kompromitována.

 

Podobné příspěvky

Přidej komentář