Týden v bezpečnosti - 28. týden

(12. 7. 2013) Přinášíme vám další souhrn událostí v internetové bezpečnosti.

Android Master Key (ne)odhalen

Tento týden oběhla svět informace o údajné kompromitaci tzv. Android Master Key, což měl být hlavní podpisový klíč pro systém Android. Společnost Bluebox, původce této skandální zprávy na svém blogu tvrdí, že zranitelnost postihuje až 99 % Android zařízení s verzí systému 1.6 a vyšší.

Skutečná zranitelnost není tak skandální a žádné klíče ve skutečnosti vyzrazeny nebyly, jak tvrdí název článku oznamující nalezení zranitelnosti. Situaci uvádí na pravou míru Sophos v článku Anatomy of a security hole - Google's "Android Master Key" debacle explained. Ve skutečnosti se Blueboxu podařilo najít způsob, jak změnit podepsanou aplikaci a nenarušit její podpis. To je skutečnost, která odporuje principu podepisování aplikací; je to však možné.

Android aplikace ukládá v souborech APK, což jsou ZIP archivy se zvláštní koncovkou. V každém APK souboru je podsložka META-INF, která obsahuje otisky (haše) všech souborů v balíčku. Pokud v balíčku nahradíte jeden ze souborů, systém balíček zablokuje. Výzkumníci si však položili otázku, jestli je možné mít v archivu dva stejné soubory.
Archiv ZIP to na rozdíl od jiných formátů umožňuje, a byť tento postup není logický, podařilo se tím kontrolu obejít. Android totiž zkontroloval jen první ze souborů, který kontrolou prošel; do systému však nainstaluje poslední (duplicitní nakažený).

Problém je dle článku Google Android Master Key Vulnerability Exploit Code Circulates již vyřešen a Google začal distribuovat opravu, která zmíněný problém řeší. Článek též uvádí, že při kontrole obchodu Google Play nebyla nalezena žádná aplikace, která by chybu zneužívala.

Doporučujeme co nejrychleji provést aktualizaci systému a aplikací, neinstalovat žádné aplikace mimo Google Play a použít antivirus pro Android, například oblíbený Zoner AntiVirus Free.

Weby centrálních registrů BE a NL domény napadeny

Hackeři si pro své útoky našli neobvyklé cíle; napadli centrální registr nizozemské domény NL, a následně i registr belgické domény BE. Informaci přinesl CSIRT s odvoláním na oficiální oznámení obou registrátorů na jejich webových stránkách. Informace o útoku přináší i článek Thousands of websites defaced after Belgium and Netherland domain registrars hacked.

Útočníci na weby obou správců umístili malware. Díky SQL injection se útočníci dostali k doméně 25jaarvan.nl a následně získali dočasný přístup k systému registrace domén, který byl na stejném serveru. Systém registrací byl následně krátkodobě odstaven, krátce nebyl dostupný ani zónový soubor.

V případě útoku na správce BE domény, který byl veden jinou skupinou, došlo k napadení DNS serveru a přesměrování webu DNS.be na stránku hackerů s jejich zprávou.

Červ 'Priyanka' se šíří přes aplikaci WhatsApp

WhatsApp je populární multiplatformní aplikace, která slouží ke komunikaci uživatelů smartphonů. Mohou si vyměňovat nejen zprávy, ale i soubory. Článek 'Priyanka' yanks your WhatsApp contact chain on Android mobes upozorňuje na červ Priyanka, který se v tomto programu šíří.

Pokud používáte aplikaci na Androidu, můžete obdržet žádost o kontakt od uživatele Priyanka. Červ potom nahradí všechny jména u všech WhatsApp kontaktů slovem "Priyanka", což je indické jméno. Do běžných kontaktů telefonů však nezasahuje a nepůsobí tak velké škody. Jak uvádí zdroj, inspirací pro jméno byla zřejmě indická herečka a modelka Priyanka Chopra.

Přejeme vám krásný víkend.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pátek.