Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

Pavel Houser , 16. leden 2014 08:00 0 komentářů
Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

První letošní várka záplat Microsoftu, Oraclu i Adobe. Zranitelnost síťových komponent. Novinky ze světa měny Bitcoin. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Analýza společnosti IO Active upozorňuje na zranitelnosti bankovních aplikací pro mobilní platformy. Testu bylo podrobeno 40 aplikací pro iOS od 60 bank (celosvětově), a to s následujícími výsledky:

  • 40 % aplikací bylo zranitelných útoky man-i-the-middle, protože chybělo ověření pravosti SSL certifikátu serveru
  • 20 % je rizikových z hlediska útoků zneužívajících porušení paměti
  • 50 % je zranitelných útoky cross-site scripting
  • 40 % uchovává v logu zbytečně citlivé informace. Bezpečnostním rizikem je podle studie také fakt, že řada bankovních aplikací nedetekuje, zda zařízení Apple bylo „odemčeno“ (jealbreaking), eventuálně to sice zjišťuje, ale umožní instalaci i na porušené zařízení. Studie se přitom zaměřila pouze na klientskou stranu aplikace.

Podle přehledu Robert Half Technology 2014 Salary Guide rostly v IT za poslední rok platy nejvíce, cca o 4 %, mj. právě v bezpečnosti (spolu s vývojem mobilních aplikací a analýzou velkých objemů dat). Čísla jsou z Británie.

Syrská elektronická armáda se asi na hodinu zmocnila účtu Microsoftu a XBoxu na Twitteru. Příčinou je pravděpodobně kompromitace počítače uživatele, který měl příslušný účet na starosti. V nedávné minulosti byl podobně útočníky krátce ovládnut účet Microsoftu na Facebooku, Skypu či firemní blog.

Bezpečnostní trendy pro tento rok dle společnosti AhnLab. Kromě věcí zmiňovaných i jinde se zde uvádí:

  • „plošný“ malware pro koncové uživatele bude zkoušet sofistikovanější triky dosud se vyskytující jen v APT kampaních
  • k distribuci malwaru se bude stále více využívat firmware
  • infrastruktura pronajímaných botnetů umožní podvodníkům distribuovat malware ještě levněji
  • přibude cílených kampaní snažících se o instalaci malwaru na mobilní zařízení vybraných osob

První letošní záplaty Microsoftu nelátají tentokrát jedinou kritickou chybu. Raritou je i velmi nízký počet samotných bulletinů zabezpečení – pouhé 4. Dva bulletiny řeší problém na úrovni jádra Windows a ovladačů, které umožňují zvýšení oprávnění, ovšem pouze místně přihlášenému uživateli.

„Jubilejní“ první letošní oprava (MS14-001) je určena pro MS Office; speciálně vytvořený dokument může při otevření vést ke spuštění kódu. Ačkoliv tento typ zranitelnosti Microsoft obvykle hodnotí jako kritický, tentokrát dostala oprava až druhý stupeň závažnosti. Poslední aktuální bulletin zabezpečení je určen pro ERP systém Microsoft Dynamics AX.

Pravidelnou dávku záplat vydal v úterý také Oracle (firma má nyní implementován čtvrtletí cyklus). Celkem je k dispozici 147 záplat pro 47 produktů. 85 zranitelností je zneužitelných vzdáleně a umožňují přístup do systému bez oprávnění. 36 oprav (prakticky všechny látají vzdáleně zneužitelné chyby) je určeno pro platformu Java 7 SE.

A Adobe vydala tentokrát dvě kritické záplaty pro Acrobat/Reader a jednu pro přehrávač Flash Player. Wolfgang Kandek ze společnosti Qualys doporučuje administrátorům IT instalovat přednostně záplaty pro Javu, pak ty od Adobe a opravy Microsoftu tentokrát klidně nechat až nakonec.

Hector Xavier „Sabu“ Monsegur nebyl jediným informátorem FBI ve skupině LulzSec. Začal spolupracovat s policií po svém zatčení v roce 2011, ve skupině byl ale zřejmě i další informátor(ři?).

Některé síťové komponenty Cisco (pouze samotná tato značka, nikoliv Linksys) obsahují kritické chyby umožňující útočníkům přístup s právy roota. Zranitelnost má souviset s nasloucháním na portu TCP 32764. Oprava zatím k dispozici není, dodavatel ji nicméně přislíbil. Byl již publikován i exploit, i když dosud nebyly zaznamenány samotné útoky. Cisco dává v systému CVSS zranitelnosti hodnotu 10 z 10, i když nejčastějším zneužitím by měly být „pouze“ útoky na dostupnost služby. O jiné nedávno objevené zranitelnosti v síťových produktech viz předcházející bezpečnostní přehled.

Malware, který se pokusil prostřednictvím reklamního systému infikovat evropské uživatele Yahoo (viz předcházející bezpečnostní přehled: http://www.itbiz.cz/clanky/bezpecnostni-prehled-rok-dvoufaktorove-autentizace-a-konec-mcafee), byl podle firmy Light Cyber mj. zaměřen na vytváření farem pro těžbu bitcoinů.

Další novinka ze světa virtuální měny: Výzkumníci z firmy Logrhythm upozorňují na celkem sofistikovaný útok s cílenými e-maily/odkazy/programy, které obětem vyprázdní bitcoinovou peněženku. Útoky podobného typu se podvodníkům většinou vyplácejí při průmyslové špionáži – tedy další důkaz toho, jak Bitcoin začíná být ekonomicky zajímavý.

Bitcoin do třetice: Spuštěna byla služba Elliptic Vault, kdy provozovatel nabízí pojištění bitocionů (nebo obdobných virtuálních měn) proti krádežím. Služba je spojena s šifrováním úložiště bitcionů a uchovávání šifrovacích klíčů v off-line režimu. Zabezpečení by nemělo uživatele nijak omezovat v provádění transakcí.

Zranitelnosti v softwaru běžně využívaného zaměstnanci patří k hlavním zdrojům interních IT bezpečnostních incidentů firem. Vyplývá to z průzkumu Kaspersky Lab a B2B International Global Corporate IT Security Risks 2013, jehož se zúčastnilo na 3 000 IT podnikových profesionálů z 24 zemí včetně ČR.

Zranitelnosti v běžných programech jsou hlavním zdrojem infekcí v podnikových počítačích a úniků kriticky důležitých dat. Zhruba 43 % českých respondentů uvedlo, že se jim to v jejich organizaci stalo za posledních 12 měsíců minimálně jednou. Česko je na tom v porovnání se světovým průměrem v průzkumu (39 %) o něco hůř.

Zdroj: tisková zpráva společnosti Kaspersky Lab

AVG nabízí novou bezplatnou aplikaci Web TuneUp. Jedná se o webový štít chránící před návštěvou škodlivých stránek; nástroj též čistí historii prohlížení a nabízí funkci Do Not Track. Zatím je k dispozici beta verze pro Firefox a Chrome. Dodavatel tvrdí, že oproti konkurenci by řešení prakticky nemělo zpomalovat běh prohlížeče.

AVG současně oznámila další novou bezplatnou aplikaci, PrivacyFix Family pro ochranu soukromí na Facebooku. Rodiče a jejich děti mohou nyní sdílet nastavení soukromí, i pokud na Facebooku nejsou přáteli.

Zdroj: tisková zpráva společnosti AVG Technologies

Siemens představil aktualizovanou verzi systému kontroly vstupu SiPass integrated 2.65. Systém nově umožňuje diferencovanou správu přístupových práv, a dovoluje tak nastavit pro držitele karet i celé pracovní skupiny velké množství různých oprávnění k přístupu i k rezervaci objektů.

Zdroj: tisková zpráva společnosti Siemens

Na trh byl uveden AirWatch Inbox, nové řešení pro správu mobilního e-mailu. Skrze nativního klienta má zajistit bezpečný přístup ke korporátnímu e-mailu pro zařízení Apple, Android a Windows. Podle dodavatele je produkt určen k nasazení do prostředí s vysokými regulačními požadavky nebo v souvislosti s implementací politiky pro BYOD. Řešení lze použít jako samostatnou aplikaci i jako součást AirWatch Workspace, kontejnerizovaného prostředí pro oddělené zobrazení firemních a soukromých dat.

Zdroj: tisková zpráva společnosti AirWatch


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více








RSS 

Zprávičky

Firmy ohrožují zranitelnosti v USB tokenech

Pavel Houser , 22. leden 2018 15:24

Útočníkům stačí pouze provést sken dané sítě a najít otevřený port 1947. Ten jim pak umožní získat v...

Více 0 komentářů

Richemont nabízí 2,8 miliardy eur za zbytek internetového prodejce YNAP

ČTK , 22. leden 2018 13:21

Nabídka ohodnocuje YNAP na 5,3 miliardy eur. Spotřebitelé si zvykli kupovat přes internet i dražší z...

Více 0 komentářů

Operátor ICT chystá vznik celopražského úložiště dat

ČTK , 22. leden 2018 12:51

Na platformu budou napojeny různé senzory, např. chytré lampy. Shromažďována budou data ze záchytnýc...

Více 0 komentářů

Starší zprávičky

Amazon otevírá obchod bez pokladen

ČTK , 22. leden 2018 08:00

Shora sledují kupující černé kamery a v policích jsou umístěné snímače hmotnosti....

Více 0 komentářů

Evropská komise: Apple dál dluží Irsku 16 miliard USD, nehledě na platby v USA

ČTK , 21. leden 2018 08:00

Firma využije novou daňovou legislativu, do USA převede ze zahraničí peníze a zaplatí pak na daních ...

Více 0 komentářů

Kampaň Dark Caracal prý vede k libanonské rozvědce

ČTK , 20. leden 2018 14:24

Spyware se tváří jako oblíbené komunikační aplikace WhatsApp a Signal pro Android a Windows....

Více 3 komentářů

Google bude sdílet patenty s čínskou firmou Tencent

ČTK , 20. leden 2018 08:00

Google loni v Číně otevřel výzkumné centrum umělé inteligence, samotný vyhledávač ale čínské úřady b...

Více 0 komentářů