Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

Pavel Houser , 16. leden 2014 08:00 0 komentářů
Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

První letošní várka záplat Microsoftu, Oraclu i Adobe. Zranitelnost síťových komponent. Novinky ze světa měny Bitcoin. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Analýza společnosti IO Active upozorňuje na zranitelnosti bankovních aplikací pro mobilní platformy. Testu bylo podrobeno 40 aplikací pro iOS od 60 bank (celosvětově), a to s následujícími výsledky:

  • 40 % aplikací bylo zranitelných útoky man-i-the-middle, protože chybělo ověření pravosti SSL certifikátu serveru
  • 20 % je rizikových z hlediska útoků zneužívajících porušení paměti
  • 50 % je zranitelných útoky cross-site scripting
  • 40 % uchovává v logu zbytečně citlivé informace. Bezpečnostním rizikem je podle studie také fakt, že řada bankovních aplikací nedetekuje, zda zařízení Apple bylo „odemčeno“ (jealbreaking), eventuálně to sice zjišťuje, ale umožní instalaci i na porušené zařízení. Studie se přitom zaměřila pouze na klientskou stranu aplikace.

Podle přehledu Robert Half Technology 2014 Salary Guide rostly v IT za poslední rok platy nejvíce, cca o 4 %, mj. právě v bezpečnosti (spolu s vývojem mobilních aplikací a analýzou velkých objemů dat). Čísla jsou z Británie.

Syrská elektronická armáda se asi na hodinu zmocnila účtu Microsoftu a XBoxu na Twitteru. Příčinou je pravděpodobně kompromitace počítače uživatele, který měl příslušný účet na starosti. V nedávné minulosti byl podobně útočníky krátce ovládnut účet Microsoftu na Facebooku, Skypu či firemní blog.

Bezpečnostní trendy pro tento rok dle společnosti AhnLab. Kromě věcí zmiňovaných i jinde se zde uvádí:

  • „plošný“ malware pro koncové uživatele bude zkoušet sofistikovanější triky dosud se vyskytující jen v APT kampaních
  • k distribuci malwaru se bude stále více využívat firmware
  • infrastruktura pronajímaných botnetů umožní podvodníkům distribuovat malware ještě levněji
  • přibude cílených kampaní snažících se o instalaci malwaru na mobilní zařízení vybraných osob

První letošní záplaty Microsoftu nelátají tentokrát jedinou kritickou chybu. Raritou je i velmi nízký počet samotných bulletinů zabezpečení – pouhé 4. Dva bulletiny řeší problém na úrovni jádra Windows a ovladačů, které umožňují zvýšení oprávnění, ovšem pouze místně přihlášenému uživateli.

„Jubilejní“ první letošní oprava (MS14-001) je určena pro MS Office; speciálně vytvořený dokument může při otevření vést ke spuštění kódu. Ačkoliv tento typ zranitelnosti Microsoft obvykle hodnotí jako kritický, tentokrát dostala oprava až druhý stupeň závažnosti. Poslední aktuální bulletin zabezpečení je určen pro ERP systém Microsoft Dynamics AX.

Pravidelnou dávku záplat vydal v úterý také Oracle (firma má nyní implementován čtvrtletí cyklus). Celkem je k dispozici 147 záplat pro 47 produktů. 85 zranitelností je zneužitelných vzdáleně a umožňují přístup do systému bez oprávnění. 36 oprav (prakticky všechny látají vzdáleně zneužitelné chyby) je určeno pro platformu Java 7 SE.

A Adobe vydala tentokrát dvě kritické záplaty pro Acrobat/Reader a jednu pro přehrávač Flash Player. Wolfgang Kandek ze společnosti Qualys doporučuje administrátorům IT instalovat přednostně záplaty pro Javu, pak ty od Adobe a opravy Microsoftu tentokrát klidně nechat až nakonec.

Hector Xavier „Sabu“ Monsegur nebyl jediným informátorem FBI ve skupině LulzSec. Začal spolupracovat s policií po svém zatčení v roce 2011, ve skupině byl ale zřejmě i další informátor(ři?).

Některé síťové komponenty Cisco (pouze samotná tato značka, nikoliv Linksys) obsahují kritické chyby umožňující útočníkům přístup s právy roota. Zranitelnost má souviset s nasloucháním na portu TCP 32764. Oprava zatím k dispozici není, dodavatel ji nicméně přislíbil. Byl již publikován i exploit, i když dosud nebyly zaznamenány samotné útoky. Cisco dává v systému CVSS zranitelnosti hodnotu 10 z 10, i když nejčastějším zneužitím by měly být „pouze“ útoky na dostupnost služby. O jiné nedávno objevené zranitelnosti v síťových produktech viz předcházející bezpečnostní přehled.

Malware, který se pokusil prostřednictvím reklamního systému infikovat evropské uživatele Yahoo (viz předcházející bezpečnostní přehled: http://www.itbiz.cz/clanky/bezpecnostni-prehled-rok-dvoufaktorove-autentizace-a-konec-mcafee), byl podle firmy Light Cyber mj. zaměřen na vytváření farem pro těžbu bitcoinů.

Další novinka ze světa virtuální měny: Výzkumníci z firmy Logrhythm upozorňují na celkem sofistikovaný útok s cílenými e-maily/odkazy/programy, které obětem vyprázdní bitcoinovou peněženku. Útoky podobného typu se podvodníkům většinou vyplácejí při průmyslové špionáži – tedy další důkaz toho, jak Bitcoin začíná být ekonomicky zajímavý.

Bitcoin do třetice: Spuštěna byla služba Elliptic Vault, kdy provozovatel nabízí pojištění bitocionů (nebo obdobných virtuálních měn) proti krádežím. Služba je spojena s šifrováním úložiště bitcionů a uchovávání šifrovacích klíčů v off-line režimu. Zabezpečení by nemělo uživatele nijak omezovat v provádění transakcí.

Zranitelnosti v softwaru běžně využívaného zaměstnanci patří k hlavním zdrojům interních IT bezpečnostních incidentů firem. Vyplývá to z průzkumu Kaspersky Lab a B2B International Global Corporate IT Security Risks 2013, jehož se zúčastnilo na 3 000 IT podnikových profesionálů z 24 zemí včetně ČR.

Zranitelnosti v běžných programech jsou hlavním zdrojem infekcí v podnikových počítačích a úniků kriticky důležitých dat. Zhruba 43 % českých respondentů uvedlo, že se jim to v jejich organizaci stalo za posledních 12 měsíců minimálně jednou. Česko je na tom v porovnání se světovým průměrem v průzkumu (39 %) o něco hůř.

Zdroj: tisková zpráva společnosti Kaspersky Lab

AVG nabízí novou bezplatnou aplikaci Web TuneUp. Jedná se o webový štít chránící před návštěvou škodlivých stránek; nástroj též čistí historii prohlížení a nabízí funkci Do Not Track. Zatím je k dispozici beta verze pro Firefox a Chrome. Dodavatel tvrdí, že oproti konkurenci by řešení prakticky nemělo zpomalovat běh prohlížeče.

AVG současně oznámila další novou bezplatnou aplikaci, PrivacyFix Family pro ochranu soukromí na Facebooku. Rodiče a jejich děti mohou nyní sdílet nastavení soukromí, i pokud na Facebooku nejsou přáteli.

Zdroj: tisková zpráva společnosti AVG Technologies

Siemens představil aktualizovanou verzi systému kontroly vstupu SiPass integrated 2.65. Systém nově umožňuje diferencovanou správu přístupových práv, a dovoluje tak nastavit pro držitele karet i celé pracovní skupiny velké množství různých oprávnění k přístupu i k rezervaci objektů.

Zdroj: tisková zpráva společnosti Siemens

Na trh byl uveden AirWatch Inbox, nové řešení pro správu mobilního e-mailu. Skrze nativního klienta má zajistit bezpečný přístup ke korporátnímu e-mailu pro zařízení Apple, Android a Windows. Podle dodavatele je produkt určen k nasazení do prostředí s vysokými regulačními požadavky nebo v souvislosti s implementací politiky pro BYOD. Řešení lze použít jako samostatnou aplikaci i jako součást AirWatch Workspace, kontejnerizovaného prostředí pro oddělené zobrazení firemních a soukromých dat.

Zdroj: tisková zpráva společnosti AirWatch


Komentáře

RSS 

Komentujeme

Skutečně software pohltí svět?

Pavel Houser , 22. duben 2017 14:00
Pavel Houser

Výrok, podle něhož má software pojídat svět, jako první použil (zřejmě) Marc Andreessen v roce 2011 ...

Více





RSS 

Zprávičky

O digitální transformaci usiluje více než polovina českých podniků

Pavel Houser , 27. duben 2017 18:39

Spojení IoT a AI: Zařízení internetu věcí generují velké objemy dat, které mají bez rychlého zpracov...

Více 0 komentářů

Twitter snížil čtvrtletní ztrátu na 61,6 milionu dolarů

ČTK , 27. duben 2017 15:30

Čtvrtletní ztráta americké internetové společnosti Twitter se meziročně snížila na 61,6 milionu dola...

Více 0 komentářů

Vláda indického Kašmíru zakázala na měsíc sociální sítě

ČTK , 27. duben 2017 13:00

Vláda indického státu Džammú a Kašmír nařídila nejméně na měsíc blokádu sociálních sítí na kašmírské...

Více 0 komentářů

Starší zprávičky

FlashStation pro analýzu velkých objemů dat

Pavel Houser , 27. duben 2017 11:54

Synology představuje zařízení FlashStation FS2017 Podle dodavatele jde o server NAS typu all-flash ...

Více 0 komentářů

Čtvrtletní zisk Samsungu stoupl téměř o polovinu, LG rostla ještě víc

ČTK , 27. duben 2017 10:00

Ve druhém čtvrtletí by měl výsledky dále podpořit nový Galaxy 8....

Více 0 komentářů

Kamery pro systémy SCADA

Pavel Houser , 27. duben 2017 09:00

Axis uvádí na trh kamery chráněné proti výbuchu pro rychlé zvládání nehod a efektivní běh kriticky n...

Více 0 komentářů

Praha pořídí navigaci pro návštěvníky Škodova paláce

ČTK , 26. duben 2017 15:30

Praha pořídí navigaci pro návštěvníky Škodova paláce. Na internetových stránkách karty MHD lítačka z...

Více 0 komentářů