Bezpečnostní přehled: Jak hacknout chytré brýle Google Glass

Pavel Houser , 09. květen 2013 08:00 0 komentářů
Bezpečnostní přehled: Jak hacknout chytré brýle Google Glass

Práce se soubory bez jejich dešifrování. Exploity Javy, zero day zranitelnost Internet Exploreru. Víceúrovňové metody útoku, RIM/BlackBerry má možná ještě šanci – právě kvůli zabezpečení. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Apple přestal podporovat své první iPhony. Nejstarší modely, které odstartovaly vzestup Applu až na pozici v jeden okamžik nejhodnotnější firmy světa, byly uvedeny v polovině roku 2007. Nebudou už vydávány ani bezpečnostní záplaty.

The Register v této souvislosti poznamenává, že iPhone přestal být podporován po 6 letech od uvedení, naopak podpora Windows XP skončí až po 13 letech.

Jay „saurik“ Freeman, hacker specializující se na systém Android, tvrdí, že se mu podařilo hacknout prototyp chytrých brýlí Google Glass (Glass Explorer Edition). K tomu, aby útočník mohl sledovat uživatele brýlí, potřebuje mít fyzický přístup k zařízení. Pak lze spustit režim ladění a v něm pomocí exploitu získat rootovská práva. Pak může špion mít přístup k veškerým datům z kamery a mikrofonu – to v praxi může znamenat hesla, PINy nebo třeba i kódy k otvírání dveří.

Freeman přišel na tento postup v rámci testování, k němuž vyzval Google vývojáře. Do výroby půjde až verze, v níž tento konkrétní problém bude téměř jistě opraven. Příslušná chyba je podle Freemana ale známa již asi 8 měsíců a ohrožuje i další zařízení, která používají Android verze 4.0 (Ice Cream Sandwich) – nicméně u tabletu nebo smartphonu může uživatel zařízení zamknout, Google Glass však tuto funkci nepodporují. Freeman doporučuje Googlu to změnit, eventuálně dodat biometrické rozpoznávání uživatele (hlas, nebo u brýlí se logicky hodí oko).

Výzkumníci IBM vydali v rámci Githubu projekt Helib. Má jít o knihovnu pro šifrování souborů uložených v cloudu. Cílem je zajistit, aby pro práci se souborem jej nikdy nebylo třeba dešifrovat celý, oprávněný uživatel by měl k dispozici vždy pouze malou část dat pro čtení/zápis. Craig Gentry z IBM přišel s první verzí takového mechanismu už v roce 2009, tehdy však metoda prý nefungovala dostatečně efektivně. (Poznámka: Pro jaký typ souborů se toto hodí, a pro jaký naopak ne?)

IBM rovněž upozorňuje, že zaznamenala nový typ útoků, při němž podvodníci rozesílají e-mail ve formátu HTML, kde do kódu je vložen odkaz na škodlivý javový applet. K plnému ovládnutí počítače prý stačí, aby si uživatel e-mail přečetl, na vině je totiž chyba v sandboxu izolující Javu od zbytku systému. Speciálně ohroženi mají být uživatelé Lotus Notes, kde může mít řada uživatelů nastaven INI soubor tak, že povoluje Javu i JavaScript. Jinak by e-mailové klienty ve svém výchozí nastavení toto umožňovat neměly. Nadějí může být také to, že klient a/nebo filtr by asi pro jistotu měl zahodit e-mail s kódem HTML, který volá soubor JAR.

Amit Klein, CTO společnosti Trusteer, upozorňuje na javový exploit g01pack. Podle něj se jedná o novou a sofistikovanou metodu, kdy je nejprve spuštěn sám o sobě neškodný proces v Javě, který teprve spustí další proces opět v Javě a ten teprve stáhne a nainstaluje samotný škodlivý kód. Tento víceúrovňový způsob útoku prý malwaru dává lepší šanci uniknout detekci; Klein tvrdí, že útok z testovaných bezpečnostních nástrojů rozpozná jen minimum. Exploit míří proti zranitelnosti z loňského roku (2012-1.723), kterou Oracle již dávno opravil, značná část uživatelů má ale na počítači neaktualizované verze Javy. Popsaným postupem se šíří např. známý bankovní trojský kůň Zeus.

Americká vláda prohlásila, že smartphone Blackberry (jak samotné zařízení, tak i software Enterprise Service 10) uspěl v bezpečnostním testu a může být používán i tam, kde se vyžaduje zvláštní režim (armáda apod.). RIM tak může z amerického vládního sektoru získat velké zakázky a certifikátem lze samozřejmě operovat i ve vztahu k dalším potenciálním zákazníkům.

Microsoft potvrdil zero day zranitelnost (CVE-2013-1347) v Internet Exploreru 8; samotná chyba má spočívat v tom, jak prohlížeč pracuje ve své paměti s odstraněnými objekty CGenericElement. Výsledkem může být porušení paměti a vzdálené spuštění kódu. Na již probíhající útoky upozornily jako první zřejmě společnosti AlienVault a Invincea. Mimochodem, MSIE 8, poslední verze dostupná i pro Windows XP, má být podle statistik W3counter.com stále druhou nejpoužívanější verzí Internet Exploreru.

Axis Communications oznámil uvedení nových modelů fixních kopulových kamer M3024-LVE a M3025-VE. Tyto IP kamery podle dodavatele nabízejí snadnou instalaci ve venkovním i vnitřním prostředí, HDTV rozlišení, denní i noční provoz a odolnost vůči vandalismu. Kamery jsou určeny pro instalace uvnitř nebo vně vchodů do hotelů, butiků, restaurací, kanceláří nebo škol.

Zdroj: tisková zpráva společnosti Axis

Společnost Avast Software oznámila, že získala secure.me, firmu nabízející ochranu soukromí na sociálních sítích, která pomáhá uživatelům držet citlivé informace v bezpečí a zaměřuje se na ochranu dat před aplikacemi, které mohou být nebezpečné nebo shromažďují data uživatelů. Díky akvizici secure.me získává Avast nové klíčové technologie také v oblasti pokročilé kontroly obsahu a zabezpečení aplikací na mobilních zařízeních. Avast se také stává významným hráčem v oblasti zabezpečení sociálních médií prostřednictvím facebookové aplikace secure.me. V produktech Avast budou nové technologie dostupné koncem letošního roku. Finanční podmínky transakce nebyly oznámeny.

Zdroj: tisková zpráva společnosti Avast

Podle lokálního průzkumu společnosti GFI Software Česká republika a Slovensko až 87 % českých podnikových zákazníků GFI mívá problémy v důsledku nesprávně prováděných softwarových aktualizací. Většina podniků má sice dobře ošetřené aktualizace systémů Windows a aplikací Microsoftu (87 % podniků používá Windows Update, 78 % Windows Server Update Services), ale nevěnuje dostatečnou pozornost aktualizacím softwaru třetích stran, jako je Adobe, Google či Mozilla, na které se zaměřuje stále více útočníků. V loňském roce se přitom 86 % všech reportovaných zranitelností týkalo aplikací třetích stran (10 % OS, 4 % samotný hardware).

Zdroj: tisková zpráva společnosti GFI

Společnost NetGear představila přepínače ProSafe Intelligent Edge M4100. V oblasti bezpečnosti podle dodavatele nabízejí pokročilé zabezpečení proxy ARP a privátních VLAN. Podporují řízení či izolaci přístupů k síti, vynucení stromové topologie (Spanning Tree topology enforcement) a nabízejí i ochranu proti útokům na dostupnost služby.

Zdroj: tisková zpráva společnosti Netgear

Podle statistik Eset Live Grid je nejrozšířenější hrozbou celosvětově stále INF/Autorun. Na dalších místech žebříčku se umístily hrozby HTML/ScrInject a Win32/Sality B. V ČR je situace naprosto odlišná. INF/Autorun se vůbec nevešel do první desítky a všem hrozbám vládne HTML/Fraud s vysokým podílem 20,24 %. Do světové TOP 10 se v dubnu dostaly i hrozby nové, které v minulých měsících nebyly zdaleka tak rozšířené. Jedná se především o WIN32/Bundpil, červa šířícího se pomocí přenosných médií, a malware HTML/Phishing.LinkedIn.A, jenž přesměrovává prohlížeč na specifickou URL adresu, která se pokouší o útok drive-by download.

Zdroj: tisková zpráva společnosti Eset

Firma LANDesk Software oznámila akvizici produktové řady řešení pro správu IT VMware Protect, kterou společnost VMware získala spolu s firmou Shavlik Technologies v roce 2011.

Zdroj: Tisková zpráva společnosti LANDesk Software


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd

RSS 

Zprávičky

Rozhodnutí ÚS o odložení EET může vést k žalobám na stát

ČTK , 16. prosinec 2017 09:00

Tisíce a možná desítky tisíc podnikatelů a zástupců různých profesí se na třetí a čtvrtou vlnu EET u...

Více 1 komentářů

E-shopy vyjmutí plateb kartou z EET vítají, přišlo prý ale pozdě

ČTK , 16. prosinec 2017 08:00

Podle ministerstva financí ze zrušení povinnosti evidovat platby kartou pro poplatníky nevyplývá nut...

Více 0 komentářů

Nové Embarcadero RAD Studio obsahuje i licenci pro aplikační server

Pavel Houser , 15. prosinec 2017 10:00

Vývojové prostředí nabízí i nové prvky knihovny vizuálních komponent a nové možnosti grafického uživ...

Více 0 komentářů

Starší zprávičky

Botnet Necurs se vrátil a šíří nový ransomware

Pavel Houser , 15. prosinec 2017 09:00

V listopadu došlo k oživení botnetu Necurs v souvislosti s distribucí nového ransomwaru Scarab. ...

Více 0 komentářů

Jižní Korea zvažuje, že zdaní obchody s bitcoinem

ČTK , 15. prosinec 2017 08:00

Vláda se obává dopadů, které s sebou může přinést náhlý cenový propad kryptoměn....

Více 0 komentářů

O2 v dalších dvou letech vykoupí až 1,25 % vlastních akcií

ČTK , 14. prosinec 2017 10:00

Cílem nového programu je optimalizace kapitálové struktury, uvedla firma....

Více 0 komentářů

10 spotřebitelských trendů pro rok 2018

Pavel Houser , 14. prosinec 2017 09:00

Sluchátka budeme nosit 24 hodin denně, i během spánku. Umělá inteligence bude vytvářet reklamy. Koli...

Více 0 komentářů