• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

Pavel Houser
16. 1. 2014
| Články

První letošní várka záplat Microsoftu, Oraclu i Adobe. Zranitelnost síťových komponent. Novinky ze světa měny Bitcoin. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.
Analýza společnosti IO Active upozorňuje na zranitelnosti bankovních aplikací pro mobilní platformy. Testu bylo podrobeno 40 aplikací pro iOS od 60 bank (celosvětově), a to s následujícími výsledky:

  • 40 % aplikací bylo zranitelných útoky man-i-the-middle, protože chybělo ověření pravosti SSL certifikátu serveru
  • 20 % je rizikových z hlediska útoků zneužívajících porušení paměti
  • 50 % je zranitelných útoky cross-site scripting
  • 40 % uchovává v logu zbytečně citlivé informace.
    Bezpečnostním rizikem je podle studie také fakt, že řada bankovních aplikací nedetekuje, zda zařízení Apple bylo „odemčeno“ (jealbreaking), eventuálně to sice zjišťuje, ale umožní instalaci i na porušené zařízení. Studie se přitom zaměřila pouze na klientskou stranu aplikace.

Podle přehledu Robert Half Technology 2014 Salary Guide rostly v IT za poslední rok platy nejvíce, cca o 4 %, mj. právě v bezpečnosti (spolu s vývojem mobilních aplikací a analýzou velkých objemů dat). Čísla jsou z Británie.

Syrská elektronická armáda se asi na hodinu zmocnila účtu Microsoftu a XBoxu na Twitteru. Příčinou je pravděpodobně kompromitace počítače uživatele, který měl příslušný účet na starosti. V nedávné minulosti byl podobně útočníky krátce ovládnut účet Microsoftu na Facebooku, Skypu či firemní blog.

Bezpečnostní trendy pro tento rok dle společnosti AhnLab. Kromě věcí zmiňovaných i jinde se zde uvádí:

  • „plošný“ malware pro koncové uživatele bude zkoušet sofistikovanější triky dosud se vyskytující jen v APT kampaních
  • k distribuci malwaru se bude stále více využívat firmware
  • infrastruktura pronajímaných botnetů umožní podvodníkům distribuovat malware ještě levněji
  • přibude cílených kampaní snažících se o instalaci malwaru na mobilní zařízení vybraných osob

První letošní záplaty Microsoftu nelátají tentokrát jedinou kritickou chybu. Raritou je i velmi nízký počet samotných bulletinů zabezpečení – pouhé 4. Dva bulletiny řeší problém na úrovni jádra Windows a ovladačů, které umožňují zvýšení oprávnění, ovšem pouze místně přihlášenému uživateli.

„Jubilejní“ první letošní oprava (MS14-001) je určena pro MS Office; speciálně vytvořený dokument může při otevření vést ke spuštění kódu. Ačkoliv tento typ zranitelnosti Microsoft obvykle hodnotí jako kritický, tentokrát dostala oprava až druhý stupeň závažnosti. Poslední aktuální bulletin zabezpečení je určen pro ERP systém Microsoft Dynamics AX.

Pravidelnou dávku záplat vydal v úterý také Oracle (firma má nyní implementován čtvrtletí cyklus). Celkem je k dispozici 147 záplat pro 47 produktů. 85 zranitelností je zneužitelných vzdáleně a umožňují přístup do systému bez oprávnění. 36 oprav (prakticky všechny látají vzdáleně zneužitelné chyby) je určeno pro platformu Java 7 SE.

A Adobe vydala tentokrát dvě kritické záplaty pro Acrobat/Reader a jednu pro přehrávač Flash Player. Wolfgang Kandek ze společnosti Qualys doporučuje administrátorům IT instalovat přednostně záplaty pro Javu, pak ty od Adobe a opravy Microsoftu tentokrát klidně nechat až nakonec.

Hector Xavier „Sabu“ Monsegur nebyl jediným informátorem FBI ve skupině LulzSec. Začal spolupracovat s policií po svém zatčení v roce 2011, ve skupině byl ale zřejmě i další informátor(ři?).

Některé síťové komponenty Cisco (pouze samotná tato značka, nikoliv Linksys) obsahují kritické chyby umožňující útočníkům přístup s právy roota. Zranitelnost má souviset s nasloucháním na portu TCP 32764. Oprava zatím k dispozici není, dodavatel ji nicméně přislíbil. Byl již publikován i exploit, i když dosud nebyly zaznamenány samotné útoky. Cisco dává v systému CVSS zranitelnosti hodnotu 10 z 10, i když nejčastějším zneužitím by měly být „pouze“ útoky na dostupnost služby.
O jiné nedávno objevené zranitelnosti v síťových produktech viz předcházející bezpečnostní přehled.

Malware, který se pokusil prostřednictvím reklamního systému infikovat evropské uživatele Yahoo (viz předcházející bezpečnostní přehled: http://www.itbiz.cz/clanky/bezpecnostni-prehled-rok-dvoufaktorove-autentizace-a-konec-mcafee), byl podle firmy Light Cyber mj. zaměřen na vytváření farem pro těžbu bitcoinů.

Další novinka ze světa virtuální měny: Výzkumníci z firmy Logrhythm upozorňují na celkem sofistikovaný útok s cílenými e-maily/odkazy/programy, které obětem vyprázdní bitcoinovou peněženku. Útoky podobného typu se podvodníkům většinou vyplácejí při průmyslové špionáži – tedy další důkaz toho, jak Bitcoin začíná být ekonomicky zajímavý.

Bitcoin do třetice: Spuštěna byla služba Elliptic Vault, kdy provozovatel nabízí pojištění bitocionů (nebo obdobných virtuálních měn) proti krádežím. Služba je spojena s šifrováním úložiště bitcionů a uchovávání šifrovacích klíčů v off-line režimu. Zabezpečení by nemělo uživatele nijak omezovat v provádění transakcí.

Zranitelnosti v softwaru běžně využívaného zaměstnanci patří k hlavním zdrojům interních IT bezpečnostních incidentů firem. Vyplývá to z průzkumu Kaspersky Lab a B2B International Global Corporate IT Security Risks 2013, jehož se zúčastnilo na 3 000 IT podnikových profesionálů z 24 zemí včetně ČR.

Zranitelnosti v běžných programech jsou hlavním zdrojem infekcí v podnikových počítačích a úniků kriticky důležitých dat. Zhruba 43 % českých respondentů uvedlo, že se jim to v jejich organizaci stalo za posledních 12 měsíců minimálně jednou. Česko je na tom v porovnání se světovým průměrem v průzkumu (39 %) o něco hůř.

Zdroj: tisková zpráva společnosti Kaspersky Lab

AVG nabízí novou bezplatnou aplikaci Web TuneUp. Jedná se o webový štít chránící před návštěvou škodlivých stránek; nástroj též čistí historii prohlížení a nabízí funkci Do Not Track. Zatím je k dispozici beta verze pro Firefox a Chrome. Dodavatel tvrdí, že oproti konkurenci by řešení prakticky nemělo zpomalovat běh prohlížeče.

AVG současně oznámila další novou bezplatnou aplikaci, PrivacyFix Family pro ochranu soukromí na Facebooku. Rodiče a jejich děti mohou nyní sdílet nastavení soukromí, i pokud na Facebooku nejsou přáteli.

Zdroj: tisková zpráva společnosti AVG Technologies

Siemens představil aktualizovanou verzi systému kontroly vstupu SiPass integrated 2.65. Systém nově umožňuje diferencovanou správu přístupových práv, a dovoluje tak nastavit pro držitele karet i celé pracovní skupiny velké množství různých oprávnění k přístupu i k rezervaci objektů.

Zdroj: tisková zpráva společnosti Siemens

Na trh byl uveden AirWatch Inbox, nové řešení pro správu mobilního e-mailu. Skrze nativního klienta má zajistit bezpečný přístup ke korporátnímu e-mailu pro zařízení Apple, Android a Windows. Podle dodavatele je produkt určen k nasazení do prostředí s vysokými regulačními požadavky nebo v souvislosti s implementací politiky pro BYOD. Řešení lze použít jako samostatnou aplikaci i jako součást AirWatch Workspace, kontejnerizovaného prostředí pro oddělené zobrazení firemních a soukromých dat.

Zdroj: tisková zpráva společnosti AirWatch

Rubriky: ByznysInternetSecurityTelekomunikace

Související příspěvky

Články

Digitalizace zrychlila s koronavirem raketově

19. 1. 2021
Zprávičky

České i světové organizace čelí nejčastěji útokům malwaru Emotet

18. 1. 2021
Články

Výdaje na umělou inteligenci se zdvojnásobí už za necelé 4 roky

18. 1. 2021
Ripple 20 představuje nebezpečí pro stovky tisíc zařízení
Zprávičky

EMA: Hackeři zveřejnili ukradené e-maily o vakcíně, pozměnili je

17. 1. 2021

Zprávičky

Dědic Samsungu I Če-jong dostal dva a půl roku vězení za korupci

ČTK
18. 1. 2021

Rozhodnutí vrchního soudu bude mít značný dopad na vedení technologického giganta. Na dva a

České i světové organizace čelí nejčastěji útokům malwaru Emotet

Pavel Houser
18. 1. 2021

Emotet začal jako bankovní trojan, nyní funguje univerzálněji. Následují škodlivé kódy Trickbot a FormBook.

Ripple 20 představuje nebezpečí pro stovky tisíc zařízení

EMA: Hackeři zveřejnili ukradené e-maily o vakcíně, pozměnili je

ČTK
17. 1. 2021

Při kybernetickém útoku na Evropskou agenturu pro léčivé přípravky (EMA) se pachatelům podařilo získat

Operátoři o ověřovacích SMS k očkování podle asociace nevěděli

ČTK
15. 1. 2021

Operátoři se dozvěděli o požadavku státu na SMS ověření při registraci k očkování proti

USA umístily Xiaomi na černou listinu, akcie firmy prudce klesly

ČTK
15. 1. 2021

Administrativa amerického prezidenta Donalda Trumpa umístila na černou listinu podniků spojených s ozbrojenými silami

Wikipedia je po 20 letech existence jedním z nejpopulárnějších webů

ČTK
15. 1. 2021

Původně měla Wikipedia jen podporovat jiný projekt nazvaný Nupedia - tradičněji pojatou encyklopedii. Vybraná

Zákony informatiky: Když Brooksův zákon neplatí

Nový nejvýkonnější český superpočítač se bude jmenovat Karolina

Pavel Houser
14. 1. 2021

Karolina bude dosahovat špičkového výkonu 15,2 PFlop/s. V posledním čtvrtletí minulého roku proběhla soutěž

Výrobce čipů TSMC má za sebou nejlepší kvartál v historii

ČTK
14. 1. 2021

Poptávka po čipech je v poslední době tak vysoká, že továrny na celém světě

Telefónica se dohodla na prodeji svých stožárů za 7,7 mld. eur

ČTK
14. 1. 2021

Evropské telekomunikační firmy doposud spíše odmítaly ztrátu kontroly nad stožáry, které považovaly za strategicky

Tiskové zprávy

Český startup Memsource kupuje německou společnost Phrase

Alienware představil vylepšené herní stroje

Acer a PrinterLogic poskytují pro podniky řešení pro tisk bez serveru

IBM Cloud Pak pro integraci umožňuje digitální transformaci Komerční banky

Společnost Pure Storage byla v magickém kvadrantu Gartneru označena za lídra

Lenovo představuje nové modely ThinkBook pro mobilní profesionály

Zpráva dne

Šťastný celý rok 2021 s levným softwarem!

Šťastný celý rok 2021 s levným softwarem!

Redakce
6. 1. 2021

Nabídka levného a hlavně legálního softwaru od GoodOffer24.com, od nástrojů produktivity od Microsoftu přes...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Největší rizika umělé inteligence

Pavel Houser
26. 12. 2020

Tak jako dosud skoro každá technologie, i umělá inteligence se dostane do rukou zločincům. Jak s...

Slovník

Gateway

User friendly

BSPlayer

Nejpopulárnější články

Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

Pavel Houser
16. 1. 2014

Analytici: Cena bitcoinu dál poroste, může ale přijít korekce

ČTK
17. 12. 2020

Operátoři musí nově uvádět přesnou rychlost internetu

ČTK
3. 1. 2021

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Německá policie odhalila zřejmě největší obchod na darknetu

ČTK
12. 1. 2021

Zákony informatiky: Návštěva u Annie DeCaprio s Hofstadterem a Cheopsem

Zákony informatiky: Návštěva u Annie DeCaprio s Hofstadterem a Cheopsem

Petr Zavoral
24. 12. 2020

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Marketing Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zajímavosti Zpráva dne České IT

RSS abclinuxu – čerstvé zprávičky

  • VLC 3.0.12
  • Jak otevřít soubor v Emacsu
  • InstallFest 2021 – CFP

RSS Sciencemag.cz

  • V Brně budou vznikat nové typy elektronových mikroskopů
  • Elektronový mikroskop kombinovaný se světlem
  • U 8 z 25 druhů eurasijských netopýrů našli protilátky na vzteklinu

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.