Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

Pavel Houser , 16. leden 2014 08:00 0 komentářů
Bezpečnostní přehled: Bankovní aplikace pro mobily jsou plné děr

První letošní várka záplat Microsoftu, Oraclu i Adobe. Zranitelnost síťových komponent. Novinky ze světa měny Bitcoin. Následuje pravidelný bezpečnostní přehled vytvářený především podle webů ZDNet, CNet, The Register a HelpNet Security.

Analýza společnosti IO Active upozorňuje na zranitelnosti bankovních aplikací pro mobilní platformy. Testu bylo podrobeno 40 aplikací pro iOS od 60 bank (celosvětově), a to s následujícími výsledky:

  • 40 % aplikací bylo zranitelných útoky man-i-the-middle, protože chybělo ověření pravosti SSL certifikátu serveru
  • 20 % je rizikových z hlediska útoků zneužívajících porušení paměti
  • 50 % je zranitelných útoky cross-site scripting
  • 40 % uchovává v logu zbytečně citlivé informace. Bezpečnostním rizikem je podle studie také fakt, že řada bankovních aplikací nedetekuje, zda zařízení Apple bylo „odemčeno“ (jealbreaking), eventuálně to sice zjišťuje, ale umožní instalaci i na porušené zařízení. Studie se přitom zaměřila pouze na klientskou stranu aplikace.

Podle přehledu Robert Half Technology 2014 Salary Guide rostly v IT za poslední rok platy nejvíce, cca o 4 %, mj. právě v bezpečnosti (spolu s vývojem mobilních aplikací a analýzou velkých objemů dat). Čísla jsou z Británie.

Syrská elektronická armáda se asi na hodinu zmocnila účtu Microsoftu a XBoxu na Twitteru. Příčinou je pravděpodobně kompromitace počítače uživatele, který měl příslušný účet na starosti. V nedávné minulosti byl podobně útočníky krátce ovládnut účet Microsoftu na Facebooku, Skypu či firemní blog.

Bezpečnostní trendy pro tento rok dle společnosti AhnLab. Kromě věcí zmiňovaných i jinde se zde uvádí:

  • „plošný“ malware pro koncové uživatele bude zkoušet sofistikovanější triky dosud se vyskytující jen v APT kampaních
  • k distribuci malwaru se bude stále více využívat firmware
  • infrastruktura pronajímaných botnetů umožní podvodníkům distribuovat malware ještě levněji
  • přibude cílených kampaní snažících se o instalaci malwaru na mobilní zařízení vybraných osob

První letošní záplaty Microsoftu nelátají tentokrát jedinou kritickou chybu. Raritou je i velmi nízký počet samotných bulletinů zabezpečení – pouhé 4. Dva bulletiny řeší problém na úrovni jádra Windows a ovladačů, které umožňují zvýšení oprávnění, ovšem pouze místně přihlášenému uživateli.

„Jubilejní“ první letošní oprava (MS14-001) je určena pro MS Office; speciálně vytvořený dokument může při otevření vést ke spuštění kódu. Ačkoliv tento typ zranitelnosti Microsoft obvykle hodnotí jako kritický, tentokrát dostala oprava až druhý stupeň závažnosti. Poslední aktuální bulletin zabezpečení je určen pro ERP systém Microsoft Dynamics AX.

Pravidelnou dávku záplat vydal v úterý také Oracle (firma má nyní implementován čtvrtletí cyklus). Celkem je k dispozici 147 záplat pro 47 produktů. 85 zranitelností je zneužitelných vzdáleně a umožňují přístup do systému bez oprávnění. 36 oprav (prakticky všechny látají vzdáleně zneužitelné chyby) je určeno pro platformu Java 7 SE.

A Adobe vydala tentokrát dvě kritické záplaty pro Acrobat/Reader a jednu pro přehrávač Flash Player. Wolfgang Kandek ze společnosti Qualys doporučuje administrátorům IT instalovat přednostně záplaty pro Javu, pak ty od Adobe a opravy Microsoftu tentokrát klidně nechat až nakonec.

Hector Xavier „Sabu“ Monsegur nebyl jediným informátorem FBI ve skupině LulzSec. Začal spolupracovat s policií po svém zatčení v roce 2011, ve skupině byl ale zřejmě i další informátor(ři?).

Některé síťové komponenty Cisco (pouze samotná tato značka, nikoliv Linksys) obsahují kritické chyby umožňující útočníkům přístup s právy roota. Zranitelnost má souviset s nasloucháním na portu TCP 32764. Oprava zatím k dispozici není, dodavatel ji nicméně přislíbil. Byl již publikován i exploit, i když dosud nebyly zaznamenány samotné útoky. Cisco dává v systému CVSS zranitelnosti hodnotu 10 z 10, i když nejčastějším zneužitím by měly být „pouze“ útoky na dostupnost služby. O jiné nedávno objevené zranitelnosti v síťových produktech viz předcházející bezpečnostní přehled.

Malware, který se pokusil prostřednictvím reklamního systému infikovat evropské uživatele Yahoo (viz předcházející bezpečnostní přehled: http://www.itbiz.cz/clanky/bezpecnostni-prehled-rok-dvoufaktorove-autentizace-a-konec-mcafee), byl podle firmy Light Cyber mj. zaměřen na vytváření farem pro těžbu bitcoinů.

Další novinka ze světa virtuální měny: Výzkumníci z firmy Logrhythm upozorňují na celkem sofistikovaný útok s cílenými e-maily/odkazy/programy, které obětem vyprázdní bitcoinovou peněženku. Útoky podobného typu se podvodníkům většinou vyplácejí při průmyslové špionáži – tedy další důkaz toho, jak Bitcoin začíná být ekonomicky zajímavý.

Bitcoin do třetice: Spuštěna byla služba Elliptic Vault, kdy provozovatel nabízí pojištění bitocionů (nebo obdobných virtuálních měn) proti krádežím. Služba je spojena s šifrováním úložiště bitcionů a uchovávání šifrovacích klíčů v off-line režimu. Zabezpečení by nemělo uživatele nijak omezovat v provádění transakcí.

Zranitelnosti v softwaru běžně využívaného zaměstnanci patří k hlavním zdrojům interních IT bezpečnostních incidentů firem. Vyplývá to z průzkumu Kaspersky Lab a B2B International Global Corporate IT Security Risks 2013, jehož se zúčastnilo na 3 000 IT podnikových profesionálů z 24 zemí včetně ČR.

Zranitelnosti v běžných programech jsou hlavním zdrojem infekcí v podnikových počítačích a úniků kriticky důležitých dat. Zhruba 43 % českých respondentů uvedlo, že se jim to v jejich organizaci stalo za posledních 12 měsíců minimálně jednou. Česko je na tom v porovnání se světovým průměrem v průzkumu (39 %) o něco hůř.

Zdroj: tisková zpráva společnosti Kaspersky Lab

AVG nabízí novou bezplatnou aplikaci Web TuneUp. Jedná se o webový štít chránící před návštěvou škodlivých stránek; nástroj též čistí historii prohlížení a nabízí funkci Do Not Track. Zatím je k dispozici beta verze pro Firefox a Chrome. Dodavatel tvrdí, že oproti konkurenci by řešení prakticky nemělo zpomalovat běh prohlížeče.

AVG současně oznámila další novou bezplatnou aplikaci, PrivacyFix Family pro ochranu soukromí na Facebooku. Rodiče a jejich děti mohou nyní sdílet nastavení soukromí, i pokud na Facebooku nejsou přáteli.

Zdroj: tisková zpráva společnosti AVG Technologies

Siemens představil aktualizovanou verzi systému kontroly vstupu SiPass integrated 2.65. Systém nově umožňuje diferencovanou správu přístupových práv, a dovoluje tak nastavit pro držitele karet i celé pracovní skupiny velké množství různých oprávnění k přístupu i k rezervaci objektů.

Zdroj: tisková zpráva společnosti Siemens

Na trh byl uveden AirWatch Inbox, nové řešení pro správu mobilního e-mailu. Skrze nativního klienta má zajistit bezpečný přístup ke korporátnímu e-mailu pro zařízení Apple, Android a Windows. Podle dodavatele je produkt určen k nasazení do prostředí s vysokými regulačními požadavky nebo v souvislosti s implementací politiky pro BYOD. Řešení lze použít jako samostatnou aplikaci i jako součást AirWatch Workspace, kontejnerizovaného prostředí pro oddělené zobrazení firemních a soukromých dat.

Zdroj: tisková zpráva společnosti AirWatch


Komentáře

RSS 

Komentujeme

Agilita a devops, přepracování a vyhoření

Pavel Houser , 12. červenec 2018 12:30
Pavel Houser

Michael Cote na The Register upozorňuje na častý problém: nové „agilní“ metody vývoje, všechny příst...

Více







RSS 

Zprávičky

EK oznámí rozhodnutí o pokutě pro Google

ČTK , 18. červenec 2018 12:10

Google dostal od EK za zneužití dominantního postavení již koncem loňského června pokutu 2,42 miliar...

Více 0 komentářů

Americká Workday koupila českou firmu Stories

ČTK , 18. červenec 2018 09:00

Českou firmu Stories založili tři datoví odborníci, kteří si dali za cíl změnit řízení velkých firem...

Více 0 komentářů

Slovensko zablokovalo přístup k desítkám webů s hazardními hrami

ČTK , 18. červenec 2018 08:00

Na návrh slovenského Finančního ředitelství soudy nařídily telekomunikačním operátorům zamezit příst...

Více 0 komentářů

Kalendář

04. 08.

09. 08.
Black Hat USA 2018
09. 08.

12. 08.
DEF CON 26
06. 09.

07. 09.
Humusoft Technical Computing Camp 2018

Starší zprávičky

Český startup CleverFarm buduje v Srbsku síť IoT

Pavel Houser , 17. červenec 2018 10:00

Český startup CleverFarm, který zavádí moderní technologie do zemědělství, pomáhá s budováním IoT sí...

Více 0 komentářů

Akcie Netflixu oslabily, Amazon a Disney konkurují

ČTK , 17. červenec 2018 09:36

Počet nových předplatitelů a tržby internetové televize Netflix zaostaly ve druhém čtvrtletí za oček...

Více 0 komentářů

Velitelství vojenských kybernetických sil by mohlo sídlit v Brně

ČTK , 17. červenec 2018 08:00

Vytvoření velitelství je naplánováno na začátek ledna 2019, od července pak vznikne výkonná část jed...

Více 0 komentářů

50 let Intelu

ČTK , 16. červenec 2018 09:06

Intel nejprve produkoval paměti typu RAM, ale na počátku sedmdesátých let se firma rozhodla rozšířit...

Více 0 komentářů