„Chytrý“ obal na iPad je chytrý až příliš, umožňuje obejít zámek

Bezpečnostní chyba v Apple iPad 2 a iOS 5 umožňuje obejít uzamčení iPadu – to má zajistit nemožnost získání přístupu k ipadu bez znalost hesla. Nový iOS 5 ale obsahuje chybu projevující se při použití Smart Cover obalů.

Pokud na uzamknutém iPadu 2 odkryjete displej, objeví se požadavek na zadání hesla (passcode) – stisknete-li ale v tuto chvíli Cancel a podržíte zapínací (Power) knoflík na několik sekund, aktivuje se posuvník pro vypnutí. Místo vypnutí ale prostě zakryjte displej pomocí Smart Cover obalu, počkejte několik sekund a pak dispej opět odkryjte.Po stisknutí Cancel se ocitnete zpět v poslední aplikaci, která byla na iPadu použita před uzamčením.


Není sice možné získat přístup ke  všem aplikacím, ale pokud někdo používal Zprávy či Poštu, jsou plně použitelné. Bezpečnostní nedostatek se objevil až v iOS 5 a do vyřešení je možné mu předejít vypnutím možnosti odemknutím prostřednictvím Smart Cover obalu v Nastavení.

Chyba ve Flashi umožňuje zapnout mikrofon i kameru bez vědomí vlastníka

Ferros Aboukhadijeh ze Stanfordské University objevil novou bezpečnostní chybu v Adobe Flash – webová stránka může automaticky zapnout mikrofom i kameru, bez vědomí návštěvníka.

Bezpečnostní problém spočívá ve využití Adobe Flash Player Settings Manager stránky – tu uživatel normálně vyvolává ručně, ale ve skutečnosti je možné ji zahrnout do webové stránky, tak aby ji uživatel neviděl. A prostřednictvím klasického clickjackingu je možné „kliknout“ na prvky v této stránce – web tímto způsobem získá práva k zapnutí kamery a mikrofonu.

V praktické ukázce Aboukhadijeh vytvořil jednoduchou hru, která pomocí čtyř kliknutí myší zajistila aktivaci kamery na počítači uživatele.

Aboukhadijeh bezpečnostní chybu oznámil před několika týdny Adobe, ale nedočkal se žádné odpovědi.

Zdroj: HOW TO: Spy on the Webcams of Your Website Visitors

Skype pro Android není bezpečné

Skype v pátek přiznalo bezpečnostní nedostatky v aplikaci pro Android. Informaci o problému zveřejnil server Android Police. Útočník může ze Skype získat zprávy, kontakty i profilové informace.

Skype problém prozatím přiznalo (viz též text níže).  Místo rychlého řešení ale uživatelům doporučuje, aby věnovali pozornost tomu, jaké aplikace instalují na svůj telefon.

It has been brought to our attention that, were you to install a malicious third-party application onto your Android device, then it could access the locally stored Skype for Android files.

These files include cached profile information and instant messages. We take your privacy very seriously and are working quickly to protect you from this vulnerability, including securing the file permissions on the Skype for Android application.

To protect your personal information, we advise users to take care in selecting which applications to download and install onto their device.

Bezpečnostní chyba je přitom čistě problém na straně Skype – informace jsou uloženy v sqlite3 databázích, které mají chybně nastavená přístupová práva a jakákoliv aplikace na telefonu je tak může otevřít a získat jejich obsah. Získá tak kompletní informace o uživateli, všechny kontakty v podobě podstatně širší, než je možné získat běžnou cestou. A také kompletní záznamy případných chat sezení.

Skype by mělo urychleně problém napravit – v první řadě nastavením omezených přístupových práv, ale také použitím šifrování pro ukládaná data.

Vážná bezpečnostní chyba ve všech verzích Microsoft Windows

„0day vulnerability“ ve všech verzích Microsoft Windows umožňuje útok na počítač prostřednictvím Internet Exploreru. Postačí pokud uživatel klikne na odkaz a útočník tak může získat kontrolu nad jeho počítačem.

Vulnerability in MHTML Could Allow Information Disclosure (KB2501696) upozorňuje na závažnou bezpečnostní chybu ve všech verzích Microsoft Windows – útočník prostřednictvím chyby ve zpracování MHTML (Mime Encapsulation of Aggregate HTML) může získat kontrolu nad počítačem. Uživatel nic nepozná, postačí na Internetu kliknout na odkaz.

Do doby než Microsoft poskytne opravné balíčky pro operační systém je možné se riziku napadení vyhnout zákazem používání MHTML (viz KB2501696 a More information about the MHTML Script Injection vulnerability) – pokud používáte Microsoft Internet Explorer. Pokud se můžete používání IE vyhnout a používáte FireFox či Chrome, jste v bezpečí. Samozřejmě pouze do okamžiku, kdy se „něčemu“ ve Windows podaří vyvolat Internet Explorer.

„0day vulnerability“ znamená, že se příklad využití této bezpečnostní chyby již objevil na veřejnost a je tedy možné, že je (či velmi brzy bude) aktivně využíván útočníky. Bezpečnostní chyba je přímo v samotném operačním systému (Windows XP a novější) a Internet Explorer je využíván jako nástroj aktivace – žádné další programy by takto použitelné být neměly. S ohledem na míru integrace Internet Exploreru do dalších programů je ale jasné, že chybu je možné zneužití i jinou cestou – pokud tedy používáte IE (a software od Microsoftu využívající IE zejména), je více než vhodné využít postup v KB2501696 a zamezit využívání MHTML (Mime HTML)