Říjen 2014 – novinky ze světa mobilních technologií

Report říjen 2014

Tento měsíc jsme se dočkali celé řady novinek. Především Google přišel se svým phabletem Nexus 6 a novým tabletem Nexus 9.

V říjnu byl také prezentován nový Android verze 5.0. nazvaný velmi neotřelým způsobem Lollipop, tedy lízátko.

Nakonec jsme se dočkali také nové řady Apple a to v rámci akce, která se konala 16. října v Cupertinu. Zveřejněn byl dlouho očekávaný Ipad Air 2 a Ipad mini 3, mimo jiné také nový Mac a operační systém OS X Yosemite, nejnovější verze operačního systému pro desktopy a laptopy.

Sekce o bezpečnosti jednotlivých mobilních platforem:

Android

Nebezpečí v Knoxu

Knox ukládá uživatelský PIN přímo na zařízení v souboru nazvaném „pin.xml“. Ten je přístupný každému, kdo může do souboru vstoupit.

Hackeři mohou vzdáleně zablokovat váš telefon Samsung

Aplikace Samsungu Find my Mobile neověřuje bezpečnostní kód, který dostane a útočníkům tak stačí zatížit zařízení, aby získali přístup do zařízení.

Nebezpečí nativního prohlížeče

Prohlížeč Androidu umožňuje útočníkům směřovat uživatele na nebezpečnou stránku. Na té běží javascript, který jim umožní číst data ze stránek, které nechal uživatel otevřené v jiných prohlížečích.

Nebezpečí smartphonu Sony Xperia

Tyto zařízení mají již předinstalovaný spyware, tedy nebezpečný software, který obsahuje virus zvaný Baidu, který je napojen na servery v Pekingu v Číně.

iOS

Na Apple platformě se objevily tyto nebezpečí:

• CVE-2014-4448
• CVE-2014-4449
• CVE-2014-4450

S příchodem a implementací upgradu iOS verze 8 se tyto chyby podařilo opravit. V případě, že jste ještě upgrade nepovolili, doporučujeme updatovat OS kvůli odstranění těchto nebezpečí v předchozí verzi softwaru iOS 7.

Blackberry

BSRT-2014-008

Toto je zatím pouze upozornění na nebezpečí, které hrozí uživatelům zařízení Blackberry 10, kteří používají Blackberry World App. Pro úspěšný útok je potřeba, aby hacker zachytil samotnou žádost uživatele o update nebo stažení aplikace skrz ovládnutou síť a nahradit reakci ze serveru zavirovaným souborem a zadat, aby musel uživatel přijmout povolení a instaloval nebezpečnou aplikaci. Následně získá útočník ke všem datům a nastavení umožněné povolením aplikace, které mu sám uživatel udělil.

POODLE

Tato slabost systému umožňuje za specifických podmínek kontrolu spojení standardně chráněné šifrováním. V takovém případě je schopen útočník modifikovat komunikaci mezi servery pomocí přístupu k samotnému kódu.

Doporučení – při upgradu na BES 5.0 SP4 MR7 nebo MR8 instalujte také Web Desktop Manager

V případě, že upgradujte na některou výše zmíněnou verzi a nemáte BlackBerry Web Desktop Manager, který by měl být součástí každé instalace BAS (BlackBerry Administration Service), měli byste si tento Desktop Manager nainstalovat.

CVE-2014-6611

BlackBerry World app – tedy appstore pro stahování aplikací Blackberry ve verzi nižší než 5.0.0.262 na zařízeních BlackBerry 10 OS 10.2.0, nižší než 5.0.0.263 na BlackBerry 10 OS 10.2.1, a verzi nižší než 5.1.0.53 na BlackBerry 10 OS 10.3.0 nedostatečně ověřuje žádosti na download/update, které následně umožňují tzv.man-in-the-middle útoky, kdy dojde k získání přístupu na server a spustění downloadu aplikace, která modifikuje tok dat na klientský server.

 

Mobility Report 10/2014
Mobility Report 10/2014
Mobility_report_10web-2014.pdf
281.6 KiB