Vysavač Xiaomi Mi Robot hacknut

Robot MiPříběh o internetu a jeho věcech (Things) se může zdát jako hvězdný. Přesto se specialistům na bezpečnost Dennisi Giesemu a Danielu Wegemerovi podařilo vniknout do vysavače Xiaomi Mi Robot a jejich výzkum ukazuje, že zařízení je mnohem bezpečnější než většina ostatních chytrých věcí.

Ve svých rozhovorech na komunikačním kongresu Chaos 34, který se konal v nedávné době v Lipsku, výzkumníci vysvětlili, jak funguje software zařízení a jakých zranitelností museli využít k tomu, aby nakonec prolomili jeho ochranu.

Hackutí Mi Robota pomocí hliníkové fólie

Když začali své výzkumy, Giese a Wegemer byli překvapeni, když zjistili, že vysavač Xiaomi má výkonnější hardware než mnoho smartphonů. Je vybaven třemi ARM procesory, z nichž jeden je čtyřjádrový. To zní dost slibně, že? Takže pro začátečníky se Giese a Wegemer snažili použít několik zjevných útokových vektorů, které by narušily systém.

Nejprve zkoumali jednotku, aby zjistili, zda je možná cesta přes port micro usb vysavače. To byl ale konec: Xiaomi zajistil tento pokus pomocí ověřování. Poté vědci vzali Mi Robot útokem a pokusili se najít na jeho základní desce sériový port. Tento pokus však byl také neúspěšný.

Jejich druhá metoda hackingu byla založena na síti. Vědci se snažili naskenovat síťové porty zařízení, ale všechny porty byly uzavřeny. Nepomohla ani síťová komunikace: komunikace robota byla šifrována. V tomto okamžiku zůstali oba specialisté ohromeni. Většina ostatních zařízení IoT by byla v tento okamžik už hacknutá, protože jejich tvůrci obvykle nejdou tak daleko, pokud jde o bezpečnost. To dokazuje, o jak perfektně zabezpečené zařízení jde.

Další pokus vědců směroval na hardware vysavače. Zde se nakonec podařilo za pomocí hliníkové fólie zkratovat některé z drobných kontaktů, které spojují procesor se základní deskou, což způsobí, že procesor vstoupí do speciálního režimu, který umožňuje čtení, a dokonce i zápis do flash paměti přímo přes USB rozhraní.

Takto se Giesemu a Wegemerovi podařilo získat firmware firmy Mi Robot, metodou reverzní inženýrství (dekompilace získaného kódu) získat programový kód, ten upravit a nahrát zpět na vysavač, čímž získali plnou kontrolu nad jednotkou.

Bezdrátové hacknutí Mi Robota

Ale hacking hardwaru není neinvazivní hack. Po reverzní inženýrství firmwaru vysavače však vědci zjistili, jak se do něj dostat pomocí Wi-Fi, a to díky několika děrám v aktualizačním mechanismu firmwaru.

Robot Xiaomi zavedl docela dobrou proceduru aktualizace firmwaru: nový software přichází přes šifrované spojení a balíček firmwaru je také šifrován. K dešifrování aktualizačních balíků však Xiaomi použil statické heslo „rockrobo“ (nepoužívejme slabá hesla, chlapci, že?). To umožnilo výzkumníkům vytvořit řádně zašifrované balíčky, které obsahovaly jejich vlastní firmware.

Poté použili bezpečnostní klíč, který získali z aplikace pro smartphony společnosti Xiaomi, a požádali vysavač o stažení a instalaci nového firmwaru – nikoliv z cloudu společnosti Xiaomi, ale z vlastního serveru. A takhle znovu prorazili na zařízení, tentokrát bezdrátově.

Uvnitř firmwaru Mi Robota

Zkoumáním firmwaru se Giese a Wegemer naučili několik zajímavých věcí o inteligentních zařízeních Xiaomi. Za prvé, firmware Mi Robot je v podstatě Ubuntu Linux, který je pravidelně a rychle aktualizován pomocí patchů. Za druhé, pro každé zařízení se používá jiné heslo pro superuser. Neexistuje tedy žádné společné hlavní heslo, které by bylo možné použít k masovému hackování celé řady vysavačů najednou. A za třetí, systém spouští bránu firewall, která blokuje všechny porty, jež mohou hackeři použít. Opět tedy platí, klobouk dolů před Xiaomi! Podle norem IoT je to zatraceně dobrá ochrana!

Výzkumní pracovníci se však o Mi Robotovi dozvěděli něco, co je nakonec zklamalo. Zařízení shromažďuje a nahrává do cloudu Xiaomi mnoho dat – i několik megabajtů denně. Spolu s rozumnými věcmi, jako je telemetrie provozu zařízení, tato data zahrnují jména a hesla sítí Wi-Fi, ke kterým se zařízení připojuje, a mapy místností, ve kterých provádí úklid, díky zabudovanému LIDAR senzoru.

Pozn. red. s využitím Wikipedie: LIDAR (Light Detection And Ranging, také LADAR) je metoda dálkového měření vzdálenosti na základě výpočtu doby šíření pulsu laserového paprsku odraženého od snímaného objektu. Obvykle se využívá spektra 1064–1540 nm, pro batymetrická měření cca 530 nm. LIDAR lze použít pro měření vzdálenosti, mapování terénu či – jako v tomto případě – místností, měření vlastností atmosférických jevů aj. Výsledkem mapování je mračno bodů, které se po zpracování může interpolovat do podoby digitálního modelu povrchu či 3D modelů budov, v tomto případě místností, kde vysavač uklízí. Po aplikaci různých filtrů je možné z mračna bodů lze získat digitální model uklízených místností.

Ještě více znepokojivé je to, že takto získaná data zůstávají v systému uložena navždy i po obnovení továrního nastavení. Takže – pokud někdo koupí použitý vysavač Xiaomi a nakopne jej –, může se snadno získat všechny informace, které vysavač před tím uložil.

Závěrem tohoto příspěvku stojí za to zdůraznit, že obě techniky, které Giese a Wegemer používali, jim umožnily hackovat pouze vlastní zařízení. První vyžadoval fyzický přístup k vysavači. Co se týče druhého, museli získat bezpečnostní klíč pro provedení žádosti o aktualizaci a tyto klíče byly generovány při každém párování zařízení s mobilní aplikací. Bezpečnostní klíče jsou jedinečné a není snadné je získat, pokud nemáte přístup k smartphonu, který je spárován se zařízením Xiaomi, které hodláte hackovat.

Výzkum ukazuje, že společnost Xiaomi vynakládá mnohem větší úsilí na bezpečnost než většina ostatních výrobců chytrých zařízení, a to je nadějné znamení pro budoucnost. Téměř vše totiž může být hacknuto, ale pokud je třeba na hack vynaložit velké úsilí, jako tomu bylo v tomto případě, je opravdu málo pravděpodobné, že by se zločinci o to snažili vůbec pokoušet – ti většinou jdou po penězích, které jsou mnohem snadněji a rychleji dostupné.

Zdroj: kaspersky.com

Trojan Android Banking se zaměřuje na více než 232 aplikací včetně aplikací nabízených indickými bankami

Laboratoře Quick Heal Security zjistily systém Android Banking, který se zaměřuje na více než 232 bankovních aplikací včetně těch, které nabízejí indické banky. Malware je známý jako Android.banker.A2f8a (dříve detekován jako Android.banker.A9480).

android malwareStejně jako většina jiných malware pro Android banking, i tento je určen k odcizení přihlašovacích pověření, krádeži SMS, nahrávání seznamů kontaktů a SMS a jejich přenosu na podvodný server, zobrazování překryvné obrazovky (zachycení detailů) aplikací a provádění dalších škodlivých činností.

Infekční vektor

Aplikace Android.banker.A2f8a se šíří prostřednictvím falešné aplikace Flash Player v obchodě třetích stran. To není překvapující vzhledem k tomu, že Adobe Flash je jedním z nejrozšířenějších produktů na internetu. Vzhledem k jeho popularitě a globální instalační základně je často využíván útočníky.

Technická analýza

Po instalaci škodlivé aplikace tato požádá uživatele, aby aktivoval práva pro správu. A i když uživatel odmítne požadavek nebo tento proces sestřelí, bude aplikace stále vyhazovat vyskakovací okna, dokud uživatel neaktivuje oprávnění administrátora. Jakmile se to stane, škodlivá aplikace skryje svou ikonu.

Aplikace na pozadí pak provádí škodlivé úkoly – neustále kontroluje nainstalovanou aplikaci na zařízení oběti a zejména vyhledává 232 aplikací (bankovnictví a některé aplikace s kryptoměnami).

Pokud se na infikovaném zařízení nachází některá z cílených aplikací, podvodná aplikace zobrazí falešné oznámení jménem této cílené bankovní aplikace. Jakmile uživatel klepne na oznámení, zobrazí se falešná přihlašovací obrazovka, která ukradne důvěrné informace uživatele, jako je jeho ID a heslo pro přihlášení k jeho bankovnímu účtu.

Během analýzy bylo laboratoří Quick Heal Security zjištěno, že malware byl schopen přijímat a zpracovávat následující příkazy ze serveru C & C:

Send_GO_SMS Send an SMS
GetSWSGO Collect all SMS from the device
nymBePsG0 Upload list of contacts to a malicious server
telbookgotext Send SMS to all contacts with the text from its command
StartAutoPush Show fake notification
RequestPermissionInj ACCESSIBILITY Permission
RequestPermissionGPS GPS Permission
killBot Set all urls null in Shared Preferences
getIP Upload location to a malicious server
ussd Send a USSD request

1. Kdykoli klient obdrží od serveru příkaz „startAutoPush“, zobrazí se s ikonou cílené aplikace falešné oznámení (název: „Urgentní zpráva!“ A k tomu text: „Potvrďte svůj účet“). Kliknutím na oznámení uživatel přejde na falešnou přihlašovací stránku, jak bylo popsáno výše.

Během analýzy nebyl C & C server funkční; takže nebylo možné sledovat dynamickou aktivitu aplikace.

2. Malware může zachytit všechny příchozí a odchozí zprávy SMS z infikovaného zařízení. To umožňuje útočníkům zabránit dvoufaktorové autentizaci založené na SMS na bankovním účtu oběti (OTP). Malware byl také schopen odesílat SMS s dynamicky přijatým textem a číslem ze strany serveru.

3. Kdykoli klient obdrží příkaz „GetSWSGO“ ze serveru, shromáždí všechny SMS uložené v zařízení a nahraje je na podvodný server.

4. Malware může také nastavit hlasitost vyzvánění na tiché, aby bylo potlačeno oznámení příchozích SMS.

5. Kdykoli klient obdrží od serveru příkaz „nymBePsG0“, odešle kontakty oběti na server útočníka.

bank hackSeznam aplikací, které jsou ohroženy a týkají se naší oblasti:

· cleverlance.csas.servis24 (SERVIS 24 Mobilni banka)

· csob.smartbanking

· sberbankcz (Smart Banking)

Podvodná aplikace

Název aplikace: přehrávač Flash Player

Název balíčku: yqyJqWdtdf.UOaOrquyRDgLFgGueha

MD5: 29cf5cc309c2e29b6afd63eb5ab8fbd2

Velikost: 115 KB

Rychlá detekce a léčení

Quick Heal úspěšně zjistí tento Android Banking Trojan jako Android.banker.A2f8a.

Důležitá poznámka: Přehrávač Adobe Flash byl zrušen po verzi Android 4.1, protože je k dispozici v samotném mobilním prohlížeči. V obchodu Google Play tedy není k dispozici žádný oficiální přehrávač Adobe Flash Player. Společnost Adobe také oznámila, že přestane aktualizovat a distribuovat přehrávač Flash do konce roku 2020 ve všech formátech prohlížeče.

Tipy na to, abyste byli v bezpečí před androidovými trojany

· Vyhněte se stahování aplikací z obchodů aplikací třetích stran nebo odkazů uvedených v SMS nebo e-mailech.

· Vždy udržujte nastavení „Instalace z neznámých zdrojů“ neaktivní. Povolení této možnosti umožňuje instalaci aplikací z neznámých zdrojů.

· Nejdůležitější je ověřit oprávnění aplikace před instalací jakékoli aplikace, a to i z oficiálních obchodů, jako je Google Play.

· Nainstalujte spolehlivou aplikaci pro zabezpečení pro mobilní zařízení, která dokáže detekovat a zablokovat falešné a škodlivé aplikace dříve, než mohou infikovat vaše zařízení.

· Vždy udržujte aktuální informace o operačním systému a mobilní aplikaci.

Gajanan Khond | Quick Heal Security Labs

Chyba v procesorech Intel: jak na ni?

intelCelý internet je od dnešního rána zahlcen informacemi o chybě v procesorech Intel. Tato věc se ale dotýká i procesorů AMD a ARM, i když AMD odmítá, že by stejná chyba jako je u procesorů Intel měla být i chybou v jeho procesorech. ARM se k situaci oficiálně vyjádřilo a uveřejnilo už i opravný patch.

Ovšem, jak to tak bývá, AMD má jen poloviční pravdu, přestože jeho procesory mají odlišnou architekturu oproti Intelu, celá věc stojí tak, že vlastně nejde jen o jednu chybu, ale hned o chyby dvě. Ta první se týká jen Intelu, ta druhá pak ale obou firem, Intelu i AMD.

Více problematiku přibližuje Jornt van der Wiel, Senior Security odborník týmu GReAT ze společnosti Kaspersky Lab. Zde je jeho komentář (uveřejňujeme bez jakýchkoli redakčních úprav).

V čipech společnosti Intel byly objeveny dvě vážné zranitelnosti, přičemž obě z nich by mohly útočníkům poskytnout přístup do paměti a tím získat i citlivé informace z aplikací. První zranitelnost, Meltdown, může v podstatě odstranit bariéru mezi uživatelskými aplikacemi a citlivými částmi operačního systému. Druhá zranitelnost, Spectre, která byla nalezena také v čipech AMD a ARM, může obelstít zranitelné aplikace a proniknout do jejich paměti.

Aplikace, které jsou v zařízení nainstalované, obvykle běží v „uživatelském režimu“, tedy mimo citlivější části operačního systému. Pokud aplikace potřebuje přístup do citlivé oblasti, například do pevného disku, sítě nebo operační jednotky, musí požádat o povolení použít „chráněný režim“. V případě Meltdownu by útočník mohl získat přístup do chráněného režimu a do operační paměti, aniž by o povolení musel žádat. Odstraněním této bariéry by tak útočník mohl ukrást data z paměti právě běžících aplikací – ze správce hesel, prohlížečů, e-mailů, fotek nebo dokumentů.

MeltdownProtože se jedná o hardwarové chyby, je nutné vytvořit záplaty. Záplaty proti Meltdownu již byly vytvořeny pro Linux, Windows a OS X. Nyní odborníci pracují na posílení softwaru proti budoucímu napadení prostřednictvím Spectre. Bližší informace k tomuto případu vydal i Google a jsou dostupné na tomto odkazu. Je velmi důležité, aby si uživatelé neprodleně nainstalovali všechny dostupné záplaty. Útočníkům totiž zabere nějaký čas, než vymyslí, jak zranitelnosti zneužít – což poskytuje malé, ale důležité „okénko“ pro ochranu.

-LiM