Google Glass Still Vulnerable To WiFi Hijacking Despite QR Photobombing Patch

Malicious quick response (QR) codes are not a new idea. Some readers might remember last year when it was found that a popular Android smartphone could be wiped by a malicious USSD code embedded within a QR code. QR codes have been in use for many years now but when scanning them with a mobile phone the user can never tell where they will end up.

To protect against automated redirection to malicious sites with QR codes, Symantec created the Norton Snap application which scans any URL before the user is redirected to the destination address. Currently we get a few thousand URL lookup requests each day from our users. During the last month only 0.03 percent of those URLs were malicious. Hence it’s not yet considered a huge risk, but we have already seen cases where QR codes for snack vending machines where replaced, so that the paid for snacks gets released at a different location.
 

1 - Google Glass QR codes.png

Figure. Google Glass and QR codes
 

Don’t look now

Google Glass is one of the hottest pieces of technologies out that at the moment and we’ve got our hands on a number of them for research purposes in our labs. As far as the relationship between Glass and QR code goes, it provides an easy way of using QR codes to configure them; after all it would be quite difficult to enter text using your eyes. Our colleagues at Lookout analyzed how Google Glass can be manipulated using malicious QR codes. Wearable devices by their nature can open up new attack vectors because the user interacts with them differently. Lookout have stated when taking a photo of a QR code, Glass will silently connect to a potentially malicious WiFi access point. This gives the word photo-bombing a whole new meaning. Glass doesn’t support all general QR codes, but uses them for reconfiguring of the device’s preferred WiFi access point.

Once the Google Glass connects to the access point of the attacker, the attacker can sniff all the traffic or even redirects the user to a malicious website. Fortunately, Google is aware of this issue and have already fixed it so you don’t have to keep looking away from QR codes whilst taking pictures with the device.
 

QR code is not the only way to PWN a device…

So, while Glass’ ability to get QR photo-bombed was interesting, there are far easier ways to get a mobile device connected to a rogue WiFi access point. Many people leave WiFi enabled the whole time on their smartphones. This means the device constantly probes the surroundings to see if there is a known access point that it can connect to. Similar behavior is expected in new wearable devices to make it easier for them to interact with. There is software available that will impersonate any network that a device searches for and this software is quite easy to use. You can even buy a small device called WiFi Pineapple that will do all the work for you. For example if your smartphone remembers your home network with the SSID name “myPrivateWiFi”. The attacker will simply answer the probe request and pretend to be the network “myPrivateWiFi”. From that point on classic man-in-the-middle (MITM) attacks, like session hijacking or sniffing, can be performed. Hence it is easier to get a wearable device like Google Glass or a smartphone to connect to a rogue access point this way as no accidental recognition of a QR code is necessary. Further, even with Google’s patch for QR photo-bombing, Glass remains vulnerable to WiFi hijacking.

Unfortunately, this latter issue is not trivial to solve. Users want to have a smooth user experience that just works without the hassle of pairing the devices each time they use a WiFi hotspot. Remembering the MAC addresses of the access points together with the SSID could help in some instances, but that is not feasible in the context of roaming and MAC addresses can easily be spoofed as well.

The more practicable solution is to treat every network as hostile and ensure that all the applications use encrypted communications like SSL or tunnel through a VPN. That way you don’t have to worry about where you are or what you are looking at, but instead you can relax and enjoy the sunshine.

BET VIP Concert Ticket Scam Spreading on Twitter

This weekend one of my favorite bands won free concert tickets on Twitter. They tweeted about the message they received from another Twitter user.
 

BET VIP 1 edit.png

Figure 1. Sarcastic tweet about free concert tickets
 

This type of scam looked familiar from a security standpoint. Upon further investigation, we at Symantec Security Response confirmed these suspicions.
 

BET VIP 2 edit.png

Figure 2. Spam account replies to specific tweet
 

I wrote a blog about free stuff on social networks and how it was not free about a year ago. These fake accounts were offering free devices and free gift cards to users tweeting specific keywords. In this case, the band wrote about their albums of the year (AOTY) picks, which mentioned Kanye West in the tweet. His name was used as a keyword that a random fake account was monitoring, which led to a reply offering free concert tickets. If a Twitter user tweets the name of an artist (e.g., Kanye, J. Cole, Jay-Z, Beyoncé), they are likely to receive one of these tweets.

106 & Park is a music video countdown show that airs weekdays on BET (Black Entertainment Television). The show has an official Twitter account that has over 5 million followers and over 13,000 tweets. The fake Twitter accounts are using the official logo and background image to try to convince users that they are legitimate. However, these fake Twitter accounts typically have no followers and only a couple of tweets, making it obvious that this is a scam.
 

BET VIP 3 edit.png

Figure 3. Official 106 & Park Twitter account
 

BET VIP 4 edit.png

Figure 4. Fake 106 & Park Twitter account
 

One thing to note here is that unlike before, these scam accounts are not providing a direct link to users in their reply. Instead, they are asking users to visit their profile page in order to click on a link in their profile bio.

Users that click on this link will be directed to a page that contains more BET branding, featuring images of some of today’s most well-known artists.
 

BET VIP 5 edit.png

Figure 5. Free ticket scam landing page
 

Clicking on the “CLAIM MY VIP TICKETS” button on a computer leads users to a page that requests personal information from the user. However, it does not appear that this information is captured by the scammers. Rather, this is for cosmetic purposes, to make it appear as though this free ticket offer is legitimate.
 

BET VIP 6 edit.png

Figure 6. V.I.P. Giveaway page requests personal information
 

If users visit the same page from a mobile phone, they are asked to install one out of a choice of several applications instead. This is one way to make money from a scam like this, through affiliate programs, and scammers have just recently started using these mobile affiliate programs. One of the most recent examples targeted users of Twitter’s video sharing service, Vine.
 

BET VIP 7 edit.png

Figure 7. Mobile affiliate program for app installation
 

BET VIP 8 edit.png

Figure 8. Fake page offering free tickets to One Direction and Justin Bieber concerts
 

Similar scam tweets

In recent months, fans tweeting about pop stars One Direction, Justin Bieber, and Rihanna or their respective tours received the same type of scam tweets. In these cases, the landing pages for the scams asked them to fill out surveys, another common method scammers use to monetize these campaigns.
 

BET VIP 9 edit.png

Figure 9. Fake page offering free tickets to Rihanna’s Diamonds tour
 

Right now, there are hundreds of fake accounts on Twitter spreading these types of scams. The most prominent one is the concert ticket scam. However, we are also seeing this exact type of scam with other lures, including:

  • Free exercise equipment for users tweeting about the gym or working out
  • Entry in a prize sweepstakes for $5,000 for users tweeting about being bored
  • Access to an exclusive jobs database for users tweeting about work or jobs

If you’re a Twitter user and you receive a message claiming that you’re the winner of one of these prizes, you should immediately question it, be wary about clicking on any links, and report these fake accounts to Twitter.

When it comes to being a modern fan, if you’re offered free concert tickets, be very skeptical. Check the official social media accounts for the brands or artists to verify and if you’re still not sure, recognize that it is likely a scam.

Ransomware Abusing Norton Logo

      No Comments on Ransomware Abusing Norton Logo

There are reports in the media of a particular ransomware, a type of malware, using the official Symantec Norton logo to dupe victims into believing the ransomware is verified by Symantec. This is a common social engineering technique used by malware a…

Six reasons to use avast! SecureLine VPN when traveling

Whether on business travel or vacation, you don’t want to worry about the security of your devices when you connect to the internet. Using a WiFi network in a café, airport, or hotel is a serious security risk that requires additional protection to secure your data and computer. avast! SecureLine VPN is now completely integrated […]

Phishing for profits

      No Comments on Phishing for profits

We recently published Symantec’s Website Security Threat Report which contains a huge amount of information on the security threat landscape. In this series of blog posts we will focus on topics such as the re-emergence of phishing, the rise of m…

Parent: Be Sure to Get What You Want When Kids Get New Technology

Be it a birthday, Christmas, or even President’s day, any holiday soon becomes an opportunity for the gift “wish list” to surface in strategic places (in our house, it was laying next to the coffee maker this morning). Inevitably, on nearly 80% of those lists will be technology in the form of a new laptop, Read more…

????????????????

      No Comments on ????????????????

読者のみなさんにお聞きします。ブラウザで表示される警告メッセージ、本当に読んでいますか。フィッシングサイトの警告や SSL 証明書不一致のダイアログを読み飛ばしてクリックしていませんか。ほとんどのユーザーはこうした警告に無頓着で、すぐにクリックして閉じてしまう傾向があるようです。警告の内容を覚えていたり、毎回その重要性を熟考したりする人がいるとは思えません。

Google 社とカリフォルニア大学バークレー校は、Google Chrome と Mozilla Firefox で表示された 2,540 万回の警告を分析するという興味深い研究を実施しました。その調査によると、平均して 15.1% のユーザーがマルウェア感染サイトの警告を無視してクリックしています。そのなかでは、何でもすぐクリックしてしまうユーザーの率が、Windows 版 Mozilla Firefox では 7.1% にとどまっているのに対して、Windows 版 Google Chrome では 23.5% と、実に 3 倍以上に達していることが注目に値します。

フィッシングサイトの警告の場合、無視してクリックする率は平均で 20.4% ですが、Linux ユーザーに限っては 32.9% と、他のプラットフォームより高くなっています。おそらくこれは、Linux ユーザーのほうが技術に詳しいため、操作に自信があるからでしょう。この研究で分析の対象になったのは、無視して続行するオプションがある警告だけで、そのような警告が表示される場合にはたいてい誤認の可能性があります。したがって、警告が表示されたからといって必ずしも悪質なことが行われるとは限りません。

SSL 警告の場合、結果の数値はもっと高く、無視してクリックする率は Google Chrome で 73.4%、Firefox で 36.7% となっています。Chrome ユーザーのほうが 2 倍も警告を無視する傾向がありますが、その理由については不明です。もちろん、SSL 警告も常に悪意の存在を意味するとは限らず、ユーザーが自宅では自己署名証明書を使っていることもあれば、サーバーの設定に問題があるだけのこともあります。したがって、クリックしたからといって警告を無視しているわけではなく、十分な知識に基づく判断で素通りしたのかもしれません。

それでも、多くのユーザーがこうした警告メッセージに飽き飽きし、無視し始めているのだという懸念を研究者は抱いています。これは、かつて初期のウイルス対策ソリューションでお馴染みだった現象です。「svchost.exe がインターネットにアクセスすることを許可するかどうか」という確認ダイアログにユーザーはうんざりさせられたものでした。警告は重要な機能ですが、うまく使う必要があるということです。

このような警告を無視することが習慣化してしまうと、悪質な Web サイトに引っかかりやすくなり、たとえば空港やレストランの無料ホットスポットで典型的な中間者(MITM)攻撃に狙われたりします。あらゆるサイトに対して自己署名証明書として機能する悪質なアクセスポイントを設定している攻撃者もいるということを、多くのユーザーは知りません。この証明書を受け入れてしまうと攻撃者にトラフィックを傍受され、オンラインサービス用のパスワードを読み取られる可能性もあります。Google が導入したような認証のピンニングを使うと、主な Web サイトでユーザーが警告を無視できなくなるので、MITM 攻撃対策に有効です。調査結果でも、Chrome の SSL 警告のおよそ 20% はユーザーが無視できないものでした。この比率は、MITM 攻撃に由来するものでしょう。

マルウェア警告を無視するのは、賢明でもありません。シマンテックの『インターネットセキュリティ脅威レポート』(ISTR)によると、感染した Web サイトの 61% は、正規の Web サイトが乗っ取られたものでした。つまり、過去にアクセスしたことがある既知のサイトだからといって安全とは限りません。前回のアクセス以降に感染し、今では悪用を通じてマルウェアに利用されているかもしれないからです。

ブラウザの警告は必ず読み、真剣に受け止めることをお勧めします。読んで内容を理解したうえで、その Web サイトにセキュリティ上のリスクがないことがわかっているのであれば、クリックすればいいのです。ろくに確かめもせず、やみくもに警告を無視してクリックしてしまうことだけは避けてください。

Dont ignore 1.png

図. Firefox のマルウェア感染サイト警告

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。