TikTok byl děravý a to opravdu hodně.

TikTok byl děravý, útočníci mohli mazat a přidávat videa, měnit nastavení na veřejné, krást osobní data, dostávat se do uzavřených účtů. Přišli na to v CheckPoint Research a z popisů plyne, že jde o jednu z nejlepší ukázek toho, že na sociálních sítích nikdy žádné soukromí existovat nebude. Viz Tik or Tok? Is TikTok secure enough?

Twitter umožňoval přes mobilní aplikaci získávat názvy účtů podle telefonních čísel v masovém měřítku.

Twitter umožňoval přes mobilní aplikaci získávat názvy účtů podle telefonních čísel v masovém měřítku. Bezpečnostní výzkumník Ibrahim Balic to otestoval na vygenerování 2 miliard telefonních čísel – ta poté předložil mobilní aplikaci a získával zpět účty k nim patřící. Jediná obrana Twitteru byla v odmítnutí sekvenčních čísel, seznam tedy stačilo náhodně přetřídit. Od 20. prosince to už není možné.s  Viz A Twitter app bug was used to match 17 million phone numbers to user accounts

twitter-mistakes

Aplikace foťáku (Camera) od Google i Samsungu jsou děravé. Cizí aplikace je mohou zneužít

Aplikace foťáku (Camera) od Google i Samsungu jsou děravé. Cizí aplikace je mohou zneužít pro focení, natáčení, získávání geolokačních informaci i natáčení hovorů  i když k tomu tyto jiné aplikace nemají oprávnění. Stačí když mají práva přístupu k úložišti (Storage). Což je jedno z nejčastěji žádaných oprávnění. Detaily v How Attackers Could Hijack Your Android Camera to Spy on You a Android Camera App – Gaining Control Without Permissions. Opravená Camera byla Google zveřejněna v červenci, zda a kdy se dostane do vašeho Androidu je otázka.

Website-1024x683.jpg

WhatsApp hacknuto a využito pro špionáž vysokých vládních představitelů spojenců USA v až 20 zemích

WhatsApp hacknuto a využito pro špionáž vysokých vládních představitelů spojenců USA v až 20 zemích. WhatsApp v reakci na zjištění podal žalobu na izraelskou NSO Group. Ta měla vytvořit a prodávat hackovací nástroj využívající chybu ve WhatsApp serverech. To mělo vést k napadení až 1 400 uživatelů.  Viz Exclusive: WhatsApp hacked to spy on top government officials at U.S. allies – sources a WhatsApp is suing an infamous spyware vendor for allegedly hacking its users.

Otázkou zůstává, kdo zažaluje WhatsApp za děravé servery?

Dobré čtení ještě v NSO Group / Q Cyber Technologies Over One Hundred New Abuse Cases

Starší informace viz NSO Group spyware (Pegasus) umí Facebook, Google, iCloud a dokonce i WhatsApp. Jak je to možné?

2019-10-31 20_36_56-NSO GROUP - Cyber intelligence for global security and stability.png

Chyba ve WhatsApp umožňovala krást soubory i zprávy přes poslané GIFy. 

Chyba ve WhatsApp umožňovala krást soubory i zprávy přes poslané GIFy.  Viz WhatsApp bug allowed hackers to steal files and messages with GIFs a How a double-free bug in WhatsApp turns to RCE. K čemuž se hodí připomenout, že síce můžete mít end-to-end šifrování, ale jakmile se dá na dálku kompromitovat klient, je to úplně jedno.

whatsapp1.png

„Neopravitelný“ exploit pro iPhone od 3S až po X

„Neopravitelný“ exploit pro iPhone od 3S až po X. Zajímavé na checkm8 je nejen že je Open Source, ale hlavně to, jak se mu daří dostat do tak velkého množství různorodých verzí iOSu. Jde na to přes kód zodpovědný za vlastní spuštění telefonu a znamená to, že proti němu není možné zasáhnout klasickou novou verzí iOSu jak tomu bylo u předchozích exploitů.  Prozatím je to ale pouze exploit, možnost jak hacknout iOS, funkční jailbreak zatím k dispozici není.

2019-09-28 19_14_54-New ‘unpatchable’ iPhone exploit could allow for permanent jailbreaking - The Ve.png