Slack měl zásadní bezpečnostní chybu umožňující se dostat dovnitř jejich AWS.

Popsané je to v How we abused Slack’s TURN servers to gain access to internal services a může to posloužit jako dobrá ukázka, že AWS sice být bezpečné může, ale vaše vlastní řešení na něm postavené může být katastrofa.

Děravé Safari umožňovalo přístup ke kameře, mikrofonu, lokaci a v některých případech i k uloženým heslům.

Oprava se do Safari dostala v průběhu ledna a února, máte-li verzi 13.1 tak by mělo být už plně záplatovano. Chyba byla přitom dost triviální, stačilo aby se web vydával za Skype či Zoom. Detaily v How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera a Webcam Hacking

2020-04-04 10_17_53-Window.png

Šef Zoomu se omluvil za bezpečnostní chyby a slíbil opravy.

V posledních dvou týdnech se bezpečnostních chyba a ignorování soukromí uživatelů u Zoomu objevilo poměrně hodně. Užívání jejich software přitom z 10 milionů DAU v prosinci poskočilo na 200 milionů v březnu. Problém s omluvou a ujišťováním je, že Zoom řadu věcí dělá záměrně, včetně zneužívání jiných chyb, porušování pravidel a obcházení kde se obejít dá. Až tak daleko, že na MAC například uživatelům hrozí nejenom přístup cizích lidí ke kamerám, ale i hacknutí počítače.  Viz Zoom boss apologises for security issues and promises fixes

2020-04-02 15_01_18-Window.png

 

OpenWRT má nebezpečnou chybu, pozor pokud ho používáte pro router.

Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální – vyžaduje možnost MITM útoku nebo změny DNS serverů pro podvrh jiných zdrojů aktualizací. Viz OpenWRT code-execution bug puts millions of devices at risk

TIP: Co je to OpenWrt a jak to může oživit váš starý router?

openwrt-800x547.png

TikTok byl děravý a to opravdu hodně.

TikTok byl děravý, útočníci mohli mazat a přidávat videa, měnit nastavení na veřejné, krást osobní data, dostávat se do uzavřených účtů. Přišli na to v CheckPoint Research a z popisů plyne, že jde o jednu z nejlepší ukázek toho, že na sociálních sítích nikdy žádné soukromí existovat nebude. Viz Tik or Tok? Is TikTok secure enough?

Twitter umožňoval přes mobilní aplikaci získávat názvy účtů podle telefonních čísel v masovém měřítku.

Twitter umožňoval přes mobilní aplikaci získávat názvy účtů podle telefonních čísel v masovém měřítku. Bezpečnostní výzkumník Ibrahim Balic to otestoval na vygenerování 2 miliard telefonních čísel – ta poté předložil mobilní aplikaci a získával zpět účty k nim patřící. Jediná obrana Twitteru byla v odmítnutí sekvenčních čísel, seznam tedy stačilo náhodně přetřídit. Od 20. prosince to už není možné.s  Viz A Twitter app bug was used to match 17 million phone numbers to user accounts

[04.02.20] Potvrzeno. Neznámí útočníci využili API Twitteru pro získání telefonních čísel uživatelů.

twitter-mistakes