MITD aneb Man-in-the-Disk. Nový tip útoku na Android aplikace

MITD aneb Man-in-the-Disk. Nový tip útoku na Android aplikace založený na nevhodném užívání externího úložiště mobilními aplikacemi na Androidu. Princip je vlastně jednoduchý – stáhnete is zdánlivě neškodnou aplikaci, ta si vyžádá přístup na externí disk a najde tam aplikaci, kterou umí napadnout a zneužít. Nahraje tam data, která vykonají potřebné. Viz Man-in-the-Disk: A New Attack Surface for Android Apps

Man-in-the-Disk-Update-Flow.png

Reklamy

V CheckPointu zjistili, že síťové faxy lze hacknout prostě jen přes telefonní číslo

V CheckPointu zjistili, že síťové faxy lze hacknout prostě jen přes telefonní číslo. V některých případech už je objevená chyba opravená, ale pokud si uvědomíme, že tam někde venku je na 300 milionů čísel faxů, tak to může být docela napínavé. Viz Faxploit: Sending Fax Back to the Dark Ages

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.  Původce jsou výrobci, kteří zasahují do Androidu a navíc přidávají aplikace plné děr. Značnou měrou se podílí i laxní přístup k aktualizacím. Viz MILLIONS OF ANDROID DEVICES ARE VULNERABLE RIGHT OUT OF THE BOX

android_logo

Yandex tvrdí, že z Google Docs indexuje privátní soubory.

Považuje to za chybu, kterou oznámil Google. Google tvrdí, že nic takového není pravda a že se jim nepodařilo tvrzení Yandexu doložit. Odvolává se na to, že soubory v Google Docs mohou uživatele zpřístupnit jedině sami, k těm co nejsou „veřejné“ se vyhledávač nedostane. Viz Google says Google Documents is secure despite Russian issue a Google says ‚Docs‘ is secure despite Russian issue

2017-07-14 08_14_39-Yandex.Taxi – get a taxi fast in over 50 cities. Fast pickup. Pay with cash or c

Americký T-Mobile ponechal na nezabezpečeném webu přístup k informacím o zákaznících

. Jména, adresy, daňové identifikace a další zákaznické informace byly volně dostupné na servisním webu, stačilo jenom do parametru v adrese přidávat telefonní číslo. Portál nevyžadoval žádné přihlášení, jeho tvůrci si možná mysleli, že když nikde nebude adresa zveřejněna, nikdo se na něj nedostane. Ale jak už to tak chodí, nakonec se objevil dokonce ve vyhledávání. Jedna z praktických ukázek toho, že ani sebe tvrdší GDRP nezabrání důsledku lidské hlouposti. Viz An unsecured T-Mobile website made customer information available to anyone a T-Mobile bug let anyone see any customer’s account details

2018-05-25 05_46_57-T-Mobile CARE.png