Samsung potvrdil vážnou bezpečnostní chybu v telefonech vyrobených po roce 2014.

Samsung potvrdil vážnou bezpečnostní chybu v telefonech vyrobených po roce 2014. Ta umožňuje na dálku získat kontrolu nad telefonem pomoci obrázku ve formátu .qmg aniž by se na tom uživatel musel jakkoliv zúčastnit.  Samsung veškeré obrázky zpracovává přes služby jménem Skia ve které je vážná chyba. Na telefon pak stačí například poslat MMS s obrázkem, který spustí kód. Samsung už chybu opravil, takže záplatujte co nejrychleji. Vice i v Samsung patches 0-click vulnerability impacting all smartphones sold since 2014

samsung-galaxy-s20.jpg

Facebook SDK způsobovalo pády všech populárních aplikací pro iOS.

Facebook chybu naštěstí velmi rychle opravil, ale celé je to přípomínkou nebezpečné závislosti na Facebooku i v tak zásadní věci jako je spuštění aplikace, která reálně nic od Facebooku potřebovat nebude. Facebook SDK je navíc zásadní zdroj informací pro Facebook, ten ho v maximální míře využívá šmírování uživatelů v aplikacích, které mu nepatří. Jak se navíc ukázalo, Facebook spouští skrytý kód o kterém ani ti co Facebook SDK používají neví. Jak jinak. Detaily ve Why a small Facebook bug wreaked havoc on some of the most popular iOS apps

2020-05-07 19_09_32-Window.png

Obyčejná SMS stačí k sestřelení iPhone či iPadu.

Obyčejná SMS stačí k sestřelení iPhone či iPadu. Na nové chybě je paradoxní to, že nejde o žádnou specificky vytvořenou ani poškozenou zprávu, stačí ji napsat v znakové sadě pro Sindhi (jazyk pro stejnojmennou provincii v Pákistánu a používá se i v Indii). Via PSA: A viral text string with an Italian flag and Sindhi characters will crash your iPhone [U]

Šef Zoomu se omluvil za bezpečnostní chyby a slíbil opravy.

V posledních dvou týdnech se bezpečnostních chyba a ignorování soukromí uživatelů u Zoomu objevilo poměrně hodně. Užívání jejich software přitom z 10 milionů DAU v prosinci poskočilo na 200 milionů v březnu. Problém s omluvou a ujišťováním je, že Zoom řadu věcí dělá záměrně, včetně zneužívání jiných chyb, porušování pravidel a obcházení kde se obejít dá. Až tak daleko, že na MAC například uživatelům hrozí nejenom přístup cizích lidí ke kamerám, ale i hacknutí počítače.  Viz Zoom boss apologises for security issues and promises fixes

2020-04-02 15_01_18-Window.png

 

OpenWRT má nebezpečnou chybu, pozor pokud ho používáte pro router.

Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální – vyžaduje možnost MITM útoku nebo změny DNS serverů pro podvrh jiných zdrojů aktualizací. Viz OpenWRT code-execution bug puts millions of devices at risk

TIP: Co je to OpenWrt a jak to může oživit váš starý router?

openwrt-800x547.png

Spamová detekce na Facebooku i Instagramu mazala nevinné koronavirové příspěvky.

Facebook za to již omluvil a chybu napravil. Podle všeho reagovala hlavně na příspěvky s odkazy a neměla  žádný reálný základ. Mazání se dotklo o známých a důvěryhodných médií. Problém se objevil čerstvé poté, co Facebook oznámil, že do moderace obsahu musí zapojit více AI a omezit práci lidských moderátorů.

2015-09-24 18_35_58-Facebook _ Error

Chyba u některých doménových registrátorů umožňovala registrovat podvodné domény.

Několik z největších registrátorů umožňovalo do doménového jména dávat znaky z Unicode -což vedlo k vytváření domén jako amɑzon.com – ty byly následně používány pro phishing a další aktivity. Detaily v Emoji to Zero-Day: Latin Homoglyphs in Domains and Subdomains kde najdete dost rozsáhlý seznam podvodných domén.

2020-03-07 10_05_30-Emoji to Zero-Day_ Latin Homoglyphs in Domains and Subdomains.png