Slack měl zásadní bezpečnostní chybu umožňující se dostat dovnitř jejich AWS.

Popsané je to v How we abused Slack’s TURN servers to gain access to internal services a může to posloužit jako dobrá ukázka, že AWS sice být bezpečné může, ale vaše vlastní řešení na něm postavené může být katastrofa.

Děravé Safari umožňovalo přístup ke kameře, mikrofonu, lokaci a v některých případech i k uloženým heslům.

Oprava se do Safari dostala v průběhu ledna a února, máte-li verzi 13.1 tak by mělo být už plně záplatovano. Chyba byla přitom dost triviální, stačilo aby se web vydával za Skype či Zoom. Detaily v How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera a Webcam Hacking

2020-04-04 10_17_53-Window.png

OpenWRT má nebezpečnou chybu, pozor pokud ho používáte pro router.

Existuje pouze částečná oprava, ale než bude OpenWRT bezpečnější, tak to bude chvíli trvat. Nepříjemné je i to, že chyba existuje už dobré tři roky a jde o možnost spouštět na dálku kód v procesu aktualizace – ten probíhal přes nešifrovaná spojení a chybí dostatečné digitální podpisy pro aktualizační balíčky. Zneužití ale není zcela triviální – vyžaduje možnost MITM útoku nebo změny DNS serverů pro podvrh jiných zdrojů aktualizací. Viz OpenWRT code-execution bug puts millions of devices at risk

TIP: Co je to OpenWrt a jak to může oživit váš starý router?

openwrt-800x547.png

Chytré žárovky Philips Hue jsou děravé. Lze přes ně dostat malware do Philips Hude Bridge

Chytré žárovky Philips Hue jsou děravé. Lze přes ně dostat malware do Philips Hude Bridge a útočník pak může přistupovat do vaší domácí sítě. Opravu Philips zveřejnil v polovině ledna 2020, ale mělo dojít k automatické aktualizaci. V Phillips Hue aplikaci si to můžete ověřit (Settings – Software Update) kontrolou zda vaše zařízení mají alespoň verzi 1935144040. Podrobnosti k problému v The Dark Side of Smart Lighting: Check Point Research Shows How Business and Home Networks Can Be Hacked from a Lightbulb

Až 200 milionů kabelových modemů v Evropě je napadnutelných

Až 200 milionů kabelových modemů v Evropě je napadnutelných. Čerstvě objevený Cable Haunt (PDF) umožňuje útočníkům kompletně ovládnout modem (kabelový router) a je založené na software, které řada výrobců zahrnula do svých zařízení a které obsahuje bezpečnostní chybu. Ukázkový exploit viz Lyrebirds/sagemcom-fast-3890-exploit. Zmíněny a ověřeny jsou modemy od společností Sagemcom, Technicolor, Netgear a COMPAL.

2020-01-11 08_32_11-Cable HauntExploit.png

TikTok byl děravý a to opravdu hodně.

TikTok byl děravý, útočníci mohli mazat a přidávat videa, měnit nastavení na veřejné, krást osobní data, dostávat se do uzavřených účtů. Přišli na to v CheckPoint Research a z popisů plyne, že jde o jednu z nejlepší ukázek toho, že na sociálních sítích nikdy žádné soukromí existovat nebude. Viz Tik or Tok? Is TikTok secure enough?