iPhone měsíce děravé. NSO Group používala nedetekovatelnou pomůcku pro hack iOSu

iPhone měsíce děravé. NSO Group používala nedetekovatelnou pomůcku pro hack iOSu. Nevyžadovala kliknutí uživatele a skrz 0day v iMessage. Stačilo na telefon poslat zprávu. Kismet, jak se nástroj jmenoval, pak stačilo doplnit o starý známý Pegasus. Pak už bylo možné sledovat polohu, dostat se k heslům, nahrávat audio, používat kameru a přistupovat k obsahu v…

Příběh hacknutí webových stránek pro právníky Facebooku

Příběh hacknutí webových stránek pro právníky Facebooku v How I hacked Facebook: Part One je typickou ukázkou toho, jak firmy nechávají informační systémy děravé a přístupné z Internetu. Vlastně nejde o žádný zásadně složitý způsob jak se někam dostat. Jak název napovídá, autor bude mít ještě další pokračování. Podařilo se mu totiž najít ještě další…

Easy WP SMTP plugin pro WordPress děravý.

Easy WP SMTP plugin pro WordPress děravý. Jde o hodně rozšířený doplněk webů a blogů na WordPressu s více než 500 tisíci aktivními instalacemi. Chyba umožňovala reset hesla a tím ovládnutí webu.  Pokud používáte, je zásadně nutné aktualizovat.

iPhone bylo možné hacknout přes Wi-Fi aniž by o tom vlastník věděl nebo musel cokoliv udělat.

iPhone bylo možné hacknout přes Wi-Fi aniž by o tom vlastník věděl nebo musel cokoliv udělat. Dost neuvěřitelná bezpečnostní chyba na kterou po šesti měsíčních analýzách přišel Ian Beer z Google Project Zero je od května opravená. Kompletná ovládnutí zařízení bylo možné přes apple Wireless Direct Link. Podrobnosti v An iOS zero-click radio proximity exploit…

Seznam.cz byl děravý, bylo možné ukrást účet. Tím i přístup do e-mailu a k dalším službám

Taková ta klasická bezpečnostní chyba plynoucí z přílišné složitosti dnešních systémů a existence starých služeb. Tak nějak by se dala shrnout zásadní bezpečnostní chyba u Seznam.cz – prostou návštěvou stránky se mohl útočník dostat k cookies potřebným pro vstup na váš účet. A tím do e-mailu a dalších služeb u Seznamu (s výjimkou Skliku a…

Bluetooth opět děravé, náprava zatím není

Bluetooth opět děravé, náprava zatím není. BLURtooth umožňuje útočníkům přepsat autentikační klíče a týká verzí 4.0 i 5.0. Týká se momentu párování zařízení. Via BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou, přidávat schopnosti a získávatá informace o uživateli. To všem přes XSS (Cross Site Scrpting) a CORS (Cross-Origin Resource Sharing) v některých subdoménách používaných Amazonem. Podrobnosti Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon’s Alexa

Zoom byl opět děravý.

Zoom byl opět děravý. Kdokoliv mohl použít adresy firemních setkání označované jako „Vanity URL“. Podrobnosti v Fixing the Zoom ‘Vanity Clause’ – Check Point and Zoom collaborate to fix Vanity URL issue