Bluetooth opět děravé, náprava zatím není

Bluetooth opět děravé, náprava zatím není. BLURtooth umožňuje útočníkům přepsat autentikační klíče a týká verzí 4.0 i 5.0. Týká se momentu párování zařízení. Via BLURtooth vulnerability lets attackers overwrite Bluetooth authentication keys

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou

Děravá Alexa. Útočnící se mohli dostat k historii komunikace s Alexou, přidávat schopnosti a získávatá informace o uživateli. To všem přes XSS (Cross Site Scrpting) a CORS (Cross-Origin Resource Sharing) v některých subdoménách používaných Amazonem. Podrobnosti Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon’s Alexa

Zoom byl opět děravý.

Zoom byl opět děravý. Kdokoliv mohl použít adresy firemních setkání označované jako „Vanity URL“. Podrobnosti v Fixing the Zoom ‘Vanity Clause’ – Check Point and Zoom collaborate to fix Vanity URL issue

Mail pro iPhone/iPad je děravý a lze přes něj napadnout telefon.

Alespoň to tvrdí ZecOps (Apple iPhone May Be Vulnerable to Email Hack) a útok by neměl vyžadovat žádnou součinnost uživatele. Stačí poslat specificky navrženou zprávu a objevitelé navíc uvádějí, že zranitelnost je už dobré dva roky využívána.

Hackeři prodávají kritickou 0day zneužitelnost Zoomu za 500 tisíc dolarů.

Podle všeho by měly zranitelnosti navíc existovat dvě – jedna pro Windows, druhá pro MacOS. Měly by umožňovat hacknout uživatele a sledovat jeho hovory – v případě Windows by mělo navíc jít o RCE (Remote Code Execution) a tím teoreticky schopnou i napadení počítače – možná ale ne bez spojení s nějakou další dostupnou chybou.…