mSpy opět unikly miliony citlivých informací. mSpy je tvůrce mobilního spyware

mSpy opět unikly miliony citlivých informací. mSpy je tvůrce mobilního spyware a uniklá data zahrnují hesla, záznamy o voláních, textové zprávy, kontakty, poznámky, lokační data, zprávy z Facebooku/WhatsApp a řadu dalších věcí – vše shromážděno potajmu z telefonů, kam někdo mSpy pořídil. mSpy přitom své služby nabízí rodičům pro „hlídání dětí“. Ale také žárlivcům co…

Bluetooth je (opět) děravý, problémy jsou v implementaci kryptografie.

Což znamená, že je možné získat klíče spárovaných zařízení a tím se dostat k přenášeným datům na „bezpečném“ spojení. Problém se týká klasického i LE Bluetooth a prakticky všech výrobců. Viz Vulnerability Note VU#304725 a CWE-325: Missing Required Cryptographic Step

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč

Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč a odemykat cokoliv, ať už jde o pokoje, výtahy, garáže. Objev F-Secure vyprovokovala krádež notebooku z pokoje, kde v systému nebyla ani stopa po odemčení. Na téhle poměrně dost velké kauze je zábavné i to, jak Assa Abloy zesměšňuje tým v F-Secure a…

Microsoft stáhnul klasické Skype pro Windows, důvodem je bezpečnostní chyba

Microsoft stáhnul klasické Skype pro Windows, důvodem je bezpečnostní chyba. Navíc dost pikantní, k aktualizaci se totiž používalo DLL umístěné v Temp složce. Pokud nutně potřebujete Skype, tak musíte použít UWP verzi, univerzální aplikaci, co je v Microsoft Store. Případně najděte verzi 7.40 a starší, tam bezpečnostní chyba není. Viz Where Did The Skype Desktop…

Opravám Spectre se nedaří, Microsoft musel jednu z oprav stáhnout, způsobovala nestabilitu a restarty

Opravám Spectre se nedaří, Microsoft musel jednu z oprav stáhnout, způsobovala nestabilitu a restarty. Oprava týkajíc se CVE-2017-5715 tak byla o posledním lednovém víkendu narychlo stažena. V tomto případě jde o pokročilejší úroveň Spectre, tu kterou nejde řešit jenom na úrovní software, ale vyžaduje i aktualizaci mikrokódu. Viz Microsoft Disables Spectre Mitigations Due to Instability

WhatsApp je děravý, do Skupin je možné přidávat cizí lidi

WhatsApp je děravý, do Skupin je možné přidávat cizí lidi. Podobně děravé jsou, co se Skupin týče, i další produkty (Signal a Threema). Nejzajímavější na tom je, že podle WhatsAppu o nic nejde, lidé ve Skupině přece mohou zjistit, že tam byl přidán někdo cizí. Jen jestli to nebude tím, že WhatsApp patří Facebooku. Viz…

Děravé VLC, Kodi, PopcornTime a další. Přes titulky

Děravé VLC, Kodi, PopcornTime a další. Přes titulky je možné se dostat do systému. Tedy, teď už bylo možné dostat, protože podle Malicious Subtitles Threaten Kodi, VLC and Popcorn Time Users, Researchers Warn už některé aplikace jsou opraveny, ale těžko říct kolik dalších přehrávačů filmů bude děravých. Jak je možné vytvořit soubor s titulky co…

Zneužití díry v SS7 umožnilo zlodějům vybírat peníze z účtů

Zneužití díry v SS7 umožnilo zlodějům vybírat peníze z účtů lidí, kteří měli bankovnictví chráněné přes SMS ověření. Jde o roky známou věc, že komunikace mobilních telefonů je „chráněna“ protokolem s označením SS7 ale ten zdaleka není bezpečný. Zneužití je sice ne zcela triviální, ale s dnešními technickými možnost se stává podstatně snáze realizovatelné. Pochopitelně…