mSpy opět unikly miliony citlivých informací. mSpy je tvůrce mobilního spyware a uniklá data zahrnují hesla, záznamy o voláních, textové zprávy, kontakty, poznámky, lokační data, zprávy z Facebooku/WhatsApp a řadu dalších věcí – vše shromážděno potajmu z telefonů, kam někdo mSpy pořídil. mSpy přitom své služby nabízí rodičům pro „hlídání dětí“. Ale také žárlivcům co…
Což znamená, že je možné získat klíče spárovaných zařízení a tím se dostat k přenášeným datům na „bezpečném“ spojení. Problém se týká klasického i LE Bluetooth a prakticky všech výrobců. Viz Vulnerability Note VU#304725 a CWE-325: Missing Required Cryptographic Step
Sebastian Schinzel na Twitteru varuje, že prozatím jediné řešení je přestat používat PGP a detaily byl měly být zveřejněný 15. května. Navíc tvrdí, že v problémech je i S/MIME, ale celé to je (v pondělí) dost nejasné. EFF varuje v Attention PGP Users: New Vulnerabilities Require You To Take Action Now. Pokud vám to celé…
Hotelové zámky od Assa Abloy jsou děravé, je možné získat univerzální klíč a odemykat cokoliv, ať už jde o pokoje, výtahy, garáže. Objev F-Secure vyprovokovala krádež notebooku z pokoje, kde v systému nebyla ani stopa po odemčení. Na téhle poměrně dost velké kauze je zábavné i to, jak Assa Abloy zesměšňuje tým v F-Secure a…
Tisíce serverů propouštějí hesla a klíče skrz etcd. Viz Thousands of servers found leaking 750MB worth of passwords and keys a hlavně The security footgun in etcd
Microsoft stáhnul klasické Skype pro Windows, důvodem je bezpečnostní chyba. Navíc dost pikantní, k aktualizaci se totiž používalo DLL umístěné v Temp složce. Pokud nutně potřebujete Skype, tak musíte použít UWP verzi, univerzální aplikaci, co je v Microsoft Store. Případně najděte verzi 7.40 a starší, tam bezpečnostní chyba není. Viz Where Did The Skype Desktop…
Opravám Spectre se nedaří, Microsoft musel jednu z oprav stáhnout, způsobovala nestabilitu a restarty. Oprava týkajíc se CVE-2017-5715 tak byla o posledním lednovém víkendu narychlo stažena. V tomto případě jde o pokročilejší úroveň Spectre, tu kterou nejde řešit jenom na úrovní software, ale vyžaduje i aktualizaci mikrokódu. Viz Microsoft Disables Spectre Mitigations Due to Instability
WhatsApp je děravý, do Skupin je možné přidávat cizí lidi. Podobně děravé jsou, co se Skupin týče, i další produkty (Signal a Threema). Nejzajímavější na tom je, že podle WhatsAppu o nic nejde, lidé ve Skupině přece mohou zjistit, že tam byl přidán někdo cizí. Jen jestli to nebude tím, že WhatsApp patří Facebooku. Viz…
Děravé VLC, Kodi, PopcornTime a další. Přes titulky je možné se dostat do systému. Tedy, teď už bylo možné dostat, protože podle Malicious Subtitles Threaten Kodi, VLC and Popcorn Time Users, Researchers Warn už některé aplikace jsou opraveny, ale těžko říct kolik dalších přehrávačů filmů bude děravých. Jak je možné vytvořit soubor s titulky co…
Zneužití díry v SS7 umožnilo zlodějům vybírat peníze z účtů lidí, kteří měli bankovnictví chráněné přes SMS ověření. Jde o roky známou věc, že komunikace mobilních telefonů je „chráněna“ protokolem s označením SS7 ale ten zdaleka není bezpečný. Zneužití je sice ne zcela triviální, ale s dnešními technickými možnost se stává podstatně snáze realizovatelné. Pochopitelně…