Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data

Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data mezi dvěma zařízeními. Detaily v knobattack.com a pokud se ptáte zda zrovna vaše zařízení jsou napadnutelná, tak na to jasná odpověď není. KNOB byl zjištěn v roce 2018 a řada výrobců od té doby mohla zajistit obranu. Zda ano či ne se není kde dozvědět. Technické detaily viz The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation Of Bluetooth BR/EDR

2015-11-02 17_00_44-Jawbone _ UP Fitness Trackers _ JAMBOX Speakers _ ERA Bluetooth Headset

Reklamy

SSD Dashboard od Western Digital a SanDisku je děravý. Nové verze musíte stáhnout ručně.

SSD Dashboard od Western Digital a SanDisku je děravý, lze mu podvrhnout malware v rámci kontroly firmware. Ta probíhá přes klasické http. Nechybí ani natvrdo uložené heslo pro zašifrování dat posílaných technické podpoře. Oboje učebnicová klasika. Viz Trivial Bugs in Western Digital SSD Utility Puts Owners at Risk a SanDisk and Western Digital SSD Dashboard Vulnerabilities.

Nové verze Dashboardu (2.5.1.0) musíte stáhnout ručně (SanDisk, Western Digital).

TIP: Jak zkontrolovat jak je na tom pevný disk (HDD) či SSD z hlediska životnosti a zdraví. Co je to SMART

2019-08-03 15_41_58-SanDisk SSD Dashboard - 2.5.1.0.png

Hackeři opět útočí na ASUS počítače a instalují malware přes aktualizační software.

Hackeři opět útočí na ASUS počítače a instalují malware přes aktualizační software. Tentokrát to ale vypadá na využití MITM postavené na tom, že ASUS používá nešifrovanou komunikaci a neověřuje co vlastně do počítače dorazilo. Stejně tak ale může jít o kompromitaci ASUS WebStorage serverů. Viz Hackers abuse ASUS cloud service to install backdoor on users’ PCs a ASUS WebStorage Security Incident Update

2019-05-16 18_41_49-ASUS WebStorage Blog – Store everything, Share anything.png

Firefox 65 a některé antivirové programy se nesnesou.

Firefox 65 a některé antivirové programy se nesnesou. Výsledkem je, že uživatele nepustí na web u kterých pak Firefox tvrdí, že tam je špatný certifikát. Celé se to vrací k tomu, že antivirové programy pro kontrolu internetového připojení používají vlastně MITM útok. K tomu potřebují aby Firefox znal jejich „podvržený“ certifikát. Na což se poněkud zapomnělo. Viz Mozilla Halts Firefox 65 Rollout Due to Insecure Certificate Errors

your-connection-is-not-secure.jpg

Za adware na noteboocích zaplatí Lenovo 3.5 milionu dolarů americké FTC

Za adware na noteboocích zaplatí Lenovo 3.5 milionu dolarů americké FTC. Viz Lenovo settles with FTC, will pay $3.5 million for preinstalling adware on laptops a Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj kde najdete o co (v roce 2015) šlo. A ano, pokud si vzpomenete na Superfish, tak to je přesně ono.

lenovo_logo.png

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů mobilních aplikací. Právě tam jsou totiž k nalezení mizerné implementované OAuth 2.0 řešení využívaná k přihlašování s pomocí Facebook, Google či Sina Weibo. Útočník přitom nepotřebuje přístup do telefonu oběti, stačí využít Man-in-the-middle. Viz OAUTH 2.0 HACK EXPOSES 1 BILLION MOBILE APPS TO ACCOUNT HIJACKING a Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 (PDF)

2016-11-17 13_11_06-eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf.png