Operátoři implementují RCS (náhradu SMS) bez důrazu na bezpečnost

Operátoři implementují RCS (náhradu SMS) bez důrazu na bezpečnost. Zákazníky pak vystavují odposlouchávání, spamu, podvrhům telefonních čísel, úniku geolokačních informací a řadě dalších nebezpečí. Samotné RCS přitom problém není, skutečně jde jen o neschopnost ho bezpečně nasadit. Viz SMS Replacement is Exposing Users to Text, Call Interception Thanks to Sloppy Telecos

2019-11-30 11_12_14-SMS Replacement is Exposing Users to Text, Call Interception Thanks to Sloppy Te.png

Čínští hackeři z APT 41 infikovali servy telco operátorů aby mohli vykrádat obsah SMS.

Čínští hackeři z APT 41 infikovali servy telco operátorů aby mohli vykrádat obsah SMS. Cíleně přitom šli po konkrétních telefonních číslech a IMEI a také sledovali určitá klíčová slova ve zprávách. Týká se to několik nejmenovaných operátorů. Detaily v MESSAGETAP: Who’s Reading Your Text Messages?

uploads%2Fcard%2Fimage%2F1070842%2Fa07a70c5-589e-47a2-a4e2-98cbaeefa669.png%2Ffull-fit-in__950x534.png

Pár dnů po napadení účtů šéfa Twitteru přes SMS konečně Twitter pochopil a SMS tweetování vypnuli

Pár dnů po napadení účtů šéfa Twitteru přes SMS konečně Twitter pochopil a SMS tweetování vypnuli. Dočasně, samozřejmě. Byť ona dočasnost je podmíněna tím, že vždy bude existovat možnost, že mobilní operátor někomu zcela cizímu vydá SIM s číslem někoho jiného. Viz Twitter suspends SMS feature after CEO Dorsey’s account was hi-Jack-ed

2019-09-07 09_16_51-(1) Twitter Support on Twitter_ _We’re taking this step because of vulnerabiliti.png

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS. Ten umožní změnit nastavení sítě způsobem jakým to dělají operátoři s „konfigurační“ SMS. Detaily v Advanced SMS Phishing Attacks Against Modern Android-based Smartphones

2019-09-05 17_41_34-Advanced SMS Phishing Attacks Against Modern Android-based Smartphones - Check P.png

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty

Insinia Security poněkud svérázně upozorňují na chybu na Twitteru – hackují účty známých lidí. Byť hackují je trochu nepřesné – chyba má umožnit při znalosti telefonního čísla spojeného s účtem vkládat na účet tweety a některé další aktivity. Viz This account has been hijacked (temporarily)! kde upozorňují, že na problém přišli už v březnu, Twitter to nechal být. Znovu zkusili Twitter upozornit v listopadu, opět se nic nestalo.

Podle popisu to vypadá, že je to poměrně dost trapná chyba – prostě pokud dorazí SMS se správným číslem, Twitter ji zpracuje aniž by cokoliv ověřoval. No a protože odesílatel zprávy (číslo) se dá falšovat… Pokud se tedy ptáte jak se něčemu takovému vyhnout? Odstraňte ze svého Twitteru telefonní číslo (dvoufaktor přes SMS je tak jako tak dost rizikový).

2018-12-28 16_22_08-Window.png

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i dalších citlivých informací

Děravý server společnosti posílající SMS zprávy zpřístupnil miliony resetů hesel i kódů dvoufaktorového ověření. Chybně konfigurovaný server s databázemi v AWS byl navíc nalezen přes Shodan. Patřil firmě, která pro další firmy posílá SMS. Viz A leaky database of SMS text messages exposed password resets and two-factor codes kde zjistíte navíc i další řadu zásadních věcí. Třeba to, že Badoo posílá přes SMS čitelná hesla (což u Badoo nepřekvapí).

voxox-pic.png

Děravý Google+ přivedl Google k přínosnějšímu nastavení pravidel pro vývojáře. N

Děravý Google+ přivedl Google k přínosnějšímu nastavení pravidel pro vývojáře. Na jedné straně je tam onen podivný předpoklad, že uživatelé chtějí jemnější možnosti přidělování práv (nechtějí, to už víme roky), na straně druhé tam jsou zlepšení – například konce hromadného souhlasu s právy, omezení přístupů k SMS, kontaktům a e-mailům. Aplikace tam přistupující navíc budou procházet přísnější kontrolou. Přímo na Android telefonovat a SMSkovat (a přístup k SMS a údajům o telefonování) budou moci pouze výchozí aplikace, hlasová pošta a zálohovací aplikace. Viz Google is issuing stricter guidelines for devs after Google+ security debacle

android_logo

iOS 12 chybuje při slučování konverzací v iMessage a zprávy končí u jiných lidí

iOS 12 chybuje při slučování konverzací v iMessage a zprávy končí u jiných lidí. Původně přitom mělo jít o užitečně vypadající schopnost sloučit zprávy co si píšete s jedním člověkem, ale  prostřednictvím rozdílných cest (například pracovní mail, soukromý mail a telefonní číslo). Slučování ale poněkud dělá divné věci, zprávy posílá i lidem v rodině kýženého příjemce. Což by napovídalo na společný jmenoval v podobě sdíleného/rodinného Apple ID. Náprava je komplikovaná i tím, že v Apple si nemysleli, že spojení kontaktů bude potřeba ručně rozpojit. Viz Apple users claim iOS 12 is sending iMessages to the wrong contacts

TIP: Co je nového v iOS 12 můžete zjistit v 📱 Tipy a triky pro Apple iOS na @365tipu

2018-10-01 18_37_37-Apple users claim iOS 12 is sending iMessages to the wrong contacts.png

Dvoufaktorové ověření přes SMS nepomáhá tam kde zaměstnanci operátora ochotně vydávají nové SIM karty.

Dvoufaktorové ověření přes SMS nepomáhá tam. kde zaměstnanci operátora ochotně vydávají nové SIM karty někomu, kdo není vlastník telefonu.Dnes už se na něco takového zaměřuje organizovaný zločin. Viz Police expose SIM card hijacking ring a až si budete aktivovat dvoufaktor, tak rozhodně ne přes SMS.

1600-pexels-onepls-smartphone-sim-pexels-photo-63690.jpg