Kaspersky označoval uživatele v prohlížeči kódem. Ten mohl kdokoliv zneužívat pro šmírování napříč Internetem

Kaspersky označoval uživatele v prohlížeči kódem. Ten mohl kdokoliv zneužívat pro šmírování napříč Internetem. Detaily v Kasper-Spy: Kaspersky Anti-Virus puts users at risk. Do každé navštívěné stránky vsouval stažení JavaScriptu spolu unikátním identifikátorem (klasické UUID) uživatele. Vše opraveno, ale rozpačitý pocit zůstává.

659819-kaspersky-lab-injection.png

Obzvlášť proto, že Kaspersky stáel vsouvá do stránek HTML kód. Ten je zneužřitelný k rozpoznání verze antivirového programu, který uživatel má. Co s tím? Najděte v Nastavení „Inject script into web traffic to interact with web pages“ a zakažte vsouvání kódu.

2019-08-17 09_19_04-Window.png

Reklamy

Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data

Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data mezi dvěma zařízeními. Detaily v knobattack.com a pokud se ptáte zda zrovna vaše zařízení jsou napadnutelná, tak na to jasná odpověď není. KNOB byl zjištěn v roce 2018 a řada výrobců od té doby mohla zajistit obranu. Zda ano či ne se není kde dozvědět. Technické detaily viz The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation Of Bluetooth BR/EDR

2015-11-02 17_00_44-Jawbone _ UP Fitness Trackers _ JAMBOX Speakers _ ERA Bluetooth Headset

Facebook nechával přepisovat hlasové komunikace z Messengeru externím dodavatelům. Bez vědomí uživatelů

Stejně jako ostatní (Amazon, Google, Apple, Microsoft, atd) to nejspíš používal pro trénování překladové AI používané pro převod hlasu na text, jednu z funkcí Messengeru, která má umožnit diktovat zprávu místo psaní. Zjistil to Bloomberg (Facebook Paid Contractors to Transcribe Users’ Audio Chats) a Facebook přepisy aktuálně pozastavil. Sami přepisovači netušili odkud záznamy pocházejí. Uživatelům o tom Facebook tradičně zapomněl cokoliv sdělit.  Více viz též Facebook Did the Sneaky Listening Thing, Too

Jakkoliv Irish regulator queries Facebook on transcription of users‘ audio vypadá dobře a reakce je rychlá, ta jde o tentýž úřad, který se v uplynulých deseti letech ukázal jako zcela bezzubý.

Ne nezajímavé je připomenout jednu dávnou konspiraci: Zneužívá Facebook chytré telefony k odposlouchávání lidí?

facebook-messenger

 

Mobilní aplikace 3fun pro zájemce o skupinový sex o nich volně poskytovala snad všechno co mohla poskytnout

Mobilní aplikace 3fun pro zájemce o skupinový sex o nich volně poskytovala snad všechno co mohla poskytnout. Fotografie, geolokační údaje, osobní detaily (včetně data narození). Prostým požadavkem na servery můžete získat seznam všech zájemců v jakékoliv geolokaci s přesným zaměřením. Fascinující ukázka učebnicových diletantů v Group sex app leaks locations, pics and personal details. Identifies users in White House and Supreme Court

groupapp2.fw_.png

Aplikace pro blokování obtěžujících automatických volání sbírají data o uživatelích bez jejich svolení

Aplikace pro blokování obtěžujících automatických volání sbírají data o uživatelích bez jejich svolení a vědomí. Včetně těch známých jako Truecaller. Provozovatelé a třetí strany získají telefonní čísla, údaje o telefonu. Týká se jak Androidu, tak iOSu.  Viz Robocall blocking apps caught sending your private data without permission

2019-08-10 19_08_49-Window.png

Stovky záloh v cloudu od Amazonu zpřístupňují citlivá data.

Stovky záloh v cloudu od Amazonu zpřístupňují citlivá data. Uživatelé Amazon Elastic Blokc Storage ponechávají své věci nezabezpečená. Ať už jde o S3 bucket, ale dokonce a hlavně EBS snapshoty. Viz More Keys Than A Piano: Finding Secrets In Publicly Exposed Ebs Volumes a Hundreds of exposed Amazon cloud backups found leaking sensitive data

Screen-Shot-2019-08-09-at-2.45.51-PM.jpg

Chrání GDPR osobní údaje? Mělo by, ale dá se zneužít k jejich získání.

Chrání GDPR osobní údaje? Mělo by, ale dá se zneužít k jejich získání. Jedna společnost ze čtyř poskytla osobní informace lidí na základě podvržené žádost. Dost závažné zjištění, detaily najdete v Black Hat: GDPR privacy law exploited to reveal personal data. Jsou tam uvedeny i některé veskrze originální způsoby „ověření“ totožnosti.

GDPR