Klíč Titan Security není bezpečný, Google je musí vyměnit.

Klíč Titan Security není bezpečný, Google je musí vyměnit. Ještě nedávno se přitom tento hardwarový klíč pro dvoufaktorové ověření vydával za příkladné řešení. Ve skutečnosti je napadnutelný, útočník se může přes Bluetooth připojit a komunikovat jak s klíčem, tak se spárovaným zařízením. Týká se to pochopitelně jenom Bluetooth verze a útočník musí být v blízkosti (do 30 metrů.). Viz Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys

2019-05-18 08_06_54-Google Online Security Blog_ Advisory_ Security Issue with Bluetooth Low Energy .png

Reklamy

Děravé WhatsApp. Neznámo jak dlouho, ale chyba zcela zásadní.

Děravé WhatsApp. Neznámo jak dlouho, ale chyba zcela zásadní. Na druhou stranu, podle zjištění ne triviálně využitelná a velmi pravděpodobně použita pro cílené útoky. Poučené je ale hlavně to, že žádné software v počítači ani telefonu nelze nikdy považovat za bezpečné. V tomto případě bylo možné dostat na telefon (Android i iOS) software umožňující získat přístup pouze tím, že útočník aktivoval hlasové volání, které nebylo ani nutné přijmout.

Aktuální verze WhatsApp jsou již napravené, změnami na serverové straně.

Viz WhatsApp discovers ‚targeted‘ surveillance attack a Financial Times, kteří problém objeviili. Uváděí, že zranitelnost byla aktivně využívána izraelskou NSO Group. Facebook v CVE-2019-3568  uvádí bufer overflow umožňující spuštění kódu na dálku.

2019-05-14 19_30_34-(3) Facebook.png

Populární čínské GPS sledovátko je děravé. Prodává ho přitom řada firem i pod vlastní značkou.

Populární čínské GPS sledovátko je děravé. Prodává ho přitom řada firem i pod vlastní značkou. Prozrazuje polohu (stačí poslat SMS zprávu s odpovídajícím klíčovým slovem) a dokonce zavolat a poslouchat co slyší mikrofon v zařízení zabudovaný. Nechybí ani možnost deaktivace. Proti něčemu takovému je možné zařízení chránit pouze pomoci PINu, ale ten uživatelé nenastavují a reset zařízení je navíc možná i bez znalosti PINu. Viz EXPLOITING 10,000+ DEVICES USED BY BRITAIN’S MOST VULNERABLE

2019-05-11 08_55_14-Exploiting 10,000+ Devices Used by Britain’s Most Vulnerable - Fidus Information.png

 

Děravá a zneužitelná jQuery Mobile a minimálně od prosince 2018 autoři nereagují

Děravá a zneužitelná jQuery Mobile a minimálně od prosince 2018 autoři nereagují (viz Security issues #8640). Samotná chyba byla objevená v roce 2017, cesta jak ji zneužít práve v prosinci 2018. Kompletní popis zranitelnosti a cesty k zneužití v Multiple vulnerabilities in jQuery Mobile.  Pokud snad používáte JQM, je asi dost jasné, že už nejde o udržovanou knihovnu a autoři nic neřeší.

2019-05-05 07_30_46-jqm-xss.md · GitHub.png

 

0day in Oracle Weblogic znamená, že chytíte malware aniž byste na cokoliv klikli.

0day in Oracle Weblogic znamená, že chytíte malware aniž byste na cokoliv klikli. Venku na internetu už více než týden a aktivně využíváno. Viz Zero-day attackers deliver a double dose of ransomware—no clicking required a Update about Weblogic CVE-2019-2725 (Exploits Used in the Wild, Patch Status)

ransomware-note-800x1063.jpg

Vodafone zjistil v roce 2009, 2011/2012 backdoory v zařízení od Huawei.

Vodafone zjistil v roce 2009,2011/2012 backdoory v zařízení od Huawei. V domácích routerech ale i v pokročilejších zařízeních. Podle Vodafone Found Hidden Backdoors in Huawei Equipment požádal o nápravu a byl ujištěn, že k nápravě došlo. Bloomberg v článku tradičně volně zaměňuje backdoor (tedy úmyslně umístěný kód umožňující přístup někomu dalšímu) a bezpečnostní chyby.

POZNÁMKA: Bloomberg má za sebou řadu hodně nepovedených pokrytí „kauz“ v technologické oblastí. Třeba Bloomberg po několika letech objevili, že se Facebook nedá z telefonů odstranit. ale hlavně kauzu Super Micro (Vyšetřování nevěrohodného příběhu Bloombergů o Supermicro špionážiSuper Micro nezjistili ani po dalším zkoumání třetí stranou nic závadného).

Celé je to ještě nutno doplnit o Vodafone denies Huawei Italy security risk. Vodafone totiž upozorňuje, že „backdoor“ byl ve skutečnosti Telnet a také, podstatné, žádnou bezpečnostní hrozbou nebyl – Vodafone navíc uvádí, že mělo jít o opomenut v neodstranění diagnostických funkcí po nasazení zařízení. Včetně toho, že Huawei měl problémy po objevení skutečně napravit. Stejně jako se zde upozorňuje na to, že bezpečnostní chyby jsou věc běžná i všech výrobců.

Celé to tedy může být součástí stále probíhající složité hry (a obchdní války) mezi USA a Huawei/Čínou.

2019-04-30 14_56_53-Vodafone Found Hidden Backdoors in Huawei Equipment - Bloomberg.png

Děravý AdBlock Plus, AdBlock a uBlock – třetí strana mohla vkládat malware

Děravý AdBlock Plus, AdBlock a uBlock – třetí strana mohla vkládat malware přes importované filtry. K džungli co panuje mezi několika „podobně“ se jmenujícími pomůckami na blokování inzerce to asi tak nějak patří. Pokud používáte uBlock Origin, tak ten tento problém nemá. Viz Just a little FYI: Filtering doodad in Adblock Plus opens door to third-party malware injection a Adblock Plus filter lists may execute arbitrary code in web pages

2016-12-18-11_10_07-adblock-pro-internetovy-obchod-chrome