Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy.

Google prý nezodpovědně zveřejnil díru ve Fortnite příliš brzy. Tvůrci fatálně děravého instalátoru po Google chtěli aby s tím počkal 90 dní. Takový trochu zábavný spor, kde sice chápu rozhořčení šéfa Epic Games, ale s ohledem na závažnost těch zhruba sedm dní vcelku chápu. Epic Games jsou navíc krajně nezodpovědní s obcházení Google Play. Viz Google is irresponsible claims Fortnite’s chief in bug row a již dříve zmíněné Man-in-the-Disk: A New Attack Surface for Android Apps

Man-in-the-Disk-Update-Flow

Reklamy

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.

Kryptowire: Miliony Androidů jsou zranitelné už když je vybalíte.  Původce jsou výrobci, kteří zasahují do Androidu a navíc přidávají aplikace plné děr. Značnou měrou se podílí i laxní přístup k aktualizacím. Viz MILLIONS OF ANDROID DEVICES ARE VULNERABLE RIGHT OUT OF THE BOX

android_logo

Čínské chytré vysavače s kamerou umožňují šmírovat na dálku.

Bezpečnostní chyba CVE-2018-10987 umožní útočníkovi získat přístup správce (včetně existence přednastavené kombinace přihlášení admin/888888) a dostat se k 360 stupňové kameře. Chyba se týká výrobku Dongguan Diqee 360, ale objevitelé mají za to, že další čínské vysavače používají totožný video modul. Ten ale nejspíš bude i v domovních zvoncích a kamerách. Aby toho nebylo málo, další bezpečnostní chyba umožňuje stroj ovládnout. V tomto případě je nutné mít přístup ke stroji a použít slot pro SD kartu (CVE-2018-10988).

Screen-Shot-2018-07-19-at-10.42.45-AM.png

 

Spoléháte se na asistenty v telefonu? Nedělejte to

Spoléháte se na asistenty v telefonu? Nedělejte to, Siri je snadné zatáhnout do phishingu. Detaily viz It Is Mind-Bogglingly Easy to Rope Apple’s Siri into Phishing Scams kde zjistíte, že Apple to nepovažuje za problém bezpečnostní problém. Ale prý se tomu budou věnovat a označili to za chybu.

2018-06-11 15_49_55-Apple iPhone_ iOS Phishing Trick Dupes Siri into Helping Scammers _ Fortune.png

Chyba u PGP v (některých) e-mailových klientech může zpřístupnit obsah šifrovaných e-mailů

Sebastian Schinzel na Twitteru varuje, že prozatím jediné řešení je přestat používat PGP a detaily byl měly být zveřejněný 15. května. Navíc tvrdí, že v problémech je i S/MIME, ale celé to je (v pondělí) dost nejasné. EFF varuje v Attention PGP Users: New Vulnerabilities Require You To Take Action Now.

Pokud vám to celé připadá jako divočina, tak bude připadat ještě více po přečtení Efail or OpenPGP is safer than S/MIME. Po dalším studiu zjistíte, že to vypadá na vcelku příčinnou souvislost mezi použitím HTML e-mailů a odkazů v nich a nejde tedy o chybu v PGP ale v poštovních klientech. Což ale neznamená, že to není vážné.

[14.05.18 14:09] Objevitelé nakonec informace pustili ven dřív, takže si to můžete nastudovat na efail.de – a jak se ještě před zveřejněním očekávalo, jde skutečně o zneužití odkazů v HTML e-mailech (obrázky, styly) – zajímavé je, že zásadní roli tady hraje podvržení pozměněného šifrovaného e-mailu.

1200-pexels-green-water-fountain-225769-code-computer-cyberspace-225769.jpg

Prakticky všechny operační systémy zasaženy vážnou bezpečnostní chybou.

Pikantní na ní je, že v popisu se uvádí, že na vině je to, že si jejich tvůrci buď špatně přečetli dokumentaci nebo ji nepochopili. Viz Microsoft Windows, Apple macOS, Linux, BSD: All hit by same ‚serious‘ security flaw a Vulnerability Note VU#631579 Hardware debug exception documentation may result in unexpected behavior

2018-05-09 16_41_23-Window.png