Přes 400 zranitelností (pojmenovaných jako Achilles) v Snapdragon čipech od Qualcommu. Ty jsou v ve více než 3 miliardách zařízení po celém světě.

Přes 400 zranitelností (pojmenovaných jako Achilles) v Snapdragon čipech od Qualcommu. Ty jsou v ve více než 3 miliardách zařízení po celém světě. Více než 40 % trhu mobilních telefonů používá právě tyto čipy. Útočník může získat kompletně kontrolu nad telefonem, znemožnit jeho funkci i znepřístupní obsah na něm a malware může chyby využít pro napadení telefonu. Problém je i v tom, že Qualcomm znemožňuje zjistit cokoliv o tom jak jeho čipy fungují. Detaily v Over 400 vulnerabilities on Qualcomm’s Snapdragon chip threaten mobile phones’ usability worldwide

2020-08-10 19_33_45-Qualcomm Snapdragon Mobile Platforms, Processors, Modems and Chipsets _ Qualcomm.png

 

Firefox 72 se ukázal kriticky děravý. Určitě se ujistěte, že máte alespoň 72.0.1

Firefox 72 se ukázal kriticky děravý. Určitě se ujistěte, že máte alespoň 72.0.1, tedy verzi kterou Mozilla vypustila pár dní po uvolnění původní verze. Chyba by měla umožnit ovládnout počítač a podle některých informací je už aktivně využívána pro útoky. Viz Mozilla Foundation Security Advisory 2020-03

mozilla-firefox-Logo

Až 200 milionů kabelových modemů v Evropě je napadnutelných

Až 200 milionů kabelových modemů v Evropě je napadnutelných. Čerstvě objevený Cable Haunt (PDF) umožňuje útočníkům kompletně ovládnout modem (kabelový router) a je založené na software, které řada výrobců zahrnula do svých zařízení a které obsahuje bezpečnostní chybu. Ukázkový exploit viz Lyrebirds/sagemcom-fast-3890-exploit. Zmíněny a ověřeny jsou modemy od společností Sagemcom, Technicolor, Netgear a COMPAL.

2020-01-11 08_32_11-Cable HauntExploit.png

TikTok byl děravý a to opravdu hodně.

TikTok byl děravý, útočníci mohli mazat a přidávat videa, měnit nastavení na veřejné, krást osobní data, dostávat se do uzavřených účtů. Přišli na to v CheckPoint Research a z popisů plyne, že jde o jednu z nejlepší ukázek toho, že na sociálních sítích nikdy žádné soukromí existovat nebude. Viz Tik or Tok? Is TikTok secure enough?

Chyba ve WhatsApp umožňovala krást soubory i zprávy přes poslané GIFy. 

Chyba ve WhatsApp umožňovala krást soubory i zprávy přes poslané GIFy.  Viz WhatsApp bug allowed hackers to steal files and messages with GIFs a How a double-free bug in WhatsApp turns to RCE. K čemuž se hodí připomenout, že síce můžete mít end-to-end šifrování, ale jakmile se dá na dálku kompromitovat klient, je to úplně jedno.

whatsapp1.png