0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců

0day v Androidu ovládne 4 modely Pixelu a zařízení od Samsungu, Motoroly a dalších výrobců. Co navíc, je aktivně využíváno útočníky. Na mobil je možné zaútočit po instalaci aplikace (odjinud než z Google Play) nebo při brouzdaní přes mobilní Chrome. Viz Issue 1942: Android: Use-After-Free in Binder driver a Attackers exploit 0day vulnerability that gives full control of Android phones

success.png

LastPass opravil chybu, mohla zpřístupnit vaše hesla.

LastPass opravil chybu, mohla zpřístupnit vaše hesla. Detaily v LastPass Bug Reported & Resolved (a lastpass: bypassing do_popupregister() leaks credentials from previous site) a nutno dodat, že se týkala některých rozšíření do prohlížeče a clickjackingu vytvořeného útočníkem na webu. Ten by se pak dostal k poslednímu heslu, které LastPass vyplňoval. Nic co by tedy ohrožovalo všechna hesla, ale dost dobrý důvod k aktualizaci (na 44.33.0)

2017-03-21 16_41_48-LastPass _ Password Manager, Auto Form Filler, Random Password Generator & Secur

Detaily k využívání zranitelnosti v mobilních telefonech k hacku telefonů Ujgurských muslimů

Detaily k využívání zranitelnosti v mobilních telefonech k hacku telefonů Ujgurských muslimů najdete v Digital Crackdown: Large-Scale Surveillance and Exploitation of Uyghurs. Týká se to útoků na telefony s Androidem, ale jde o zjevně stejnou aktivitu Číny co probíhala i na iOS.

Blog-Graphic-01.png

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS

Většina telefonů s Androidem napadnutelná phishingovým útokem přes SMS. Ten umožní změnit nastavení sítě způsobem jakým to dělají operátoři s „konfigurační“ SMS. Detaily v Advanced SMS Phishing Attacks Against Modern Android-based Smartphones

2019-09-05 17_41_34-Advanced SMS Phishing Attacks Against Modern Android-based Smartphones - Check P.png

Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone

Google Project Zero objevil řetězec hacknutých webů útočících na 0day zranitelnosti iPhone a v případě úspěchu nasazujících do telefonu monitorovací štěnici. Web stačilo navštívit a vše proběhlo automaticky. Detaily v A very deep dive into iOS Exploit chains found in the wild

ios_timeline.png

 

Kaspersky označoval uživatele v prohlížeči kódem. Ten mohl kdokoliv zneužívat pro šmírování napříč Internetem

Kaspersky označoval uživatele v prohlížeči kódem. Ten mohl kdokoliv zneužívat pro šmírování napříč Internetem. Detaily v Kasper-Spy: Kaspersky Anti-Virus puts users at risk. Do každé navštívěné stránky vsouval stažení JavaScriptu spolu unikátním identifikátorem (klasické UUID) uživatele. Vše opraveno, ale rozpačitý pocit zůstává.

659819-kaspersky-lab-injection.png

Obzvlášť proto, že Kaspersky stáel vsouvá do stránek HTML kód. Ten je zneužřitelný k rozpoznání verze antivirového programu, který uživatel má. Co s tím? Najděte v Nastavení „Inject script into web traffic to interact with web pages“ a zakažte vsouvání kódu.

2019-08-17 09_19_04-Window.png

Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data

Bluetooth opět děravý. KNOB (CVE-2019-9506) vede k MITM a možnosti odposlouchávat i měnit přenášená data mezi dvěma zařízeními. Detaily v knobattack.com a pokud se ptáte zda zrovna vaše zařízení jsou napadnutelná, tak na to jasná odpověď není. KNOB byl zjištěn v roce 2018 a řada výrobců od té doby mohla zajistit obranu. Zda ano či ne se není kde dozvědět. Technické detaily viz The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation Of Bluetooth BR/EDR

2015-11-02 17_00_44-Jawbone _ UP Fitness Trackers _ JAMBOX Speakers _ ERA Bluetooth Headset

SSD Dashboard od Western Digital a SanDisku je děravý. Nové verze musíte stáhnout ručně.

SSD Dashboard od Western Digital a SanDisku je děravý, lze mu podvrhnout malware v rámci kontroly firmware. Ta probíhá přes klasické http. Nechybí ani natvrdo uložené heslo pro zašifrování dat posílaných technické podpoře. Oboje učebnicová klasika. Viz Trivial Bugs in Western Digital SSD Utility Puts Owners at Risk a SanDisk and Western Digital SSD Dashboard Vulnerabilities.

Nové verze Dashboardu (2.5.1.0) musíte stáhnout ručně (SanDisk, Western Digital).

TIP: Jak zkontrolovat jak je na tom pevný disk (HDD) či SSD z hlediska životnosti a zdraví. Co je to SMART

2019-08-03 15_41_58-SanDisk SSD Dashboard - 2.5.1.0.png

Výzkumníci Google našli pět „bezinterakčních“ způsobů jak napadnout iOS.

Výzkumníci Google našli pět „bezinterakčních“ způsobů jak napadnout iOS. Třeba jen posláním textové zprávy u které stačí, aby ji uživatel otevřel. Čtyři už jsou opravené v nejnovějším iOS 12.4, pátá prozatím nikoliv. Viz Google researchers disclose ‘interactionless’ iOS exploits valued at $5M

2019-07-30 12_35_43-ZERODIUM - How to Sell Your 0day Exploit to ZERODIUM.png