Titkosítás, biztonság

Check Point Research: a Qualcomm Snapdragon chipjének több mint 400 sebezhetősége fenyegetés a mobiltelefonhasználatra világszerte

A Check Point Research az "Achilles" nevet adta annak a kutatásának, amelynek során a Qualcomm Technologies Digital Signal Processor (DSP) chipjét vetette alapos biztonsági tesztelés alá. A tesztelés során több mint 400 sebezhetőségre bukkantak.

A The Linux Foundation bejelentette az Open Source Security Foundation létrejöttét; a Microsoft, GitHub alapító tagként csatlakozott hozzá

Az Open Source Security Foundation (OSSF) célja a nyílt forrású szoftverek biztonságosságának elősegítése, biztonságának javítása. Az alapító tagok közt megtalálható:

Laptopom webkameráját biztonsági/privacy okokból ...

Ha már elszabadultak az indulatok, nézzük ki mit tesz ez ügyben a saját háza táján ...

Szavazatok

P0: Egy bájt mind felett ...

In this blog post, I'll describe a new iOS kernel exploitation technique that turns a one-byte controlled heap overflow directly into a read/write primitive for arbitrary physical addresses, all while completely sidestepping current mitigations such as KASLR, PAC, and zone_require. By reading a special hardware register, it's possible to locate the kernel in physical memory and build a kernel read/write primitive without a fake kernel task port. I'll conclude by discussing how effective various iOS mitigations were or could be at blocking this technique and by musing on the state-of-the-art of iOS kernel exploitation. You can find the proof-of-concept code here.

 Részletek a Google P0 csapat blogjában.

A BadPower támadás nyomán a gyorstöltőd akár fel is gyújthatja az eszközödet

A Tencent Security Lab csapata egy BadPower nevű támadás részleteit tette közzé. Lényege: az újabban gyártott gyorstöltők közt van olyan, amelyikekben egyszerűen módosítható a firmware. A firmware módosításához elég rádugni egy pillanatra egy speciális eszközt, de egyes töltőknél akár egy malware-t tartalmazó laptop vagy okostelefon is felhasználható erre, vagyis akár a felhasználó saját maga is korrumpálhatja a saját töltője firmware-ét a tudtán kívül.

Meghackelték a Apple és számos ismert ember, vállalat Twitter fiókját, hogy kriptovaluta spam-et terjesszenek

Széles körű támadást indítottak a Twitter ellen, ami során számos nagyvállalat és ismert ember Twitter fiókja esett áldozatul. A fiókokat Bitcoin-csalásra használták fel. Így esett meg, hogy például az Apple, Barack Obama is "arról tweetelt", hogy Bitcoin-t "adományozna" a COVID-19 áldozatainak. A csalás mások mellett az alábbi fiókokat érintette:

Megérkezett az első exploit a SIGRed-hez?

Alig néhány órája vált publikussá a SIGRed névre hallgató, kritikus Microsoft DNS sebezhetőség, máris fenn van a GitHub-on a sebezhetőségre megjelent első PoC exploit. Elérhető Windows bináris, Linux shell script formában. Mivel az állítólagos exploit egy ismeretlen által került feltöltésre, nem jó ötlet futtatni. Viszont egy dologra mindenképpen felhívja a figyelmet: mielőbb érdemes frissíteni a sebezhető rendszereket, mert csak idő kérdése, hogy mikor bukkan fel a sebezhetőségre egy exploit vagy worm.

[Videó] XML-alapú támadások mindenkinek - az elfelejtett módszerek

Az előadás az XML kihasználhatóságát veszi górcső alá: miután mára a technológia biztonságának szinte minden aspektusát felboncolta a szakértői közösség, most néhány érdekes és ritkán használt támadás kerül terítékre, amelyek részletei a mindennapi munka, sőt, akár bug bounty programok során is hasznosak lehetnek - a 2020.07.07-i HWSW free! IT biztonsági meetupon elhangzott előadásban tapasztalatait Módly Márk, a HardcoreIT biztonsági szakértője osztotta meg.

Akit érdekel az IT biztonság témaköre, mindenképp érdemes ellátogatnia a július 17-én megrendezett Sysadminday rendezvényünkre, ahol a rendszergazdák világnapjának megünneplése mellett további IT biztonsági előadásokkal készülünk!

Beperelték a LinkedIn-t, mert azon kapták, hogy iOS készülékek vágólapjain szaglászik

A Microsoft érdekeltségébe tartozó LinkedIn-t azon kapták, hogy iPhone-nal és iPad-del rendelkező felhasználók vágólapjait olvasgatta. Noha a vállalat azt állította, hogy csak egy szoftverhibáról van szó, egy iPhone felhasználó pert indított érzékeny adatok feltételezett, vágólapról történő engedély nélküli olvasása miatt.

Részletek itt.

Az FCC hivatalosan nemzetbiztonsági fenyegetésnek nevezte a Huawei-t és a ZTE-t

Hosszas előzménye van a dolognak, de végül tegnap a US Federal Communications Commission (FCC) hivatalosan nemzetbiztonságot fenyegető entitásoknak nevezte a Huawei-t és a ZTE-t:

WASHINGTON, June 30, 2020—The Federal Communications Commission today took a major step in its ongoing efforts to protect U.S. communications networks from security risks.  Specifically, the FCC’s Public Safety and Homeland Security Bureau formally designated two companies—Huawei Technologies Company (Huawei) and ZTE Corporation (ZTE), as well as their parents, affiliates, and subsidiaries—as covered companies for purposes of the agency’s November 2019 ban on the use of universal service support to purchase equipment or services from companies posing a national security threat.