Titkosítás, biztonság, privát szféra

Tokióban zajlik ma és holnap a Mobile Pwn2Own 2017 konferencia és biztonsági "vetélkedő", amelynek keretében a biztonsági szakemberek napjaink mobil operációs rendszereink, böngészőinek biztonságát teszik próbára. A rendezvény összdíjazása több mint 500 ezer dollár, a legnagyobb spíler pedig elnyerheti a Master of Pwn címet és vele a MoP dzsekit.

Az első nap történései és legnagyobb elesései itt találhatók. További azonnali hírek: @thezdi

Felix Krause egy PSA (közérdekű bejelentés) keretében arra a működésre kívánja felhívni a széles nyilvánosság figyelmét, hogy az engedéllyel rendelkező, előtérben (foreground) futó iOS alkalmazás bármikor képet csinálhat (és tölthet fel), arcfelismerést indíthat a felhasználó tudtán kívül, azaz különösebb figyelmeztetés nélkül. Ebből kifolyólag mindenki kétszer gondolja meg, hogy milyen alkalmazásoknak ad kamera jogot. Ez a működés széles körben ismert a hardcore fejlesztők, de kevésbé ismert a laikusok körében. Ezért gondolta a szerző, hogy érdemes erre rávilágítania. A működést demonstrálandó, példaprogramot is készített. Krause-nak javaslatai is vannak arra nézve, hogy ezt a privacy kiskaput hogyan lehetne kezelni, illetve tippeket ad arra nézve, hogy a felhasználó hogyan védheti magát. Részletek itt.

Android is getting "DNS over TLS" support to stop ISPs from knowing what websites you visit https://t.co/nxOWwQVCyR pic.twitter.com/aEQBjxuKlI

— XDA Developers (@xdadevelopers) October 23, 2017

Az XDA Developers kiszúrta, hogy DNS over TLS támogatással kapcsolatos kódokat commitoltak az AOSP-ba, ami arra utalhat, hogy a következő Android verziókban a felhasználók számára is elérhető funkció lehet a DNS kérések titkosítottan küldése. Természetesen, a funkció megléte önmagában még nem garantálja, hogy teljesen eloszlanak a DNS kérésekkel kapcsolatos privát szféra aggályok ...

Részletek itt.

A Purism nemrég bejelentette, hogy az általa szállított laptopok letiltott Intel Management Engine-nel érkeznek. Ugyan léteznek leírások az Intel ME letiltására, de a folyamat technikailag kevésbé képzett személyek számára rendkívül bonyolult. Nekik lehet segítség az, hogy a Purism elvégzi helyettük a munkát:

Részletek a bejelentésben.

Sikeresen, 2,13 millió dollárral (142,2%) zárt a #Librem5 kampánya - https://t.co/sSNbyel2ej #mobilephone #security #privacy pic.twitter.com/fXciGyLXOP

— HUP (@huphu) October 24, 2017 #onhup

Útiterv:

Wildcard certificates from Let's Encrypt are coming in January 2018. https://t.co/prEvraIk8J

— Let's Encrypt (@letsencrypt) October 19, 2017

Majdnem 2 millió dollárnál (120,74%) a #Librem5 kampánya, még 4 nap a kampányzárásig https://t.co/sSNbyel2ej #mobilephone #security #privacy pic.twitter.com/RInomEV03Z

— HUP (@huphu) October 19, 2017 #onhup

Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).

Részletek itt.

Used Outlook's S/MIME feature in the past 6 months? Your mails were probably not sent encrypted: https://t.co/SxA3i6oc8e pic.twitter.com/mnr6WHqQ4u

— Stefan Viehböck (@sviehb) October 10, 2017

A Fake Crypto fantázianévre keresztelt Outlook S/MIME bug részleteit itt olvashatod.