Újabb befoltozhatatlan sebezhetőséget fedeztek fel az Intel processzorokban

H2CO3 hírek 2020. március 10. 09:38 Nincs hozzászólás 3 perc

A Positive Technologies információbiztonsági cég munkatársai néhány napja tettek közzé egy sebezhetőséget, amely kreatív fantázianevek hiányában egyelőre a CVE-2019-0090 névre hallgat. A probléma hardveres szintű, és a megtalálók szerint “csaknem minden, ma forgalomban lévő” Intel processzort érint.

A sérülékenység forrása a processzorok Converged Security and Manageability Engine (CSME) nevű része. Ez gyakorlatilag egy, a processzoron belül futó másik, teljesértékű processzor, saját operációs rendszerrel.

Tovább olvasom →

Fido Alliance tag lett az Apple

Kosztalma hírek 2020. február 12. 10:28 1 hozzászólás 2 perc

A Fido Alliance (Fast IDentity Online – gyors online azonosítás) kapott egy erős hátszelet, mert az Apple is belépett közéjük.

A szövetség azt szeretné, hogy a jelszavaknál biztonságosabb és kényelmesebb azonosítást használhassunk, ami abszolút egy olyan cél, ami az Apple-nek is tetszik.

Tovább olvasom →

Szabványosítaná az Apple az egyszeri jelszavak SMS-eit

Kosztalma hírek 2020. február 06. 10:49 6 hozzászólás 1 perc

Bizonyára találkoztál már olyannal, hogy egy szolgáltatásnál a bejelentkezéshez SMS-ben kaptad meg az ellenőrző kódot.

Az iOS a legtöbb esetben automatikusan beilleszti vagy felajánlja a QuickType billentyűzeten a beillesztést, de a ZDNet információi szerint az Apple ezt szeretné szabványosítással a következő szintre emelni.

Tovább olvasom →

A checkra1n jailbreakkel jelenleg kikerülhető az Aktiválási zár, és ez egyelőre nem is előzhető meg

Jadeye hírek 2019. november 24. 15:55 23 hozzászólás 7 perc

A nem olyan régen felbukkant checkm8 sebezhetőség az iPhone 4s-től az iPhone X-zel bezáróan majdnem minden készüléket érint, és ezt a hibát az Apple csak hardveres módosításokkal tudja kiküszöbölni. Így az érintett eszközök bármely iOS-verzióval jailbreakelhetőek lesznek a jövőben is, és ennek köszönhetően jelenhetett meg a checkra1n jailbreak.

A hardveres szintű, a bootromban meglévő hiba viszont egyúttal azt is jelenti, hogy olyan alacsony szinten bele lehet avatkozni a rendszer működésébe, amire az utóbbi években, a már futó rendszer hibáit kihasználó, úgynevezett userland-típusú sebezhetőségek esetén nem volt lehetséges. Így az adott készülék már az aktiválása előtt is jailbreakelhető, mondhatni “hacktiválható”, és a teljes fájlrendszer elérése miatt ezzel átugorható az aktiválási zár képernyője is, ami értelemszerűen több szempontból is problémás.

Tovább olvasom →

SIMjacker – a sebezhetőség, amely bármely, SIM-kártyás eszközt érint

H2CO3 hírek 2019. szeptember 21. 12:33 Nincs hozzászólás 8 perc

Néhány napja hoztak nyilvánosságra egy olyan globális sebezhetőséget a SIM-kártyák technológiájában, amelynek a koncepciója már régóta létezett.

A SIMjacker (nyers fordításban nagyjából “SIM-eltérítő”) névre keresztelt hibát egy írországi, mobilbiztonságra specializálódott cég, az AdaptiveMobile tárta fel. Szerintük a hibát egy kormányzati ügynökségeknek dolgozó magánvállalat évek óta és jelenleg is felhasználja arra, hogy több ezer mobiltelefont kövessen és hallgasson le többek között Mexikóban, Kolumbiában és Peruban. Ezen felül más, rosszindulatú támadók is birtokában vannak a kihasználáshoz szükséges rosszindulatú kódnak, és mind magánszemélyek, mind mobilszolgáltatók ellen elsütötték már csalásra, átverős vagy emeltdíjas hívások lebonyolítására, és szolgáltatás-megtagadásos (DoS) támadásokra is.

Tovább olvasom →

Az Apple már nem küldi tovább harmadik félnek a Sirihez intézett kérdéseket

Kosztalma hírek 2019. augusztus 11. 11:43 Nincs hozzászólás 1 perc

Még július végén írtunk róla, hogy az Apple néhány esetben a Sirihez intézett parancs hangfelvételét továbbította harmadik félnek visszaellenőrzésre, hogy Siri valóban jól értelmezte-e a feltett kérdést. Az ügy értelemszerűen felzaklatta azokat, akik az Apple adatvédelmi elveiben hittek.

Szerencsére a cég gyorsan reagált és kikapcsolták a hangüzenetek küldését ideiglenesen, amíg találnak egy jobb megoldást.

Tovább olvasom →

The Guardian: harmadik félnek is továbbíthatja az Apple a hangod a Hey Siri használatakor

Kosztalma hírek 2019. július 30. 15:09 1 hozzászólás 4 perc

A The Guardian új cikkéből kiderül, hogy az Apple néhány felhasználó Siri felé intézett kérdéseit továbbítja embereknek meghallgatásra.

Valójában arról van szó, hogy az Apple szeretné tudni, hogy a modern iOS eszközökben található “Hey Siri” funkció mindig akkor aktiválódik-e, amikor azt a felhasználó akarja. Lássuk, van-e mitől félnünk, illetve hogyan lehet mindezt megakadályozni!

Tovább olvasom →

Egy biztonsági hiba miatt az Apple átmenetileg letiltotta az Adó-vevőt az Apple Watch-on

Jadeye hírek 2019. július 11. 16:45 Nincs hozzászólás 3 perc

A TechCrunch adott hírt arról, hogy az Apple átmenetileg felfüggesztette az Apple Watch esetén a watchOS 5-tel érkezett Adó-vevő működését. Ennek az okaként egy olyan sebezhetőséget jelölt meg a cég, aminek köszönhetően az adott Apple Watch képes lehetett egy másik felhasználó iPhone-ját mintegy lehallgató készülékként használni.

A cég nem tud arról, hogy bárki is képes lett volna már ezt a sebezhetőséget kihasználni, mert megadott körülmények, és pontos lépések szükségesek hozzá, de mindezt megelőzendő inkább egy az egyben letiltotta a funkció működését szerver oldalon. Ezért a felhasználók csak annyit látnak jelenleg, hogy egyik kontaktjuk sem érhető el, és így a funkció nem használható.

Tovább olvasom →

OSX/Linker: egy kiskapu, amit nem véd a GateKeeper

H2CO3 hírek 2019. június 30. 10:16 Nincs hozzászólás 4 perc

A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.

A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.

Tovább olvasom →

Ezeket érdemes tudni a Sign in with Apple funkcióról

Kosztalma hírek 2019. június 15. 11:36 7 hozzászólás 3 perc

Feltelepítettél egy új alkalmazást és most be kell jelentkezned. Regisztrálhatsz emaillel és jelszóval, vagy használhatod a Facebook és a Google bejelentkezést, amivel pedig a lelked is eladod az ördögnek. Eddig csak ezek lehetőségek voltak, de idén ősszel érkezik a Sign in with Apple, ami egy kényelmes és biztonságos bejelentkezést hoz majd.

Az iOS 13 egyik újítása lesz a Sign in with Apple, de szerencsére nem csak iOS eszközeiden használhatod majd. Nézzük meg, hogy mit lehet tudni egyelőre erről az új szolgáltatásról!

Tovább olvasom →