SIMjacker – a sebezhetőség, amely bármely, SIM-kártyás eszközt érint

Néhány napja hoztak nyilvánosságra egy olyan globális sebezhetőséget a SIM-kártyák technológiájában, amelynek a koncepciója már régóta létezett.

 

A SIMjacker (nyers fordításban nagyjából “SIM-eltérítő”) névre keresztelt hibát egy írországi, mobilbiztonságra specializálódott cég, az AdaptiveMobile tárta fel. Szerintük a hibát egy kormányzati ügynökségeknek dolgozó magánvállalat évek óta és jelenleg is felhasználja arra, hogy több ezer mobiltelefont kövessen és hallgasson le többek között Mexikóban, Kolumbiában és Peruban. Ezen felül más, rosszindulatú támadók is birtokában vannak a kihasználáshoz szükséges rosszindulatú kódnak, és mind magánszemélyek, mind mobilszolgáltatók ellen elsütötték már csalásra, átverős vagy emeltdíjas hívások lebonyolítására, és szolgáltatás-megtagadásos (DoS) támadásokra is.

Tovább olvasom

iSamurai iPhone szerviz akció

Az Apple már nem küldi tovább harmadik félnek a Sirihez intézett kérdéseket

Még július végén írtunk róla, hogy az Apple néhány esetben a Sirihez intézett parancs hangfelvételét továbbította harmadik félnek visszaellenőrzésre, hogy Siri valóban jól értelmezte-e a feltett kérdést. Az ügy értelemszerűen felzaklatta azokat, akik az Apple adatvédelmi elveiben hittek.

Szerencsére a cég gyorsan reagált és kikapcsolták a hangüzenetek küldését ideiglenesen, amíg találnak egy jobb megoldást.

Tovább olvasom

iSamurai iPhone szerviz akció

The Guardian: harmadik félnek is továbbíthatja az Apple a hangod a Hey Siri használatakor

A The Guardian új cikkéből kiderül, hogy az Apple néhány felhasználó Siri felé intézett kérdéseit továbbítja embereknek meghallgatásra.

Valójában arról van szó, hogy az Apple szeretné tudni, hogy a modern iOS eszközökben található “Hey Siri” funkció mindig akkor aktiválódik-e, amikor azt a felhasználó akarja. Lássuk, van-e mitől félnünk, illetve hogyan lehet mindezt megakadályozni!

Tovább olvasom

iSamurai iPhone szerviz akció

Egy biztonsági hiba miatt az Apple átmenetileg letiltotta az Adó-vevőt az Apple Watch-on

A TechCrunch adott hírt arról, hogy az Apple átmenetileg felfüggesztette az Apple Watch esetén a watchOS 5-tel érkezett Adó-vevő működését. Ennek az okaként egy olyan sebezhetőséget jelölt meg a cég, aminek köszönhetően az adott Apple Watch képes lehetett egy másik felhasználó iPhone-ját mintegy lehallgató készülékként használni.

Apple Watch Adó-Vevő funkció

A cég nem tud arról, hogy bárki is képes lett volna már ezt a sebezhetőséget kihasználni, mert megadott körülmények, és pontos lépések szükségesek hozzá, de mindezt megelőzendő inkább egy az egyben letiltotta a funkció működését szerver oldalon. Ezért a felhasználók csak annyit látnak jelenleg, hogy egyik kontaktjuk sem érhető el, és így a funkció nem használható.

Tovább olvasom

iSamurai iPhone szerviz akció

OSX/Linker: egy kiskapu, amit nem véd a GateKeeper

A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.

A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.

Tovább olvasom

iSamurai iPhone szerviz akció
iSamurai iPhone szerviz akció

Kockázatot jelenthetnek egyes, a Walletban lévő kártyáink a bekapcsolt gyors elérés esetén

Most, hogy hazánkban is elérhető már az Apple Pay május 21-e óta, a legtöbb felhasználó engedélyezte azt a kényelmi funkciót is a bankkártyája hozzáadása után, hogy telefon típustól függően az oldalsó illetve főgomb dupla megnyomására előugorjon a Wallet, benne a fizetéshez a bankkártyánk – és mellette adott esetben több más kártyánk is.

Ez néha problémát jelenthet, mert ha mondjuk elhagyjuk a készülékünket, akkor bár a bankkártyánkkal azonosítás nélkül nem fog tudni fizetni a nem becsületes megtaláló, de egyes hűségkártyáink QR-kódja már sok esetben használható hűségpontos vagy feltöltött egyenleggel történő vásárlásra. Nézzük, mit kell erről tudni, és mit tehetünk ellene!

Tovább olvasom

iSamurai iPhone szerviz akció

Intelligens követésmegelőzés: így védi adatainkat a Safari

Az iOS 12.2 verziójával érkező Mobile Safari, valamint a böngésző asztali kiadásának 12.1-es verziója, amely macOS High Sierra és Mojave rendszerekre lesz elérhető, az Intelligent Tracking Prevention (intelligens követésmegelőzés) egy új változatát fogja tartalmazni. Az Apple ennek a frissítésnek a WebKit blogon is szentelt egy cikket.

A hivatalosan ITP 2.1 névre hallgató funkció a kliensoldali sütik (cookie-k) tárolási idejét hét napban maximalizálja. Az egyhetes periódus letelte után az ennél idősebb sütik érvényüket vesztik. Az Apple által közzétett cikk szerint ez nemcsak az adatbiztonságot javítja, de a böngészés sebességét is növeli. Hogy miért? Lássunk néhány idézetet a fenti blogból!

Tovább olvasom

iSamurai iPhone szerviz akció

Az Apple eltávolítja a Ne kövessenek a webhelyek (Do Not Track) funkciót a Safariból

A Ne kövessenek a webhelyek (Do Not Track) funkció már több éve jelen van a Safariban, 2011-ben debütált az OS X Lion-nel, azonban az Apple úgy döntött, hogy eltávolítja a böngészőből ezt a biztonsági beállítást.

A ‘Do Not Track’ feladata az lett volna, hogy megakadályozza, hogy a felhasználók tevékenységét nyomonkövessék, de sajnos ez az opció több szempontból is kudarcot vallott, amelynek okairól a 9to5Mac is beszámolt.

Tovább olvasom

iSamurai iPhone szerviz akció

Ezért frissíts mielőbb iOS 12.1.4-re

Egy új bejelentés szerint két, az iOS legutóbbi frissítésében már kijavított biztonsági hibát használhattak ki bűnözők valós helyzetekben.

Borítókép: Biztonság banner – sok kék, zárt lakat között egy piros, nyitott lakat.

Úgy tűnik, a támadásokat még azelőtt hajtották végre, hogy az Apple kiadta volna az iOS 12.1.4-es verzióját, tehát a jelek szerint a biztonsági rések tehát 0-day, azaz a javításra rendelkezésre álló idő nélkül “ellőtt” sebezhetőségnek minősülnek.

Tovább olvasom

iSamurai iPhone szerviz akció