Újabb befoltozhatatlan sebezhetőséget fedeztek fel az Intel processzorokban

A Positive Technologies információbiztonsági cég munkatársai néhány napja tettek közzé egy sebezhetőséget, amely kreatív fantázianevek hiányában egyelőre a CVE-2019-0090 névre hallgat. A probléma hardveres szintű, és a megtalálók szerint “csaknem minden, ma forgalomban lévő” Intel processzort érint.

A sérülékenység forrása a processzorok Converged Security and Manageability Engine (CSME) nevű része. Ez gyakorlatilag egy, a processzoron belül futó másik, teljesértékű processzor, saját operációs rendszerrel.

Tovább olvasom

iSamurai iPhone szerviz akció
iSamurai iPhone szerviz akció
iSamurai iPhone szerviz akció

A checkra1n jailbreakkel jelenleg kikerülhető az Aktiválási zár, és ez egyelőre nem is előzhető meg

A nem olyan régen felbukkant checkm8 sebezhetőség az iPhone 4s-től az iPhone X-zel bezáróan majdnem minden készüléket érint, és ezt a hibát az Apple csak hardveres módosításokkal tudja kiküszöbölni. Így az érintett eszközök bármely iOS-verzióval jailbreakelhetőek lesznek a jövőben is, és ennek köszönhetően jelenhetett meg a checkra1n jailbreak.

A hardveres szintű, a bootromban meglévő hiba viszont egyúttal azt is jelenti, hogy olyan alacsony szinten bele lehet avatkozni a rendszer működésébe, amire az utóbbi években, a már futó rendszer hibáit kihasználó, úgynevezett userland-típusú sebezhetőségek esetén nem volt lehetséges. Így az adott készülék már az aktiválása előtt is jailbreakelhető, mondhatni “hacktiválható”, és a teljes fájlrendszer elérése miatt ezzel átugorható az aktiválási zár képernyője is, ami értelemszerűen több szempontból is problémás.

Tovább olvasom

iSamurai iPhone szerviz akció

SIMjacker – a sebezhetőség, amely bármely, SIM-kártyás eszközt érint

Néhány napja hoztak nyilvánosságra egy olyan globális sebezhetőséget a SIM-kártyák technológiájában, amelynek a koncepciója már régóta létezett.

 

A SIMjacker (nyers fordításban nagyjából “SIM-eltérítő”) névre keresztelt hibát egy írországi, mobilbiztonságra specializálódott cég, az AdaptiveMobile tárta fel. Szerintük a hibát egy kormányzati ügynökségeknek dolgozó magánvállalat évek óta és jelenleg is felhasználja arra, hogy több ezer mobiltelefont kövessen és hallgasson le többek között Mexikóban, Kolumbiában és Peruban. Ezen felül más, rosszindulatú támadók is birtokában vannak a kihasználáshoz szükséges rosszindulatú kódnak, és mind magánszemélyek, mind mobilszolgáltatók ellen elsütötték már csalásra, átverős vagy emeltdíjas hívások lebonyolítására, és szolgáltatás-megtagadásos (DoS) támadásokra is.

Tovább olvasom

iSamurai iPhone szerviz akció

Az Apple már nem küldi tovább harmadik félnek a Sirihez intézett kérdéseket

Még július végén írtunk róla, hogy az Apple néhány esetben a Sirihez intézett parancs hangfelvételét továbbította harmadik félnek visszaellenőrzésre, hogy Siri valóban jól értelmezte-e a feltett kérdést. Az ügy értelemszerűen felzaklatta azokat, akik az Apple adatvédelmi elveiben hittek.

Szerencsére a cég gyorsan reagált és kikapcsolták a hangüzenetek küldését ideiglenesen, amíg találnak egy jobb megoldást.

Tovább olvasom

iSamurai iPhone szerviz akció

The Guardian: harmadik félnek is továbbíthatja az Apple a hangod a Hey Siri használatakor

A The Guardian új cikkéből kiderül, hogy az Apple néhány felhasználó Siri felé intézett kérdéseit továbbítja embereknek meghallgatásra.

Valójában arról van szó, hogy az Apple szeretné tudni, hogy a modern iOS eszközökben található “Hey Siri” funkció mindig akkor aktiválódik-e, amikor azt a felhasználó akarja. Lássuk, van-e mitől félnünk, illetve hogyan lehet mindezt megakadályozni!

Tovább olvasom

iSamurai iPhone szerviz akció

Egy biztonsági hiba miatt az Apple átmenetileg letiltotta az Adó-vevőt az Apple Watch-on

A TechCrunch adott hírt arról, hogy az Apple átmenetileg felfüggesztette az Apple Watch esetén a watchOS 5-tel érkezett Adó-vevő működését. Ennek az okaként egy olyan sebezhetőséget jelölt meg a cég, aminek köszönhetően az adott Apple Watch képes lehetett egy másik felhasználó iPhone-ját mintegy lehallgató készülékként használni.

Apple Watch Adó-Vevő funkció

A cég nem tud arról, hogy bárki is képes lett volna már ezt a sebezhetőséget kihasználni, mert megadott körülmények, és pontos lépések szükségesek hozzá, de mindezt megelőzendő inkább egy az egyben letiltotta a funkció működését szerver oldalon. Ezért a felhasználók csak annyit látnak jelenleg, hogy egyik kontaktjuk sem érhető el, és így a funkció nem használható.

Tovább olvasom

iSamurai iPhone szerviz akció

OSX/Linker: egy kiskapu, amit nem véd a GateKeeper

A múlt héten az Intego munkatársai egy nemrég feltárt biztonsági hiba első ismert kihasználására találtak rá a macOS-ben. Filippo Cavallarin biztonsági szakértő még februárban fedezte fel azt a “MacOS X GateKeeper Bypass” (sic!) névre hallgató sérülékenységet, ami két, a macOS-ben megtalálható, amúgy legitim funkció kicsit szerencsétlen összjátékából kerekedett ki.

A szimbolikus linkeket, ZIP fájlokat és hálózati meghajtókat is felvonultató bug leegyszerűsítve azzal jár, hogy egy megfelelően összeállított ZIP-et kibontva, majd a benne lévő symlinket követve a gyanútlan felhasználó a támadó által előkészített, automount (automatikusan felcsatolt) hálózati meghajtóra vezethető.

Tovább olvasom

iSamurai iPhone szerviz akció
iSamurai iPhone szerviz akció