Automatické vyplňování v prohlížeči už prý slouží pro phishingové útoky

Automatické vyplňování v prohlížeči už prý slouží pro phishingové útoky, alespoň to píše The Guardian v Browser autofill used to steal personal details in new phishing attack. Řeč je zde o tom co zjistil zhruba před týdnem Viljami Kusomanen a co si v praxi můžete vyzkoušet zde. Ten text od Guardianu má mimochodem jednu zvláštnost, tvrdí něco o využití této chyby v phishingovém útoku, ale nic takového v článku neuvádí (a už vůbec nezdrojuje). Takže s ohledem na objevenou chybu nic nového, s ohledem na žurnalistiku jenom další selhání kdysi věrohodného média.

2017-01-06-12_24_50-github-anttiviljami_browser-autofill-phishing_-a-simple-demo-of-phishing-by-ab

Backdoor ve WhatsApp? Nebo „jen“ chyba?

Backdoor ve WhatsApp? Nebo jen chyba? The Guardian přišel s WhatsApp backdoor allows snooping on encrypted messages. Popisuje mechanismus, který umožňuje reset klíčů, které zajišťují end-to-end šifrování a zároveň s tím získání dřívější komunikace. Na první pohled jasný backdoor, minimálně zásadní bezpečnostní nedostatek. Opravdu zásadní. Pak se objevilo There’s No Security Backdoor in WhatsApp, Despite Reports kde člověk dříve pracující v Facebooku tvrdí, že je to „celé výmysl, není to chyba, vše pracuje tak jako bylo navrženo“. Velmi uklidňující od někoho z Facebooku. A pak je tu WhatsApp vulnerability: Bug or Backdoor?. Kde zjistíte, že tahle chyba byla WhatsApp nahlášená v dubnu 2016 a dodnes na ní nesáhli. Tohle bude zajímavé sledovat.

2016-03-02 09_50_57-WhatsApp __ Home

Automatické vyplnění v prohlížečích toho prozradí až až příliš

Automatické vyplnění v prohlížečích toho prozradí až až příliš. Pokud vám jde opravdu o soukromí, tak si tuhle funkčnost buď vyplňte, nebo velmi pečlivě nastavte, co může prohlížeč automaticky vyplnit. Viljami Kuosmanen na Twitteru ukázal praktický příklad zneužitelnosti a na browser-autofill-phishing si to můžete i vyzkoušet. Stačí si v prohlížeči aktivovat vývojářský režim a podívat se co se bude dít po odeslání. Prohlížeč ochotně vyplní i všechna ukrytá pole. Lahůdkové.

2017-01-06 12_24_50-GitHub - anttiviljami_browser-autofill-phishing_ A simple demo of phishing by ab.png

Nejvíce zranitelností v roce 2016 měl? Hádejte kdo a pak se podívejte

Nejvíce zranitelností v roce 2016 měl? Hádejte kdo a pak se podívejte. A chcete-li vědět více, než jenom Oracle – Google – Adobe -Microsoft – Novell (první pětici), tak se podívejte do Top 50 Vendors By Total Number Of „Distinct“ Vulnerabilities in 2016. A všimněte si, že jedničkou už není Microsoft. A také toho, že je na první místě Oracle a na třetím místě Adobe. Takže pokud jste ještě stále z počítače neodstranili Flash a Javu, tak to udělejte velmi rychle.

2016-12-31 15_07_32-Browse cve vulnerabilities by date.png

 

0day zranitelnost napadá desktopové počítače s Fedorou a Ubuntu.

0day zranitelnost napadá desktopové počítače s Fedorou a Ubuntu. Stačí otevřít soubor s hudbou a útočník se může zmocnit vašeho počítače. Něco co doposud bylo hlavně otázkou Windows se tak masově objevuje i v Linuxu, hlavně ve dvou z nejvíce rozšířených distribucí. Viz Redux: compromising Linux using… SNES Ricoh 5A22 processor opcodes?!

Zranitelnosti i 0day na prodej a k prospěchu

Zranitelnosti i 0day na prodej a k prospěchu, třeba i k tomu, aby policie zlikvidoval web s dětským pornem. Dnes podobné věci (zranitelnost, 0day, bezpečnostní nedostatky, útočné kódy) prodávají desítky subjektů. A nakupující jsou velmi různorodí. V případu zranitelnosti v Tor sítí to vedlo k likvidaci webu s dětským pornem. A prodejce je Exodus Intel. Zajímavé čtení viz Exodus Intel — The Zero-Day Dealer Whose Worrisome Tor Hack Helped Cops Bust Child Porn Site kde jistíte, že Exodus ale ve skutečnosti zkoumá, jestli jim jeden z jejich exploitů neunikl kam neměl. Byznys je byznys.

2016-12-03 13_52_38-Exodus Intelligence.png