SecUpdate: Chcete mít maily v soukromí? Inspirujte se u hackera z Mr. Robot!
Pravděpodobně největší světový poskytovatel emailových služeb se zaměřením na soukromí a šifrování oznámil zrušení pozvánkového systému a po dvou letech testování se tak služba otevírá široké veřejnosti.
Během testovací fáze službu ozkoušelo více než milion uživatelů. Největší špičce čelila společnost v době po Snowdenových odhaleních, kdy si chtělo emailový účet na ProtonMailu založit až 10 000 uživatelů za den.
Pokud si prohlížíte stránky služby ProtonMail a máte pocit, že už jste tohle GUI někde viděli, možná se nemýlíte! Několikrát se objevilo v seriálu Mr. Robot, kde ho používal hacker Elliot Alderson.
Snímek ze seriálu Mr. Robot
Důvodem k rozhodnutí o otevření služby široké veřejnosti bylo časté podkopávání možností udržení soukromí na internetu. Dr. Andy Yen vyzdvihl jako jeden z motivátorů například nedávný soudní spor společnosti Apple. Ten a další podobné spory ukazují zcela akutní potřebu uživatelů po službě, která nabízí end-to-end šifrovanou komunikaci. A to dokonce i v podobě aplikací pro iOS a Android.
Nový iOS malware je úspěšný i na zařízeních, u kterých nebyl proveden jailbreak
Nová rodina malwaru pro platformu iOS zneužívá chybu v návrhu DRM (Digital Rights Management) technologie FairPlay společnosti Apple. Útočník díky ní dokáže nepozorovaně, tedy bez interakce uživatele, nainstalovat škodlivou aplikaci. A to dokonce i do iPhonů a iPadů, u kterých nebyl proveden takzvaný jailbreak. Podle výzkumníků z Palo Alto Networks jsou tak ohroženy stovky miliónů zařízení společnosti Apple s operačním systémem iOS.
Malware dostal název AceDeceiver a při jeho použití útočník využívá techniku man-in-the-middle útoku. Ta je podle výzkumníků zneužívána u technologie FairPlay již od roku 2013 a to k distribuci pirátských iOS aplikací.
Princip útoku s využitím techniky FairPlay man-in-the-middle
Princip techniky spočívá v tom, že si útočník sám zakoupí aplikaci na AppStore a odposlechne a uloží si autorizační kód. Následně pomocí vlastního programu, který simuluje chování iTunes klienta, oklame cílové zařízení oběti. To si ve výsledku myslí, že si danou aplikaci zakoupila sama oběť.
Výzkumníci zatím zaregistrovali zneužití této techniky v Číně, ale může jednoduše dojít k rozšíření do dalších částí světa. Detailnější informace uvádějí na svém blogu.
Exploit Metaphor zneužívající Stagefright ohrožuje miliony telefonů s OS Andorid
O zranitelnosti Stagefright jsme psali již v srpnu minulého roku. Nyní se ale dostal na světlo světa exploit, který tuto zranitelnost zneužívá a útočník tak během 10 sekund může hacknout telefon oběti. Potřebuje k tomu pouze to, aby oběť navštívila jeho webovou stránku obsahující škodlivý multimediální soubor.
Nový exploit je nazýván Metaphor a detailněji ho popisují výzkumníci z Izraelské společnosti NortBit ve svém článku [PDF]. Mimo to zveřejnili i video obsahující proof-of-concept a prý také úspěšně otestovali exploit na zařízeních Samsung Galaxy S5, LG G3 a HTC One.
Ukázka úspěšného hacknutí Nexus 5 pomocí exploitu Metaphor
Podle výzkumníků jsou na exploit náchylné miliony zařízení s nezáplatovaným systémem Android. Stagefright bylo těžké zneužít, jelikož proti němu na novějších Androidech bojovala ochrana ASLR (Address Space Layout Randomisation). Prezentovaný exploit ale funguje na Androidech verze 2.2 až 4.0 a 5.0 až 5.1. Do verze 4.0 není ochrana ASLR implementována a na novějších verzích Metaphor tuto ochranu úspěšně překonává.
Pwn2Own opět přinesl nové zranitelnosti v prohlížečích a odměny jejich nálezcům
Letošní Pwn2Own je za námi a výzkumníkům přinesl celkem 460 000 amerických dolarů, které obdrželi za nalezení 21 nových zranitelností ve Windows (6), OS X (5), Flashi (4) a prohlížečích Safari (3), Edge (2) a Chrome (1). Celková částka je o necelých 100 tisíc nižší než v minulém ročníku.
Vítězové letošního ročníku Pwn2Own – Tencent Security Team Sniper (Instagram Seth Rosenblatt)
Během prvního dne soutěžící získali 282 500 dolarů, druhý den částku téměř zdvojnásobili a na místo vítězů se dostali výzkumníci z Tencent Security Team Sniper. S těmi bojoval JungHoon Lee, který dostal celkově nejvyšší finanční odměnu 85 000 dolarů za svůj úspěšný pokus o spuštění kódu na úrovni systému zneužitím zranitelnosti v prohlížeči Microsoft Edge.
Výzkumníci byli také vyzváni k předvedení úniku z VMWare virtuálního stroje a to za bonus ve výši 75 000 dolarů. Tento útok se však nikomu úspěšně nepovedl.
Policejní videozáznam zachytil muže, jak nainstaloval čtečku karet během 3 vteřin
Upozornění na existenci zařízení na kopírování karet, které může být nainstalováno jak v obchodech, tak u bankomatů, jsme každý viděli jistě několikrát. Nevím jak vy, ale já si vždy říkal, že se to může stát u nějakého zašitého bankomatu, ke kterému chodí někdo jednou za den a kriminálníci tak mají dostatek času a klidu na instalaci zařízení, které karty kopíruje. Tato domněnka ale byla úplně zcestná! Miamská policie zveřejnila video, které ukazuje, jak se posunula technika využívaná zločinci už několik let.
Video z instalace zařízení pro kopírování karet (tzv. skimmer)
Na videozáznamu jsou dva muži, z nichž jeden zaměstná obsluhu benzinové pumpy a druhý během 3 sekund nainstaluje skimmer na terminál pro platební karty. Jedná se o tak rychlou akci, že pokud by sledující nevěděl, že na videu k něčemu dojde, pravděpodobně by si činu ani nevšiml.
Při platbě kartou v takovémto „vylepšeném“ terminálu zákazník nic zvláštního nezpozoruje. Detaily z jeho karty se ale uloží v zařízení, pro které se následně jeho majitelé vrátí, případně se jen přiblíží a data získají bezdrátově např. pomocí Bluetooth. Nasbíraná data pak zneužijí k online platbám nebo z nich vyrobí kopie karet.
Další zprávy ze světa IT bezpečnosti v bodech:
- Muž stojící za kauzou The Fappening obviněn z prolamování účtů Apple a Google
- Roste počet malwaru, který cílí na účty na Steamu
- Další verze edukativního ransomware EDA2 infikuje počítače, lze ji ale jednoduše zneškodnit
- Dva roky stará oprava chyby v Javě je neefektivní a lze ji obejít
- Mezi .com a .om může být velký rozdíl!
- VMware opravil XSS zranitelnosti v produktech vRealize
- Společnost nabízející ochranu před DDOS útoky hacknuta
- Šíří se nový malware přezdívaný PowerSniff
- Z aplikace pro iOS unikly soukromé údaje téměř 200 tisíc uživatelů
- Google ověřil využívání HTTPS na TOP100 webech
- Samsung opravil MiTM zranitelnost v nástroji pro aktualizaci programů
- Ransomware Samas se šíří v nástrojích pro pentestery