sårbarhet rettigheter i Android smarttelefoner med Mediatek chipset

(Bilde: Mediatek)

Flere Android smarttelefon med Mediatek brikkesett tillate noen app for å sikre root privilegier. Spesielt billige gadgets fra kinesiske produsenter synes berørt.

En sikkerhetsforsker har oppdaget en sårbarhet i Android smarttelefoner med brikkesett fra produsenten Mediatek, som en angriper kan få root privilegier. Dette er trolig en debugging funksjon som ikke ble deaktivert av produsentene av enhetene. Bibliotek bekreftet sårbarheten til flere kilder, ikke si hvilke enheter som er akkurat truffet etter anmodning fra Heise Security, imidlertid.

Flere indikasjoner tyder på at dette handler om smarttelefoner i lavprissegmentet avledet fra kinesiske produsenter. I tillegg, hovedsakelig Android 4.4 virker (KitKat) påvirket nyere versjoner av Android, versjon 5.0 av gapet ble ikke vist. Gapet er en test funksjon ligger til grunn som kommer bare i det kinesiske markedet for bruk. svakstilte Apps via systemfunksjoner om dette fra å få root-tilgang som bør skrivebeskyttet.

Fremfor alt, brukerne er sannsynlig å være i faresonen, laste ned apps fra alternative app butikker. Disse har blitt svært populært i det kinesiske markedet. Det er imidlertid vanskelig å nøyaktig begrense hvilke brukere som er utsatt for bare en risiko, som det er i dag ingen oversikt over enheter med gapet.(FAB)

Gap i ImageMagick og GraphicsMagick tillater nye angrep

Manipulert filnavn ondsinnet kode på popen () - Flytt funksjon av operativsystemet for gjennomføring. Patches er tilgjengelig.

Bildebehandlings biblioteker ImageMagick og GraphicsMagick inneholder en funksjon som vil bli vedtatt i de delene av filnavnet til skallet og utført. Dette kan utnyttes til å injisere ondsinnet kode. Grafikken magiske utviklere har den aktuelle funksjonen så summarisk fjernet med den nå sluppet versjon 1.3.24 av deres verktøy. Også i ImageMagick 7.0.1-7 problemet er løst.

ImageMagick hadde kommet bare en måned siden bare ett i overskriftene enn en annen sårbarhet (CVE-2016-3714) var kjent om hvor man kan kjøre ondsinnet kode på det berørte servere. ble mishandlet at dette gapet raskt til angrep viser hvor viktig det er å oppdatere de tilsvarende bibliotekene raskt. Dette påvirker hovedsakelig Linux-servere som å kjøre web apps. Spesielt hvis de lar besøkende til å laste opp sine egne bilder - som styret avatarer. Men mange stasjonære programmer på Linux og Unix bruke disse bibliotekene i bakgrunnen.

Administratorer bør sørge for at de har tilbudt sine Linux-distribusjon pakker for ImageMagick og GraphicsMagick installert den nyeste. men de nye versjonene kan også være manuelt i forhold til sidene av prosjektene: ImageMagick, GraphicsMagick.(FAB)

WPAD: 20 år gammel protokoll bringer millioner av brukere i fare

(Bilde: Microsoft TechNet)

WPAD protokollen brukes til å automatisk konfigurere fullmakter og representerer en lenge kjent sårbarhet. På sikkerhetskonferansen Black Hat, et forskningsprosjekt nå presenterer flere sårbarheter.

Web Proxy Auto Discovery Protocol (WPAD) er forankret i nesten alle operativsystemer siden Netscape 2.0 i 1996th Den brukes for automatisk konfigurasjon av fullmakt til terminalen og er allerede meget lang velkjent som et svakt punkt. Problemet er at rutere videresende forespørsler fra kunder for filen til Internett. Svar der en server, kan det distribuere noen proxy-innstillinger. Dette gjelder for eksempel alle bak et Fritz boksen drevne enheter. Og Microsoft løst med BadTunnel nylig returnerte WPAD problem i Windows.

onde fullmakter

Som inntil nylig ansatt av Trend Micro sikkerhetsekspert Maxim Goncharov har oppdaget et alvorlig problem rundt WPAD: Under sin presentasjon på konferansen Black Hat, forklarte han hvordan kvasi hvilken som helst enhet kan få strøm via WPAD med en ondsinnet proxy-konfigurasjon - uten brukeren og uansett operativsystem intervensjon. WPAD standarden tillater i prinsippet også sette en SOCKS-proxy, slik at all trafikk til terminalen påvirkes av strømmene styres i siste instans av angriperen fullmektig. Men selv om bare en web proxy er satt opp, dette er mer data gå i klørne på en ren nettleser trafikk.

Problemet er basert på hvordan søketerminaler etter URL-adressen som ønsker du å laste ned Wpad.dat filen som brukes for konfigurasjon: Klienten tar spesifisert av DHCP-serveren søkedomenet (for eksempel foo.unternehmen.bar) og setter inn WPAD. før (wpad.foo.unternehmen.bar). han finner det lokale nettverket ikke finnes samsvarende URL, tar han et underdomene etter hverandre (wpad.unternehmen.bar, wpad.bar) fra forespørselen før det til slutt møter en gyldig server. Rutere videresende disse forespørslene og utenfor Internett. Så en angriper styrer Top Level Domain .bar han kan i prinsippet gjøre alle kunder som tilhører de respektive søke domene med noen Wpad.dat filer.

Eavesdropper om bord

Goncharov testet dette eksempelet på flyplasser, en konferanse og også om bord på et Lufthansa fly til San Francisco, hvor han bare endret navnet på sin datamaskin på WPAD. Alene under flyturen sin notatbok nådd så mer enn 1200 slike forespørsler, selvfølgelig, bare noen få forskjellige enheter var ansvarlig for dette. Han har også registrert for testformål, toppnivådomenet (TLD) .tokyo, i påvente av mange forespørsler på grunn av 2020-OL skal holdes i Japan. Resultat: I litt over seks måneder rundt 2000 tilsynelatende tilhører byen regjeringen i Tokyo klienter bedt på litt over 60 millioner eksemplarer i sin drifts i AWS skyen honeypot å Wpad.dat.

I Tyskland gjelder dette spesielt for brukere som har tilgang til Internett ved hjelp av en Fritz boks. Enhetene inn i søkedomenet før fritz.box. Når TLD er .box aktiv, er ennå ikke klart. AVM er, i henhold til informasjon fra høyttaleren Urban Bastert alle fall på planen og ønsker å registrere TLD så snart det er mulig. Det er å håpe at dette lykkes. For toppdomenet eller domenet .box wpad.box skulle en tredje person, kan dette automatisk konfigurere alle opererte bak en Fritz boks terminaler med en proxy innstilling.

Remedy? hånd

På kanten av Goncharovs presentasjonskonferansedeltakere viste hvordan han kunne avskjære eventuelle HTTPS-tilkoblinger via man-in-the-middle ved hjelp av metoden. Selv med et sertifikat feilmelding i nettleseren. I tillegg har forskerne påpekte at man har registrert domenet wpad.de i Berlin bosatt i årevis. Etter varsel til politiet i saken deltok og var for hånden loggfiler av webserveren - som viste ingen ondsinnet aktivitet. Mens er uklart om stokkene ble endret. Videre Goncharov møtt med produsenten av en Internett-filter for iOS, den wpad.com.tw 24 domener som wpad.sk, eller har wpad.org.cn registrert. Hva er foreløpig uklart.

Beskyttelse mot problemet får hjemmebrukere hvis de deaktivere automatisk proxy-konfigurasjon. Alternativt kan du på ruteren eller brannmuren et wildcard filter for WPAD. * Sett ikke å passere forespørsler på Internett. Selskaper kan registrere domenet wpad.unternehmensnahme.de eller deaktivere automatisk proxy-innstillinger og angi en proxy. Flere tips finner du i en egen stortingsmelding som Trend Micro har lansert.

korreksjon: korrigert respons fra AVM.(FAB)

Fast eldgamle feil i Linux-kjernen: Dirty Cow

(Bilde: kernel.org)

Et løp tilstand i kjernen betyr at lokale brukere å overskrive filer som de virkelig bør lese den. Kernel utviklerne beskriver feilen som "motbydelig" og anbefaler å lappe så snart som mulig.

Linux-kjernen utviklere har en alvorlig sårbarhet i kjernen lukket. Sårbarheten (CVE-2016-5195) kan ha blitt misbrukt av lokale brukere å overskrive filer som de har bare leserettigheter. På Linux-systemer, blant annet deres egen brukerrettigheter kan dermed utvides til root privilegier.

Sårbarheten i sin nåværende form siden minst kernel 2.6.22 - så i over ni år. I sin kode begå reparasjonen nevnt kjernen Torvalds sjef at det er en "gamle bug" I spørsmålet, som for elleve år siden en gang "dårlig" hadde vært løst av seg selv. Denne endringen kan ha igjen må omgjøres; Nå sårbarheten ble imidlertid endelig plugget. I baugen er det en rase tilstand som var mer esoteriske natur på første brønnen var nå, ifølge Torvalds, men enklere å distribuere fordi kjernen selv har utviklet seg.

Nye kernel versjoner hvor sårbarheten ble sikret, er allerede gjennomført eller i rørledningen. Den sikrede kernel 4.4.26, 4.7.9 og 4.8.3 er allerede tilgjengelig, ville versjon 3.10.104 snart følge etter. De store Linux-distribusjoner også allerede arbeider med å lukke gapet i den velstelte fra dem kernel pakker.

Update - 20/10/2016, 20:38

Sårbarheten har nå et navn: Dirty Cow. Bak dette, i hvert fall delvis, en implisitt kritikk av sårbarheter som er slitt på med navn og logo. Men operatører også samle inn penger for FreeBSD og har satt opp en nettbutikk som selger varer.

men nettstedet bærer også nyttig informasjon til gapet sammen. Men spørsmålet om hvorvidt man er sårbar, er ikke akkurat pålitelige svar basert på nettleseren bruker agent, som brukte versjonen av Linux-kjernen ikke er merket riktig. (FAB)

SSL Gau: For å teste programmer og elektroniske tjenester

Utgivelsen av den betydnings heartbleed gapet har mange tjenester forkjølet - inkludert Adobe, Lastpass, Web.de og selv VeriSign. Brukere kan online sjekke om tjenester som brukes av dem er allerede beskyttet.

Heartbleed bug: The GAU for web kryptering

Heartbleed bug: The GAU for web kryptering

En svært alvorlig programmeringsfeil kompromitterte krypteringsnøkler og data for sikkerhetskopiert med OpenSSL tilkoblinger på Internett. Gapet tillater også tilgang til konfidensiell informasjon så som klartekst passord. Gitt spredning av åpen kildekode bibliotek, har dette katastrofale konsekvenser.

  • Så heartbleed utnytte verk
  • SSL Gau: For å teste programmer og elektroniske tjenester
  • Passord i fare - hva nå?
  • Heartbleed lider struts effekt
  • Passordtilgang: heartbleed gap med katastrofale konsekvenser
  • Informasjon og bakgrunn til heartbleed bug

Betydnings heartbleed bug i den utbredte kryptografiske biblioteket OpenSSL tillater tilkobling partnere kan angripe hverandre. I utsatte webservere handler om evnen til å lese private krypto nøkler fra minnet. Som angriperen kan da dekryptere SSL-trafikk for alle brukere.

forkjølet

Noen operatører av tjenester som CloudFlare åpenbart har tidligere informert oppdageren av feilen; Men hvilke kriterier som dette valget gjøres ikke kjent. Prøver av Heise Security viser at mange prominente steder var åpenbart ikke forberedt for utgivelsen av sårbarhets detaljer. I morgen, for eksempel, Adobe.com, Web.de, VeriSign.com, Comodo.com og området av online passord manager Lastpass var fortsatt sårbare.

Selskapene har nå alt svart. Operatørene av online oppgave ledelse Wunderlist har forholdsregel av skyen synkronisering fordi de leide Amazon servere er også berørt. Fortsatt sårbare er åpenbart bare tuftene av OpenSSL Project.

Tirsdag ettermiddag, stedet for OpenSSL-prosjektet var enda mer sårbare.
Tirsdag ettermiddag, stedet for OpenSSL-prosjektet var enda mer sårbare.forstørresjekk tjenester

Med to testtjenester kan du finne ut om de tjenester som brukes av du er utsatt ennå, nemlig filippo.io/Heartbleed og possible.lv/tools/hb. Dessuten er det av samme forfatter, Go-Script heartbleed, som du kan utføre disse testene lokalt. kan check-ssl-heartbleed.pl Perl-skript også e-post-server test med STARTTLS. Oppdater 9. april, 09:45: Samtidig er det også test moduler for Metasploit, Nmap, Nessus OpenVAS og og et passende XKCD.

For de fleste Linux-distribusjoner sikrede OpenSSL versjoner er nå tilbys gjennom pakkebehandleren. men noen programmer som Apache SPDY modulen installere egne biblioteker. For å sjekke dette, kan man for tiden aktiv i system-biblioteker på Linux lsof med kommandoen | grep skjerm libssl. Her er da noe vises slik:

apache2 ... /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0
vmware ... /usr/lib/vmware/lib/libssl.so.0.9.8/libssl.so.0.9.8

I mellomtiden hadde Sophos innrømme at UTM apparater (tidligere Astaro) er utsatt for gapet. En sikkerhetsoppdateringen pågår fortsatt. Men det er også noen gode nyheter: OpenSSH påvirkes ikke ved første blikk. Selv om den bruker de grunnleggende krypto funksjonene i OpenSSL, men bruker ikke de sårbare TLS funksjoner.(Rei)

Trådløs ruter UPC spenning hemmelig nettverk til

Den østerrikske bredbåndsleverandøren UPC har levert trådløse ruteren til kunder som udokumentert span en andre, skjult WLAN, rapport sikkerhetsforskere fra SBA Research. Følgelig modellen gitt av UPC Thomson TWG850-4U alltid anvendes den samme SSID og det samme WPA nøkkel for denne WLAN. Nettverk med skjult SSID vises ikke i de vanlige Wi-Fi sjanger tilgang enheter, en må vite SSID ved siden av WPA-nøkkelen for å koble til nettverket.

Den skjulte makten er ikke isolert fra hoved-Fi, slik at en angriper kan få tilgang til både Internett og til andre datamaskiner på nettverket, ifølge forskerne. Den ubudne gjesten kan selv få tilgang til konfigurasjonsgrensesnittet til ruteren, og det lest opp settet med UPC kunder WPA-nøkkelen, og endre kritiske konfigurasjonsparametere.

Under en kort tur i Wien, hevder sikkerhetsforsker for å ha "hundrevis av nettverk i bare et par gater" isere at de kunne ta over. UPC gir modellen TWG850-4U ut til alle kunder som velger den kombinerte tilbudet på TV og Internett. Ifølge en tidligere uttalelse fra bredbåndsleverandøren som brukes av rundt 250.000 kunder på denne pakken.

UPC har reagert raskt og har reagert på torsdag, tre dager etter at problemet ble offentlig med en nødsituasjon patch som nå gradvis distribueres automatisk til de berørte enhetene. Oppdag av gapet bekreftet til H Security at den skjulte WLAN ikke lenger er fastklemt ved oppdateringen av fastvaren.

Et lignende fenomen observert i november i fjor allerede den nederlandske UPC datterselskap kunder. Etter en firmware-oppdatering, har en annen Thomson router strakte en usynlig nettverk her. Men visste man ikke har tilgang til konfigurasjonsgrensesnittet og andre datamaskiner i nettverket gjennom dette usynlige nettverket. UPC begrunnet dette problemet med tiden "nye muligheter"Som er planlagt for fremtiden.

oppdatering: En UPC talsmann bekreftet problemet til Heise Security, og kunngjorde at rundt 100.000 eksemplarer av den trådløse ruteren i omløp.(Rei)

Fingerprint Software avslører passord

Alle som registrerer seg på en bærbar PC med en fingeravtrykkleser ved å peke en finger, har et sikkerhetsproblem kan: Minst med den utbredte UPEK skannere, alle som har tilgang til registeret, lese alle Windows-passord, og bruke den til å logge inn. Denne rapporten krypto eksperter Elcomsoft på hennes blogg.

Fingerprint Software avslører passord
Den UPEK Protector Suite skal presentere bedre ikke å overlate sin Windows-passordet.forstørreProtector Suite var tydeligvis lenge forhåndsinstallert på bærbare datamaskiner som er utstyrt med en fingeravtrykksensor leverandør UPEK. Ifølge en nå slettet fra hjemmesiden liste leverandørens alle kjente bærbare produsenter har utstyrt enheter med UPEK sensorer. I tillegg vil programmet også bli solgt separat.

Protector Suite lagrer Windows-passordet for brukeren i registeret når den kommer inn i innloggings med fingeravtrykk. Passordene er faktisk AES kryptert, men kryptering har tydeligvis brukes feil: ElcomSoft har funnet en måte å rekonstruere brukes til å kryptere hemmelig AES nøkkel. Angivelig dette er den samme.

Fingerprint Software avslører passord
Utviklet av ElcomSoft verktøy trekker ut klartekst passord for alle brukere i registret.forstørreFor demonstrasjonsformål, har krypto forskerne sendte oss et kommandolinjeverktøy som viser de tre første tegnene i passordene til alle brukere som hadde innlogging Windows tidligere aktivert. En angriper har tilgang til et Windows-system, kan det allerede lest alle ukrypterte data og også endre Windows-passord for å få tilgang til kontoen til en bruker. Men han hadde ikke tilgang til denne krypterte data (EFS) er beskyttet for eksempel ved NTFS-kryptering Kryptering File System. brukerens Windows-passord er nødvendig for deres dekryptering. Slik spy kan hindres for eksempel ved en fullstendig kryptering av systemet med BitLocker eller TrueCrypt.

ElcomSoft anbefaler at du deaktiverer innloggingsfunksjon, slik som er lagret i registeret passordet som skal slettes. Hos oss tok det ikke fører til ønsket suksess. Selv etter å endre Windows Password vi kunne lese det i den gjeldende versjonen av verktøyet. Bare komplett installasjon av driverprogramvaren klarte rette.

UPEKs morselskapet AuthenTec bekreftet problemet til Heise Security, og uttalt at de ønsker å tilby en versjon for nedlasting senere denne uken, noe som genererer den hemmelige nøkkelen med en herdet algoritme.(Rei)

Største tyskspråklige jordiske Forum pålogget: politiaksjon mot Crimenetwork.biz?

Skjermbilde fra CNW

(Bilde: archive.org)

Nylig ble stoffet Market Kjemisk Kjærlighet stengt av myndighetene, nå er spekulert på om det er online forum crimenetwork.biz nettopp blitt levert.

Nylig er online forum crimenetwork.biz (CNW) offline. Har nylig nært forbundet med CNW narkotika Market Kjemisk Kjærlighet ble stengt av myndighetene, er mange spekulasjoner - spesielt siden CNW administrator bør Ausgebüxt med en fem-figur sum. En CNW etterfølger er tilsynelatende allerede under planlegging.

4.000.000 innlegg

Crimenetwork.biz trolig den største tyske undergrunnsforum. Sannsynligvis startet i 2006, hadde det like før forsvinningen fra nettverk av godt 8000 aktive og 84.000 registrerte brukere som har skrevet i gode 190.000 tråder fordelt over 4 millioner innlegg. Heller ikke kan nås siden tirsdag bare av Tor Browser, og heller ikke den versjonen tilgjengelig via det åpne nettet av forumet.

Siden da i andre fora diskutert hva som kan være årsaken til dette. Etter at det ble avdekket to uker siden at påtalemyndigheten narkotika Markedsplass Kjemisk Kjærlighet sette en stopper per raid og arrestasjoner, står ideen til grunn at de cnw servere ble beslaglagt. Fordi tross alt at (via de respektive administratorer"synkron" i tilfelle av CWN, "Z100" i tilfelle av Chemical Love) er kjent, dette arbeidet nøye og brukt muligens også den samme serverinfrastrukturen.

Det kan imidlertid tenkes at synkroniseringen har lagt seg. Alternativt, fordi luften ble tynnere etter raid og arrestasjoner i saken of Chemical Kjærlighet; eller fordi han har gjort med betrodd pengene som: Synkroniserings forbundet Bitcoin lommebok var i alle fall ryddet den 10. mai, og tilsvarende drøyt 33 500 amerikanske dollar mest sannsynlig overført til en blanding tjeneste å skjule kontantstrøm. CNW tilbudt, som mange andre underjordiske fora tilbyr også en sperret tjenesten.

CNW etterfølger annonsert

Forumadministrator fungere som mellomledd mellom kjøpere og selgere. Ta fra kjøper og betaling av selgeren - vanligvis digitalt levert - varer disken og gå inn etter betalingstransaksjonen gratis. holde mellom tre og 15 prosent av summen av de tillitsvalgte selv, sier en kjent med skikker av undergrunnen ekspert fortalte Heise Security. I tilfelle av Crime Network Forum disse pengene skal være borte. Ifølge nettannonser sync've utbetalt beløp betrodd ham mer siden begynnelsen av mai.

Kort tid etter at nyheten om utilgjengelighet av CNW gjort runder, kunngjorde en YouTube-video en etterfølger av forumet. På gitte adressen crimenetwork.cc er ennå å se at det skal gå på en gang, bare en kunngjøring. Ifølge innlegg, vil forumet bli utgitt den 15. mai. etterfølgeren til den russiske leverandør 2x4.ru, som har dukket opp på scenen i det siste som såkalt Bulletproof hosting er vert. (ANW)

Android pest Tordow: Banking Trojan muterer til en super-trojanere

(Bilde: AP, Britta Pedersen / arkiv)

Sikkerhetsforskere advarer mot bank malware hvis funksjoner skal oppfylle alle drømmer om kriminelle: Den trojanske kan gjøre med infiserte Android-enheter i utgangspunktet.

Det er ingenting i Tordow pest for Android-enheter kan ikke. Således, i hvert fall leser resultatet av analysen av Kaspersky.

I hovedsak, det var en bank trojaner som kan få root privilegier for å tappe en rekke måter informasjon. Som roten prosessen fungerer i detalj, Kaspersky ikke forklart. I det siste, andre skadedyr allerede har klart gjennom å utnytte ulike sårbarheter. Er en Android-enhet når forankret, kan kriminelle gjøre praktisk talt alt dette og tyvlytte på sine ofre varierte.

Bug i lommen

Har Tordow hell slått rot, kan det for eksempel ta opp samtaler, kopiering databaseinformasjon og laste ytterligere malware og installere den. I tillegg bør pest kunne lese tilkoblingsinformasjon, inkludert passord for elektroniske tjenester fra mobile nettlesere. Selv om dette er ikke noe nytt i denne konsentrert form, men svært bekymringsfull.

Tordow piggyback er å komme opp med legitime programmer. Slike manipulert Apps har Kaspersky hevder å ha funnet utelukkende utenfor Google Play. Som installerer en populær app med pest ombord, den Ifølge sikkerhetsforskere ikke merke noe av den farlige bakgrunnsaktiviteter: Den legitime applikasjonen vil nemlig jobbe som vanlig og drive skadedyr i hemmelighet. Hvordan identifisere forurenset med Tordow apps, Kaspersky ikke forklart. (Des)

Microsoft planlegger å reorganisere tjenester på oppdateringer

(Bilde: Skjermbilde)

Fra begynnelsen av neste uke, vil Microsoft ikke lenger gi oppdateringer på Microsoft Download Center for å laste ned.

Individuelle brukere gjelder Microsofts oppdateringer i fremtiden som vanlig via Windows Update og selskaper gjennom WSUS. Men den kommende patch dag neste tirsdag selskapet ønsker å omorganisere kilder for detaljhandel nedlasting: Fra da brukerne vil ikke kunne laste ned alle oppdateringer gjennom Microsoft Download Center. Hva oppdateringer vil være at Microsoft ikke utdype.

I det siste, patcher var parallell i nedlastingssenteret og Update for å laste ned. Bulletinene Microsoft er ment link fra lappen dag tidlig neste uke på Update Catalog når oppdateringen ikke er oppført i Download Center. Da foreslår Microsoft brukere som bruker verktøyene som er avhengige av koblinger til nedlastingssenteret.

De som ønsker å surfe på Update-katalogen, har, som du må installere en add-on i tillegg bare med Internet Explorer suksess. Katalogen selv forblir stengt til Edge nettleseren fra Microsoft. (Des)

Farlig sikkerhetshull i dagens Samsung smartphones

De Galaxy smarttelefoner laste ned oppdateringer over en usikret HTTP-tilkobling. Dette kan misbruke en angriper å injisere kode med systemrettigheter. Lider bør ikke bruke offentlige Wi-Fi-nettverk til en patch er klar.

I pre-installert tastaturskjerm mange Samsung smarttelefoner gaper en kritisk sårbarhet for å ta kontroll tillater en angriper, og kan trykke data. Dette har blitt funnet, som spesialiserer seg på mobile applikasjoner sikkerhetsfirmaet NowSecure. Berørt, blant andre modeller Galaxy S5 og S6. Beskytt du kan nå neppe.

Gapet gjesper i tilpasset versjon av SwiftKey Keyboard, tett integrert Samsung firmware for sine smarttelefoner. Tastaturet inviterer Zip arkiver fra nettverket, som normalt inneholder oppdateringer til aktiv stemme. Som nedlastingen ikke er kryptert via HTTP, en angriper i posisjonen til man-in-the-middle kan avskjære overføring og i stedet sende en manipulert arkiv til smarttelefonen. Spesielt i offentlige nettverk som Wi-Fi hotspots slike tiltak med liten innsats er gjennomførbart.

Hash i klartekst

Selv om tastaturet programvaren kontrollerer SHA1 hash av den nedlastede filen, den informasjonen som hash er forventet, vil det gi før du laster ned, men også i klartekst fra nettverket. En angriper kan også fange opp denne overføring og erstatte den spesifiserte SHA1 hash mot hash av den manipulerte fil.

Innholdet i pakken pakker ut tastaturet som kjører med systemrettigheter, hvor som helst i filsystemet. Erstatter angriper på denne måten en app som allerede kjører til enhver tid - for eksempel etter oppstart - det kan permanent bringe ondsinnet kode kjøres. NowSecure viste dette i en YouTube klippet med en fjerntliggende skall som gir mulighet for automatisk installering hele enheten tilgang via nettverket.

Beskyttelse ved å unngå

Sikkerhetsselskapet forsket tiden fortsatt at de Galaxy smarttelefoner er sårbare for gapet. Mens status på de fleste modellene er fortsatt ukjent, noen leverandører versjoner av Galaxy S4 Mini, S5 og S6 er minst sårbare.

Ifølge NowSecure det hjelper ikke å bytte til en annen skjermtastatur, som SwiftKey fortsatt trekker sine oppdateringspakker. Beskytte brukeren kan bare være ved å unngå situasjoner der en angriper kan ta kontroll over nettverket - særlig i bruken av offentlige trådløse nettverk bør avstå.(Rei)

Kompromitterte Teamviewer-versjonene er å bebreide for hacks

(Bilde: Teamviewer)

En sikkerhetsfirma har funnet bevis for at Windows-brukere trojaned Teamviewer-versjonene er plantet for å spionere på sin påloggingsinformasjon. Så angriper kan ta kontroll over sine maskiner.

Er utstyrt med en bakdør gitt Teamviewer nedlastinger i omløp? For uker, Teamviewer brukere klager på ulike plattformer i nettverket at deres datamaskiner har blitt angrepet på fjernkontrollen programvare. Relevant informasjon ble også mottatt på Heise Security. Programvareutvikling hadde kategorisk utelukkes at angrepene ble utløst av en hack av din egen server. Nå melder sikkerhetsselskapet Trend Micro for et angrep kampanje med gamle, buggy Teamviewer versjoner i Italia.

Crooks hadde sendt spam-meldinger som laster ned en trojaned Teamviewer versjon når du klikker på en vedlagt Javascript-fil og kjøre den. Dette er en gammel Teamviewer versjon av 2010 med versjonsnummer 6.0.x - men Trend Micro vil ikke utelukke at selv nyere manipulert Teamviewer versjoner er i omløp. Sikkerhetsselskapet spekulert i at lignende kampanjer er ansvarlig for de observerte det siste angrep.

Angriperen ikke manipulere Teamviewer programvaren direkte, men invitere til en DLL bibliotek som inneholder den skadelige funksjoner for prøvetaking av data - et klassisk eksempel på DLL kapring.

Update - 16/06/2016, 15:36

Å snakke med Heise Security, en talsmann for Teamviewer gjentok igjen at angrepene og er spesielt svake passord for kunnskap om selskapet til tredjeparts nettsteder kompromittert tilgang basis. Brukere av slik programvare bør være spesielt forsiktig og sørg for at de ikke gjenbruke passord. Ellers tilbys i nettverket passord lister kan brukes til å angripe Teamviewer installasjoner.(FAB)

E-handel tjeneste Nexway åpenbart hakket

(Bilde: AP, Karl-Josef Hildenbrand / Symbol)

Butikken Tjenesten varsler kundene mot at kriminelle kunne ha trukket data til kunder av ulike nettbutikker. Nexway samarbeider hevder å være, blant annet Adobe, Amazon og Eset.

Foreløpig e-handel tjenesten sendes Nexway e-post til kunder i ulike nettbutikker, og advarer om at hackere kan ha trukket personopplysninger under bestillingsprosessen.

Dette går fram av en tilsynelatende legitim e-post som har videresendt en leser Heise Security. I denne meldingen, nettbutikken til leverandøren av antivirusprogramvare Eset framgår, der leseren skal ha kjøpt noe. Tilsynelatende hackere har kopiert data på transaksjonen. [UPDATE] Som det har nå blitt funnet, noen av ESET kunder er utelukkende berørt, og ingen andre nettbutikker. [/ UPDATE]

Nexway refererer til et krav å ha nå lukket sårbarhet. Dette betyr ikke beskrive det, men å identifisere dem som en gateway. Foreløpig hennes butikk systemet skal være trygg.

Advarsel mot svindel

I tillegg kundeservice trygg på at de har informert samarbeidende banker og finansinstitusjoner om hendelsen. disse bør "alle transaksjoner som kan være knyttet til angrepet" blokken.

Informerte kunder bør også ha sin "Sjekk kredittkort og kontoutskrifter raskt til uoverensstemmelser", Er det noen hendelser, ofrene bør rapportere ulovlige debitert mengder låse sine kredittkort og eventuelt tas ut tiltale.

Ingen uttalelser så langt

Det er uklart på dette tidspunktet om alle butikkpartnere er berørt av Nexway av sikkerhetsproblemet. Disse inkluderer 2K Games, Adobe, Amazon, Avast programvare, Eset og Kaspersky.

Ukjent er for tiden også hvilke data har falt i hendene på hackere. På grunn av den advarselen e-post fra Nexway bør være klart at betalingsdata må kopieres. Om angrepet også logge inn data, inkludert passord har blitt trukket, tjenesten har ennå å forklare. Heise Security er i kontakt med Nexway.

[UPDATE 28/11/2016 15:15]

En talsmann for Nexway har bekreftet hacker angrep for å heise Security. Her er ukjente angripere har kompromittert en liten del av infrastrukturen i e-handel tjenesteleverandør og har hatt et skript tilgang til visse innkjøpsformer. Sikkerhetsproblemet er ikke i databasen, eller gape operativsystem, sikrer Nexway.

[UPDATE, 11.28.2016, 15:40]

Den utnytter sies å ha påvirket bare en server som er vert for nettbutikker Eset, forklarte Nexway talsmann. Gapet er forårsaket av menneskelig svikt og er lukket med øyeblikkelig virkning. Alle berørte ESET kunder har blitt varslet, forsikrer Nexway.

Flytende tekst legger. (Des)

Secunia PSI tilgjengelig i versjon 2.0

Etter en lang betatest, har produsenten endelig versjon 2 av Personal Software Inspector presenteres (PSI). PSI 2.0 automatisk oppdatert hvis ønskelig installerte programmer. Complimetary verktøyet kan derfor nå ikke bare ta opp funnet svakheter, men også for å fikse brukeren uten å spørre.

Spesielt tre av Secunia oftest misbrukt av angripere programmer (Adobe Flash, Java (JRE), og Adobe Reader) vil bli levert så raskt som mulig med viktige patcher. I tillegg kan PSI oppdatere både Flash-plugin for Firefox og Internet Explorer uten ytterligere tiltak. I praksis på PC-er ofte bare en av de to plug-ins oppdatert.

Secunia PSI tilgjengelig i versjon 2.0
Surfing med denne datamaskinen, kan være et sikkerhetsproblem.forstørreAlle søknader hvor PSI støtter en automatisk oppdatering er merket i skanningen oversikt med AU. Men Apple QuickTime, en annen inngangspunkt for angripere hørte ikke å gjøre det. Det må brukeren manuelt gripe inn. PSI brukergrensesnittet har blitt fullstendig redesignet av produsenten, er nå imidlertid ikke bli klarere. PSI installert som standard som en tjeneste i systemet og gjøre statusrapporter om endringer eller problemer nøye.

PSI 2.0 bringer også en API som kan brukes til å skanne-server hos Secunia for sine egne sikkerhetsprogrammer av utviklere. Imidlertid kan API ikke brukes for produkter som er i direkte konkurranse med de kommersielle produkter av Secunia.(Dab)

Disassembler IDA Pro 6.0 sluppet

Disassembler IDA Pro 6.0 sluppet
Linux overflaten av IDApro er basert på grafisk bibliotek Qt.forstørreDen belgiske programvare maker Hex-Rays har lansert sin disassembler og debugger IDA Pro versjon 6.0 og versjon 1.4 decompiler. Den viktigste nye funksjonen er utvilsomt full støtte av Linux og Mac OS X, både for grafisk disassembler og decompiler. Så langt har Linux- og Mac-brukere er begrenset til disassembler / debugger, og de hadde ham bruke en ganske rå tekst grensesnitt og en annen valuta enn den versjonen av Windows tastaturoppsett. Det nye grensesnittet for Linux og OS X er Qt-basert og er i stor grad basert på den klassiske Windows GUI. Den vanlige for mange IDA Pro-brukere til å håndtere Windows VM kan dermed fremtidig ofte utelatt.

Disassembler IDA Pro 6.0 sluppet
Mac-versjonen krever ikke X11. Den er basert som den Linux-versjon av Qt.forstørreAndre forbedringer inkluderer tillegg til diverse feilrettinger og noen forbedrede funksjoner, men for Windows-brukere endrer seg lite. Prosjekt databaser (.idb filer) er nå produsent lese raskere og skriftlig, kan disassembler nå lese HP-UX kjernefilene, IA64-støtten er forbedret, og det er nå en parser for Mach-O-filer , Den Decom, viser blant annet enum-bits felt, referanser til flyktige lagerområder og oktale system. Prisene for disassembler, decom og fornyelser forble uendret: Den starter prisen for IDA Pro er 630 euro for Standard Edition, den decompiler for x86 eller ARM hver koster rundt 1720 euro. For bunter det er rabatter.

Se også:

(Cr)