Viry a Červi

Banking PINs exposed in Monzo secure storage slip-up

Sophos Naked Security - 7 Srpen, 2019 - 12:57
When is a secure PIN not a secure PIN? When you accidentally store it in your log files.

Latest Android patches fix critical ‘QualPwn’ Wi-Fi flaws

Sophos Naked Security - 7 Srpen, 2019 - 12:51
The August 2019 security bulletin is out - and two of the critical flaws could allow an attacker to compromise the Android system kernel.

Your mid-week infosec news bonanza: Cisco bugs, VMware-Nvidia guest escapes, KDE hijacking, and more

The Register - Anti-Virus - 7 Srpen, 2019 - 02:40
Including: Microsoft spins up Azure security lab, offers more bug bounty cash

Roundup  Before letting the IT staff clock out early for summer, make sure they read up on the following security notices out this week.…

Kategorie: Viry a Červi

Deja-wooo-oooh! Intel chips running Windows potentially vulnerable to scary Spectre variant

The Register - Anti-Virus - 7 Srpen, 2019 - 01:01
SWAPGS can be abused to siphon sensitive secrets from kernel memory, patches already available

Spectre – a family of data-leaking side-channel vulnerabilities arising from speculative execution that was disclosed last year and affects various vendors' chips – has a new sibling that bypasses previous mitigations.…

Kategorie: Viry a Červi

They say piracy killed the Amiga. Know what else it's killing? Malware sales. Awww, diddums

The Register - Anti-Virus - 6 Srpen, 2019 - 23:36
Trojan devs give up after seeing hard work ripped off, copied between crooks

BSides LV  Life’s tough as a malware developer. If the cops or Feds don't collar you, your fellow scumbags will screw you over – or perhaps both will happen.…

Kategorie: Viry a Červi

Democrats and Doctors Behind Latest Wave of Leaked Data

VirusList.com - 6 Srpen, 2019 - 22:25
Patient medical history and over 6 million email addresses tied to Democrats were detailed in a misconfigured storage buckets over the past few weeks.
Kategorie: Viry a Červi

Cryptolocking WordPress Plugin Locks Up Blog Posts

VirusList.com - 6 Srpen, 2019 - 20:54
A new type of malicious plugin has been spotted in the wild with the capability of targeting individual blog posts.
Kategorie: Viry a Červi

There's fraud, and then there's backdoor routers, fenced logins, malware, and bribing AT&T staff seven figures to unlock 2m phones

The Register - Anti-Virus - 6 Srpen, 2019 - 20:28
Pakistani bloke extradited to US, accused of masterminding telco hack caper

AT&T staff were bribed $1m to slip the codes to unlock two million smartphones to a gang operating out of Pakistan, US prosecutors have claimed.…

Kategorie: Viry a Červi

Add passwords to list of stuff CafePress made hash of storing, says infoseccer. 11m+ who used Facebook 'n' pals to sign in were lucky

The Register - Anti-Virus - 6 Srpen, 2019 - 19:09
11m other leaked users' p-words hashed with SHA-1

Passwords were among the 23 million customer records siphoned from CafePress by hackers – and the site was using the less secure SHA-1 hashing algorithm to store half of its users' credentials.…

Kategorie: Viry a Červi

Mass Spoofing Campaign Takes Aim at Walmart

VirusList.com - 6 Srpen, 2019 - 17:48
The sites are targeting job-seekers, movie aficionados and shoppers in hopes of harvesting their personal information.
Kategorie: Viry a Červi

Millions of Android Smartphones Vulnerable to Trio of Qualcomm Bugs

VirusList.com - 6 Srpen, 2019 - 17:42
Flaws in Qualcomm chipset expose millions of Android devices to hacking threat.
Kategorie: Viry a Červi

Baldr malware unpicked with a little help from crooks’ bad opsec

Sophos Naked Security - 6 Srpen, 2019 - 15:00
New research from Sophos takes an exhaustive look at the Baldr password stealer.

NVIDIA patches high-severity bugs in Windows GPUs and SHIELD

Sophos Naked Security - 6 Srpen, 2019 - 14:25
NVIDIA has patched five bugs in its Windows GPU display driver, three of which could allow an attacker to execute code on the system.

Fake Dell support rep admits to talking US colleges out of $874,000

Sophos Naked Security - 6 Srpen, 2019 - 14:23
His victims: UCSD and a Pennsylvania university. He hid out in Kenya for nearly 8 months before being nabbed.

GitHub ‘encourages’ hacking, says lawsuit following Capital One breach

Sophos Naked Security - 6 Srpen, 2019 - 14:17
The class action charges Capital One and GitHub, charging it with being "friendly" (at least) toward hacking and for the hackers' posts.

Attackers ransom bookseller’s exposed MongoDB database

Sophos Naked Security - 6 Srpen, 2019 - 14:07
Another database has fallen to extortion hackers, this time containing 2.1 million records belonging to Mexican bookseller, Librería Porrúa.

Splněný sen! Kulma na vlasy s ovládáním přes mobil je tu!

VIRY.CZ - 6 Srpen, 2019 - 12:40

Společnost Glamoriser vyrobila první chytrou kulmu na světě s bezdrátovým ovládáním skrze bluetooth z chytrého mobilního telefonu. Kombinace slov jako „chytrý“ (smart), „první na světě“, „bluetooth“, přitom často zavání pr*serem a tento výrobek je toho důkazem…

Kulma na vlasy byla promována během vánoc ve Velké Británii a tak si ji pořídili i kluci z Pen Test Partners a podrobili testu.

Do chytrého mobilního telefonu si lze aplikaci Glamoriser stáhnout z Google Play či Apple Store. Kromě toho, že si v ní můžete vést deníček a plánovat například další hrátky s kulmou, lze nastavit i teplotu kulmy a čas do vypnutí.

Testovaná verze aplikace pro Android se vyznačuje tím, že o každé komunikaci s kulmou zapisuje detailní žurnál. Tento protokol v podobě souboru usnadnil testerům pochopit způsob komunikace mezi kulmou a telefonem a přijít s alternativním ovládáním skrze příkazový řádek.

Jdeme grilovat!

Aplikace zároveň umožňuje vnutit kulmě vlastní nastavení a přepsat to, které bylo nastaveno na kulmě samotné. Tedy teplotu a čas do vypnutí. Takže například z teploty 120°C na 5 minut můžete přes bluetooth vykouzlit 235°C na 20 minut. Když k tomu připojíme fakt, že kulmu není nutné s mobilním telefonem přes bluetooth párovat (!!!), pr*ser je na světě!

Co to znamená v praxi? Stačí být pár metrů od této chytré kulmy značky Glamoriser a bez fyzického přístupu se k ní můžete vzdáleně připojit a majitelce doslovně zatopit. Pro útočníky je pak ideální, pokud jde rovnou o velký kosmetický salón Připomeňme ještě, že ke kulmě může být připojeno v daný okamžik pouze jedno bluetooth zařízení. Obranou před útočníky je tak paradoxně využití této nesmyslné funkcionality samotným uživatelem kulmy…

Smutný závěr

Ač může být výše uvedený text považován za vtipný, ve skutečnosti představuje smutnou realitu. „Internet věcí“ – Internet of Things – IoT, tedy „chytré“ výrobky, které lze připojit k internetu či propojit s okolím, představují z pohledu bezpečnosti velký průšvih. Výrobci často problematiku bezpečnosti zcela ignorují a ženou se především za ziskem a senzacemi. Produkují tak nové a nové modely, zatímco kašlou na podporu těch starších (což je kritické například u WiFi routerů, kterými jsme připojeni k internetu). Je potřeba si uvědomit, že podobné problémy se mohou týkat i „chytrých“ žárovek, ledniček, televizorů, hajzl prkének (ano i ty fungují přes bluetooth a lze je „hacknout“), ode dneška kulem, ale třeba i automobilů – viz. starší článek o Jeepu Cherokee, který byl vzdáleně přes internet poslán do příkopu i s řidičem!

The post Splněný sen! Kulma na vlasy s ovládáním přes mobil je tu! appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Need to automatically and securely verify a download is legit? You bet rget this new tool

The Register - Anti-Virus - 6 Srpen, 2019 - 09:04
Wget's? I've had a few.... but then again, it's better to cryptographically check the contents of that executable

Brandon Philips, a member of the technical staff at Red Hat, has created a software tool called rget for Linux, macOS, and Windows, to make it easier to determine whether downloaded files can be trusted.…

Kategorie: Viry a Červi

It's 2019 – and you can completely pwn millions of Qualcomm-powered Androids over the air

The Register - Anti-Virus - 6 Srpen, 2019 - 07:56
Grab security patches now from chip designer, Google

Black Hat  It is possible to thoroughly hijack a nearby vulnerable Qualcomm-based Android phone, tablet, or similar gadget, via Wi-Fi, we learned on Monday. This likely affects millions of Android devices.…

Kategorie: Viry a Červi

PIN the blame on us, says Monzo in mondo security blunder: Bank card codes stored in log files as plain text

The Register - Anti-Virus - 6 Srpen, 2019 - 07:09
Why bother go for databases when insecure log files appears to be where all the data is at

Trendy online-only Brit bank Monzo is telling hundreds of thousands of its customers to pick a new PIN – after it discovered it was storing their codes effectively as plain-text in log files.…

Kategorie: Viry a Červi
Syndikovat obsah