Tietoturvauutiset ja blogipostaukset

[Humanoid]

Uuden Rustilla tehdyn haittaohjelman lähdekoodi on julkaistu. Siitä tekee erikoisen se, että kohteena on useat eri Chromium-pohjaiset selaimen joiden dataa kaapataan paikallisista tietokannoista. Chattisoftista Discord ja Telegram ovat tulilinjalla.
Taitaa olla myös ensimmäinen haittaohjelma joka yrittää lukea dataa salasanamanagerien selainlaajennuksista. Huonolla tuurilla ohjelma on voinut kaapata käyttäjän pääsalasanan, tai muita tunnuksia. Vaikka kyseessä on periaatteessa cross-platform -sovellus, tällä hetkellä kohteena ovat vain Windows-käyttäjät.

Cyble - Luca Stealer Source Code Leaked On A Cybercrime Forum

Cyble analyzes the source code of a Rust-based stealer leaked on a cybercrime forum with multiple samples spotted in the wild.

blog.cyble.com

TLDR, eli kohdelistalla seuraavat datat:
- Selainten salasanat
- Tallennetut luottokorttitiedot
- Keksit/selaushistoria
- Kryptolompakot
- Salasanamanagerien selainlaajennusten tallentama data
- Chattisovellukset (Telegram, Discord)
- Steam, UPlay

 

[TenderBeef]

Taitaa olla myös ensimmäinen haittaohjelma joka yrittää lukea dataa salasanamanagerien selainlaajennuksista.

Ainakin bitwardenin laajennoksella on kaikki lokaalisti kirjoitetut tiedostot kryptattuja. Toki sieltä saa esim. emailosoitteen ja bitwardenin asetukset selville.

 

[Humanoid]

Ainakin bitwardenin laajennoksella on kaikki lokaalisti kirjoitetut tiedostot kryptattuja. Toki sieltä saa esim. emailosoitteen ja bitwardenin asetukset selville.

Eikös Bitwardenissa ole mahdollista ettei tietokanta mene koskaan lukkoon (jos käyttäjä näin haluaa), jolloin pääsalasanan hash on tallennettu salaamattomana koneelle?

 

[Special Once]

Eikös Bitwardenissa ole mahdollista ettei tietokanta mene koskaan lukkoon (jos käyttäjä näin haluaa), jolloin pääsalasanan hash on tallennettu salaamattomana koneelle?

On mahdollista ettei mene lukkoon (kuten mulla on) mutta pääsalasanaa käytetään ainoastaan kun vault avataan. En ainakaan itse ole löytänyt salasanahashia koneelta vaikka vault on aina auki.

Ja tosiaan Bitwardenin FAQ:

Q: Is my Bitwarden master password stored locally?
A: No.

We do not keep the master password stored locally or in memory. Your encryption key (derived from the master password) is kept in memory only while the app is unlocked, which is required to decrypt data in your vault. When the vault is locked, this data is purged from memory.

 

[TenderBeef]

Eikös Bitwardenissa ole mahdollista ettei tietokanta mene koskaan lukkoon (jos käyttäjä näin haluaa), jolloin pääsalasanan hash on tallennettu salaamattomana koneelle?

En tiedä. Bitwarden sanoo:

On your Local Machine
Data that is stored on your computer/device is encrypted and only decrypted when you unlock your Vault. Decrypted data is stored in memory only and is never written to persistent storage.

 

[Humanoid]

En tiedä. Bitwarden sanoo:

Tämän bugiraportin mukaan ongelma on edelleen olemassa: Vulnerability: Chrome extension saves vault in persistent local storage after logging out and exiting Chrome · Issue #3124 · bitwarden/clients

EDIT: Ongelmia on näemmä myös muistin deletoimisen kanssa: Vulnerability: Sensitive information is not purged from process memory on app lock or logout · Issue #3166 · bitwarden/clients

 

[Special Once]

Edgessä ei näytä olevan tuota ongelmaa.

 

[=JP=]

Ei mitenkään vaarallinen asia normaalille käyttäjälle, mutta jälleen mielenkiintoinen idea (oletettavasti toimiva sellainen) on käyttää SATA kaapelia anteenina, jolla voi lähettää jopa 120cm päähän dataa. Tämä on vaarallista kun on olemassa tarpeita, jolloin kone on ns. "air gapped", eli siinä ei ole mitään yhteyttä ulkoiseen maailmaan, koska data sen verta salaista. Vaatii tietenkin, että joku sisäpiiriläinen asentaa kyseiseen koneeseen softaa, joka hyödyntää tuota, mutta esim. teollisuus salaisuuksien maailmassa, tämäkin on otettava huomioon. Puhumattakaan armeijan systeemeistä, taikka kriittisistä järjestelmistä (energia, vesi, kaasu jne...).

Air-gapped systems leak data via SATA cable WiFi antennas

An Israeli security researcher has demonstrated a novel attack against air-gapped systems by leveraging the SATA cables inside computers as a wireless antenna to emanate data via radio signals.

www.bleepingcomputer.com

 

[ztec]

Air-gapped systems leak data via SATA cable WiFi antennas

An Israeli security researcher has demonstrated a novel attack against air-gapped systems by leveraging the SATA cables inside computers as a wireless antenna to emanate data via radio signals.

www.bleepingcomputer.com

Näitä nyt nousee vähän väliä uutisina, mutta asiahan on vanha kuin taivas ja jos kerran on tarkoitus tehdä turvallisia järjestelmiä, niin tässä ei ole kyllä mitään uutta. Näyttäisi että 1940 luvulla asia oli jo tapetilla.

Tempest (codename) - Wikipedia

en.wikipedia.org

Tosin tuohan oli selvästi siitä huono, että sen vastaanottamiseen tarvittiin erilainen vastaanotin, ainakin tämän artikkelin mukaan. Olisi kätevämpää jos se olisi vaikka saatu taajuusalueelle jossa se häiritsee jotain tiettyä wifi kanavaa ja voidaan sitten ottaa vastaan millä tahansa laitteella, koska tuon kanavan kohina / häiriö arvoja voidaan muokata lähettämällä häirötä kanavalle ja näin vastaanottaa signaali toisella hakkeroidulla laitteella, ilman että tarvitsee varta vasten viedä hardista.

Usein miten nämä paljastuu jonkinlaisina ongelmina normaalissa käytössä, kun joku aiheuttaa häiriötä johonkin tai ei toimi. Tosin silloin yleensä ei edes ajatella sitä toista puolta, että mitä sen häiriön mukana saattoi vuotaa.

Samaa asiaa sitten toistellaan aina uutena juttuna, mihin se sitten milloinkin liittyy. Jos järjestelmästä lähtee mitä tahansa signaalia, niin sitä voidaan väärinkäyttää signalointiin.
Konseptina anything over anything. Vasta kun signaalia ei lähde, on ongelma poistettu.

Covert channel - Wikipedia

en.wikipedia.org

Lukemattomissa softissa joita olen tehnyt, on aivan varmasti timing attack reikiä ja vaikka kuinka. Niiden kitkeminen on todella haastavaa:

Timing attack - Wikipedia

en.wikipedia.org

Sekä kaikki normaalit järjestelmät on ihan käsittämättömän täynnä side-channeleita, koska niitä ei ole koitettu kitkeä:

Side-channel attack - Wikipedia

en.wikipedia.org

Joskus noita signaaleita voidaan toki käyttää myös viihteellisiin tarkoituksiin ja varsin hyvin muodostettuina:


Sekä legendaariset tapaukset joissa vaikka hella alkaa ottamaan AM lähetyksiä vastaan. Näitähän riittää.

Voi olla että tuokin on sellainen tieteenlaji joka on aika pitkälle kehittynyt, varsinkin jos käytettävissä on riittävästi osaamista ja rautaa. Jos käytettävissä on vaikka kymmeniä vimpan päälle tuunattuja state of art sigint satelliitteja ja sitten niiden datan ristiinprosessointiin ja filtteröintiin käytetään supertietokoneita.

Se on varmaan vähän samassa kategoriassa oleva ero, kuin että montako galaksia näet taivaalla? Versus montako JWST näkee niitä. Ja on mulla sitten se kaveri joka harrastelee taivaalle katselua ja omistaa hienon 5" teleskoopin takapihallaan ja sanoi että ei niitä kovin montaa näy.

Jossain keskustelussa joskus väläytin ideaa, että miksi 5G pelottaa. Ehkäpä (teknisesti miksipä ei?) 5G tukiasemat toimii tiedustelupalveluiden tutkina. Joku voisi lahjoittaa viimeisimät 5G vermeet CCC klubille analysoitavaksi.

Mainio pätkä vielä Black Hatista. Miten vaikeaa noista on päästä eroon, varsinkin jos pääsee tarkkailemaan edes jollain tasolla järjestelmän toimintaa.

 

[Infy]

Tulipa tuosta mieleen Neuvostoliiton USA:n Moskovan suurlähetystöön lahjoittama seinäkoriste, joka toimi passiivisena salakuuntelulaitteena vuosina 1945-1952 suurlähettilään asunnossa.

Salakuuntelulaitetta ei löydetty helposti kun siinä ei ollut virtalähdetta, vaan se vaati ulkopuolisen radiosignaalin toimiakseen.

The Thing (listening device) - Wikipedia

en.wikipedia.org

 

[Kautium]

Mielenkiintoinen podcast, jossa muutama vuosi sitten Nordean työntekijänä rahoja kavaltanut Sebastian Karikko kertoo elämästään, tekemisistään ja tulevasta tuomiostaan. Tähän ketjuun liittyen silti ehkä mielenkiintoisimpana pointtina tässä kohdassa jänniä pointteja Nordean tietoturvasta ennen ja jälkeen tapahtuneen:

 

[user9999]

Sambassa vakava haavoittuvuus.

Vakava haavoittuvuus Samba-palvelinohjelmistossa | Kyberturvallisuuskeskus

Samba-palvelinohjelmiston vakava haavoittuvuus antaa hyökkääjälle muun muassa mahdollisuuden muokata kohdejärjestelmän salasanoja. Päivitykset on syytä asentaa viipymättä.

www.kyberturvallisuuskeskus.fi

 

[Infy]

Jos on VMwaren vekottimia käytössä niin kipin kapin pävittelemään.

VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden. Lisäksi päivityspaketti korjaa muita haavoittuvuusksia VMware Access Connectorista ja Identity Manager Connectorista. Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi verkon yli saada pääkäyttäjätason oikeudet ilman todentamista. VMwaren mukaan korjaavat päivitykset tulisi asentaa mahdollisimman pian.

Kriittiseksi luokiteltu VMware-päivityspaketti korjaa haavoittuvuuksia useista tuotteista | Kyberturvallisuuskeskus

VMware julkaisi päivityspaketin, joka korjaa kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuuteen on olemassa toimiva hyväksikäyttökeino. Päivitykset on syytä asentaa pikimmiten.

www.kyberturvallisuuskeskus.fi

 

[FireExit]

Jos on VMwaren vekottimia käytössä niin kipin kapin pävittelemään.

VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden. Lisäksi päivityspaketti korjaa muita haavoittuvuusksia VMware Access Connectorista ja Identity Manager Connectorista. Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi verkon yli saada pääkäyttäjätason oikeudet ilman todentamista. VMwaren mukaan korjaavat päivitykset tulisi asentaa mahdollisimman pian.

Kriittiseksi luokiteltu VMware-päivityspaketti korjaa haavoittuvuuksia useista tuotteista | Kyberturvallisuuskeskus

VMware julkaisi päivityspaketin, joka korjaa kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuuteen on olemassa toimiva hyväksikäyttökeino. Päivitykset on syytä asentaa pikimmiten.

www.kyberturvallisuuskeskus.fi

Hitusen OT, mutta: Mitä noi on? Sen mitä nyt pikasesti luin tuon tiedotteen, niin itse Hyperviisori ESXi on edelleen OK?

 

[=JP=]

Hitusen OT, mutta: Mitä noi on? Sen mitä nyt pikasesti luin tuon tiedotteen, niin itse Hyperviisori ESXi on edelleen OK?

Aikas selkeästihän se mielestäni tuolla sanotaan, missä tuotteissa haavoittuvuus on (erikseen voi käydä varmaan tutustumassa VMWaren sivuilla, mitä kukin on):
VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden.

Eli palvelinpuolen softiahan nuo taitavat olla, eli ei peruskäyttäjän tarvitse hirveenä murehtia.
Tottakai kannattaa asentaa päivitykset kaikkiin VMwaren tuotteisiin, joihin tarjolla, jos sattuu korjauksia sinnekin tarvitsemaan

 

[FireExit]

Aikas selkeästihän se mielestäni tuolla sanotaan, missä tuotteissa haavoittuvuus on (erikseen voi käydä varmaan tutustumassa VMWaren sivuilla, mitä kukin on):
VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden.

Eli palvelinpuolen softiahan nuo taitavat olla, eli ei peruskäyttäjän tarvitse hirveenä murehtia.
Tottakai kannattaa asentaa päivitykset kaikkiin VMwaren tuotteisiin, joihin tarjolla, jos sattuu korjauksia sinnekin tarvitsemaan

Oonpa mä typerä kun odotin, että joku ois antanut lyhyen kuvauksen suomeksi, kun sitä pyysin.

Noh... Jos ei muuta, niin tiedän ainakin, että keneltä sitä ei ainakaan kannata odottaa...

 

[leripe]

Oonpa mä typerä kun odotin, että joku ois antanut lyhyen kuvauksen suomeksi, kun sitä pyysin.

Noh... Jos ei muuta, niin tiedän ainakin, että keneltä sitä ei ainakaan kannata odottaa...

Ehkäpä tämä ketju ei ole tarkoitettu VMwaren tuotteiden tarkoituksien ja ominaisuuksien kertomisiin. Sopivan lyhyesti tuossa avattiin, että mihin noita käytetään ja jos tuotteita ei tunne, niin tuskin tarvitsee näitä haavoja miettiä sekuntia kauempaa.

 

[FireExit]

Ehkäpä tämä ketju ei ole tarkoitettu VMwaren tuotteiden tarkoituksien ja ominaisuuksien kertomisiin. Sopivan lyhyesti tuossa avattiin, että mihin noita käytetään ja jos tuotteita ei tunne, niin tuskin tarvitsee näitä haavoja miettiä sekuntia kauempaa.

Joo se luetun ymmärtäminen on vaikeaa. OT loppu.

 

[=JP=]

En oikein ymmärrä, miten voi mennä puoli vuotta, ennenkuin aletaan niille käyttäjille, joiden tiedot vuoti, ilmoittamaan asiasta...
Tässäkin taas hyvä muistutus, miten puhelinnumerot sun muut tiedot voi joutua jakoon ja sitten ihmetellään ku esim. huijarit soittelee.

Twitter confirms zero-day used to expose data of 5.4 million accounts

Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.

www.bleepingcomputer.com

Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.

allowed the threat actor to create profiles of 5.4 million Twitter users in December 2021, including a verified phone number or email address, and scraped public information, such as follower counts, screen name, login name, location, profile picture URL, and other information.

Today, Twitter has confirmed that the vulnerability used by the threat actor in December is the same one reported to and fixed by them in January 2022 as part of their HackerOne bug bounty program.,

As part of today's disclosure, Twitter told BleepingComputer that they have already begun to send out notifications this morning to alert impacted users about whether the data breach exposed their phone number or email address.

 

[ztec]

Tässäkin taas hyvä muistutus, miten puhelinnumerot sun muut tiedot voi joutua jakoon ja sitten ihmetellään ku esim. huijarit soittelee.

Sekä hyvä muistutus, miksi julkiset, puolijulkiset, sisäiset ja salaiset asiat pitäisi pitää täysin erillään. Sekä suorittaa tarvittaessa asianmukainen kontaktin autentikointi. Saahan huijarit soitella siihen julkiseen numeroon, mutta se menee vastaajaan josta sitten kerran viikossa poimitaan ne yhteydenottopyynnöt joilla on mahdollisesti muka jotain väliä. Sähköpostit, puhelimet ja muut identiteetit pitää olla aina kontekstin mukaisia ja tarvittaessa vahva autentikointi. -> Tekee hyökkäämisestä paljon vaikeampaa. - Twitter kuitenkin kuuluu selvästi sinne julkiset asiat kategoriaan, joten mitä salattavaa siinä sitten olisi?

 

[TenderBeef]

Security vulnerabilities found in Intel and AMD processors - gHacks Tech News

Security researchers have discovered vulnerabilities in Intel and AMD processors that may lead to information disclosure.

www.ghacks.net

Most Intel 10th, 11th and 12th generation processors are affected by a new vulnerability that the researchers have named ÆPIC Leak. The vulnerability is an architectural bug according to the researchers, which sets it apart from Spectre and Meltdown vulnerabilities that have haunted Intel and AMD in the past years.

AMD Zen 2 and 3 processors are affected by a security vulnerability that the researches named SQUID. It is a side channel attack that is targeting CPU schedulers.

Most home devices with affected processor models should be safe, as the attacks have certain requirements that make attacks on home systems unlikely.

 

[Humanoid]

Instagramin, Facebookin, TikTokin ym. mobiilisovellusten sisään rakennetut selaimet seuraavat käyttäjää melkoisella intensiteetillä:

iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser

Personal website and blog of Felix Krause

krausefx.com

What does Instagram do?

• Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
• This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
• The Instagram app injects their tracking code into every website shown, including when clicking on ads, enabling them monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.

Vaikka artikkeli keskittyy iOS:ään, tilanne on käytännössä sama myös Androidissa (WebView). Yksinkertainen keino välttää seurantaa on avata linkit erillisessä selaimessa, joka on mahdollista suoraan ainakin iOS:ssä.

 

[Agent_007]

Yksinkertainen keino välttää seurantaa on avata linkit erillisessä selaimessa, joka on mahdollista suoraan ainakin iOS:ssä

Joku sanoi, ettei onnistu esim. Tiktokin kanssa, kun sen upotetusta selaimessa ei ole tuota toimintoa. Eli iOS:n kanssa ero on siinä että onko kyseessä upotettu SFSafariViewController vai WKWebView.

 

[Humanoid]

Joku sanoi, ettei onnistu esim. Tiktokin kanssa, kun sen upotetusta selaimessa ei ole tuota toimintoa. Eli iOS:n kanssa ero on siinä että onko kyseessä upotettu SFSafariViewController vai WKWebView.

Yksi vaihtoehto on käyttää noita palveluja suoraan mobiiliselaimella. Esim. Instagramin kohdalla tosin silloin hajoaa väriteema, eikä julkaisut näy lainkaan aikajärjestyksessä. Mainokset tosin katoavat. En yhtään ihmettele, vaikka olisivat tahallaan rampauttaneet webbipuolen toiminnallisuutta.

 

[=JP=]

Koska mobiililaitteiden käyttöä vaan lisätään koko ajan, niin niiden tietoturvaa kannattaa miettiä. Tämä tapaus ei nyt suoraan meillä Suomessa vaikuta, mutta jos maksujärjestelmistä löytyy reikiä, niin mitään varmuuttahan ei ole jos tulevaisuudessa sellainen löytyy joka vaikuttaa laajemmin maksamisen turvaan, myös täällä Suomessa.

Vulnerabilities on Xiaomi’s mobile payment mechanism which could allow forged transactions : A Check Point Research analysis - Check Point Blog

Highlights: Check Point Research (CPR) analyzed the payment system built into Xiaomi smartphones powered by MediaTek chips CPR found vulnerabilities that

blog.checkpoint.com

analyzed the payment system built into Xiaomi smartphones powered by MediaTek chips
vulnerabilities that could allow forging of payment and disabling the payment system directly, from an unprivileged Android application

Vika on korjattu, mutta en tarkemmin tiedä miten hyvin Xiaomi päivittelee laitteitaan...

 

[escalibur]

Twilio (mm. Authyn omistaja) koki tietomurron: Incident Report: Employee and Customer Account Compromise - August 4, 2022

Twilio Suffers Data Breach After Employees Fall Victim to SMS Phishing Attack

Customer engagement platform Twilio suffered a data breach after hackers gained "unauthorised access" by tricking some employees.

amp.thehackernews.com

 

[=JP=]

Jos käytät Metan omia appeja älypuhelimessa (Instagram ja Facebook), niin ne "vakoilee" kaikkea mitä teet, myös ulkopuolisilla sivuilla, jos satut avaamaan linkin niiden sovelluksen sisällä (mikä tapahtuu useimmiten, koska sisäänrakennettu selain). Tämän lisäksi ne injektoi sivuille omat javaskriptit käyttäjältä kyselemättä.
Tämä tapahtuu ainakin Applen laitteissa, mutta oletettavasti myös Androidissa, koska eiköhän nuo perustu samaan koodiin.

iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser

Personal website and blog of Felix Krause

krausefx.com

The iOS Instagram and Facebook app render all third party links and ads within their app using a custom in-app browser. This causes various risks for the user, with the host app being able to track every single interaction with external websites, from all form inputs like passwords and addresses, to every single tap.

• Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
• This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
• The Instagram app injects their JavaScript code into every website shown, including when clicking on ads. Even though pcm.js doesn’t do this, injecting custom scripts into third party websites allows them to monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.

Metan perustelut toiminnalle on mielenkiintoiset...

 

[Humanoid]

Jos käytät Metan omia appeja älypuhelimessa (Instagram ja Facebook), niin ne "vakoilee" kaikkea mitä teet, myös ulkopuolisilla sivuilla, jos satut avaamaan linkin niiden sovelluksen sisällä (mikä tapahtuu useimmiten, koska sisäänrakennettu selain). Tämän lisäksi ne injektoi sivuille omat javaskriptit käyttäjältä kyselemättä.
Tämä tapahtuu ainakin Applen laitteissa, mutta oletettavasti myös Androidissa, koska eiköhän nuo perustu samaan koodiin.

iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser

Personal website and blog of Felix Krause

krausefx.com

The iOS Instagram and Facebook app render all third party links and ads within their app using a custom in-app browser. This causes various risks for the user, with the host app being able to track every single interaction with external websites, from all form inputs like passwords and addresses, to every single tap.

• Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
• This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
• The Instagram app injects their JavaScript code into every website shown, including when clicking on ads. Even though pcm.js doesn’t do this, injecting custom scripts into third party websites allows them to monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.

Metan perustelut toiminnalle on mielenkiintoiset...

Pari viestiä ylempänä.. Tietoturvauutiset ja blogipostaukset Mutta hyvällä asialla. Android on samassa veneessä, kyllä.

 

[=JP=]

Pari viestiä ylempänä.. Tietoturvauutiset ja blogipostaukset Mutta hyvällä asialla. Android on samassa veneessä, kyllä.

Ai katos, pikaseen hain vaan sanalla "Meta", niin ei näkyny parin päivän sisään mitään
Noh, kertaus on opintojen äiti...

Periaatteessa sama ongelma on varmasti lähes kaikissa appseissa, jotka sisältää oman sisäänrakennetun selaimen, tämän takia en ole hirveän innokas käyttämään/suosittelemaan minkään palvelun/sivuston omaa sovellusta, jota voi käyttää suoraan web selaimesta. Asiaa tietenkin puolustellaan helppokäyttöisyydellä ja jotkut "pakottaa" käyttämään, jos haluaa jotain erikoisominaisuuksia, joita ei tahallaan laiteta sinne web puolelle.

 

[leripe]

Onhan se kiva noista tietää mitä ne kerää, mutta käytännössä junat menneet jo noilta osin massan ja normaalien käyttäjien osalta, joten noiden tietojen keräämisien välttely on enää marginaali porukan (foliohattu) hommaa. Valitettavasti.
Lainsäädännöllä voisi saada kuriin, mutts facebook, google jne tienaa sen verran massia et on yksi kärpäsen paska lobata miljoonilla asioita.

 

[Agent_007]

Lainsäädännöllä voisi saada kuriin

Tuohon on myös ehdotettu uutta X-Frame-Options -arvoa (tai vastaavaa uutta asetusta), jolla voitaisiin estää sivun näkyminen upotetussa selainkomponentissa. Tällöin sisällön tekijä saisi päättää, että näkyykö sisältö esim. Tiktokin selaimessa.

Let websites framebust out of native apps | Holovaty.com

 

[Humanoid]

Zoomin installeri on pyytäny macOS-asennuksessa pääkäyttäjän salasanaa, ja asentanut taustalle root-oikeuksilla pyörivän päivityssoftan, jolla on voinut periaatteessa asentaa mitä tahansa Zoomin signeeraamaa sovellusta. IMO, kiinasoftaa asentaessa täytyy olla aina tarkkana, tai käyttää mahdollisuuksien mukaan selainpohjaista versiota.

The Zoom installer let a researcher hack his way to root access on macOS

Update your app.

www.theverge.com

When Zoom issued an update, the updater function would install the new package after checking that it had been cryptographically signed by Zoom. But a bug in how the checking method was implemented meant that giving the updater any file with the same name as Zoom’s signing certificate would be enough to pass the test — so an attacker could substitute any kind of malware program and have it be run by the updater with elevated privilege.

 

[user9999]

Yli 9 000 VNC-palvelinta verkossa ilman salasanaa. Iso osa Ruotsissa jostain syystä

Over 9,000 VNC servers exposed online without a password

Researchers have discovered at least 9,000 exposed VNC (virtual network computing) endpoints that can be accessed and used without authentication, allowing threat actors easy access to internal networks.

www.bleepingcomputer.com

 

[Infy]

Twilion tietomurron kautta hyökkääjät ovat päässeet käsiksi pieneen joukkoon Signalin käyttäjiä (1900kpl). Hyökkääjät ovat mahdollisesti voineet yrittää rekisteröidä käyttäjien tilit toiseen puhelinnumeroon sekä saaneet tiedon ketkä ovat Signalin käyttäjiä.

Käyttäjien muut tiedot, viestit, kontaktit, ym. ovat turvassa, koska Signal ei tallenna niitä palvelimilleen.

https://support.signal.org/hc/en-us/articles/4850133017242

 

[=JP=]

Mielenkiintoinen asia noussut isompaan tietoisuuteen, eli oletettavasti Applen vehkeissä VPN yhteydet vuotanut ku seula jo parin vuoden ajan ja mikä parasta, Apple tiennyt tän asian jo vuodesta 2020. Tästä saattaa nousta kunnon kohu vielä, jos faktat pitää paikkansa...

iOS VPNs have leaked traffic for years, researcher claims [Updated]

VPNs on Apple mobile devices reportedly keep connections open and expose data.

arstechnica.com

Täällä on pitkät selostukset asiasta, jos kiinnostaa tarkemmin.

VPNs on iOS are a scam

VPNs on iOS are a scam

www.michaelhorowitz.com

VPNs on iOS are broken. At first, they appear to work fine. The iOS device gets a new public IP address and new DNS servers. Data is sent to the VPN server. But, over time, a detailed inspection of data leaving the iOS device shows that the VPN tunnel leaks. Data leaves the iOS device outside of the VPN tunnel. This is not a classic/legacy DNS leak, it is a data leak. I confirmed this using multiple types of VPN and software from multiple VPN providers. The latest version of iOS that I tested with is 15.6. This data leak was first publicized by ProtonVPN in March 2020 and iOS v13.

 

[Humanoid]

Jatkoa aiempaan, eli in-app-browser -keissiin. Nyt eri softia voi testata itsekin avaamalla osoitteen inAppBrowser.com applikaatiosta.

iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser

Personal website and blog of Felix Krause

krausefx.com

Esimerkiksi TikTok tekee artikkelin mukaan seuraavaa:

When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.

 

[Ormu]

Jatkoa aiempaan, eli in-app-browser -keissiin. Nyt eri softia voi testata itsekin avaamalla osoitteen inAppBrowser.com applikaatiosta.

iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser

Personal website and blog of Felix Krause

krausefx.com

Esimerkiksi TikTok tekee artikkelin mukaan seuraavaa:

Voi-sähköpotkulautasovelluksessa maksukortin varmennus (pankkitunnuksilla) piti tehdä sovelluksen sisällä tuohon tyyliin. Toki se vaatii ulkopuolisen varmennuksen pankin sovelluksella tai laitteella, mutta mielestäni silti kyseenalaista.

 

[=JP=]

Päivitelkääs Chrome selaimet (ja muut jotka käyttää kyseistä engineä), sillä on löydetty vakavia 0day haavoittuvuuksia... (tänään näytti ainakin Edgeen tulleen päivitys)

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

Google releases an important update for the Chrome browser for Mac, Linux, and Windows systems to patch several new vulnerabilities.

thehackernews.com

Google on Tuesday rolled out patches for Chrome browser for desktops to contain an actively exploited high-severity zero-day flaw in the wild.
Users are recommended to update to version 104.0.5112.101 for macOS and Linux and 104.0.5112.102/101 for Windows to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

 

[Hyrava]

Päivitelkääs Chrome selaimet (ja muut jotka käyttää kyseistä engineä), sillä on löydetty vakavia 0day haavoittuvuuksia... (tänään näytti ainakin Edgeen tulleen päivitys)

New Google Chrome Zero-Day Vulnerability Being Exploited in the Wild

Google releases an important update for the Chrome browser for Mac, Linux, and Windows systems to patch several new vulnerabilities.

thehackernews.com

Google on Tuesday rolled out patches for Chrome browser for desktops to contain an actively exploited high-severity zero-day flaw in the wild.
Users are recommended to update to version 104.0.5112.101 for macOS and Linux and 104.0.5112.102/101 for Windows to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.

Ehkä olisi parempi lopettaa kokonaan Chromen / siihen pohjautuvien selainten käyttö, tuntuu että joka viikko tulee uusi 0day ilmi. Ainakin lähiaikoina tuntuu että Chome on koko ajan uutisissa noiden 0day-aukkojen takia.

 

[Algron28]

Ehkä olisi parempi lopettaa kokonaan Chromen / siihen pohjautuvien selainten käyttö, tuntuu että joka viikko tulee uusi 0day ilmi. Ainakin lähiaikoina tuntuu että Chome on koko ajan uutisissa noiden 0day-aukkojen takia.

Nykypäivänä vaan ei taida kauhean paljon olla selainmarkkinoilla valinnan varaa.

 

[Hyrava]

Nykypäivänä vaan ei taida kauhean paljon olla selainmarkkinoilla valinnan varaa.

Firefox?

 

[Aaltoliike]

Firefox?

No siihempä se valinnanvara sitten jääkin. En sanoisi, että sitä paljon olisi.

 

[escalibur]

Firefox?

Eipä sekään välttämättä ole yhtään sen turvallisempi. Security Advisories for Firefox

 

[Hyrava]

Eipä sekään välttämättä ole yhtään sen turvallisempi. Security Advisories for Firefox

No ei paljoa turvallisempi mutta eipä sentään ole kriittisiä haavoja joka viikko kuten nyt lähiaikoina on chromessa tuntunut olevan.

Toki nettisurffailussa kyllä pitäisi muutenkin pitää järki päässä eikä klikkailla jokaista linkkiä mitä vastaan tulee. Ja toisaalta ongelma alkaa olemaan jo nettisivuissa itsessäänkin kun joka sivulla on megatavuittain kaiken maailman javascriptejä sun muuta, epämääräisistä mainoksista puhumattakaan. Toisaalta, nykyään tulee jo ihmeteltyä miten jotkut enää voivat netissä surffailla esim ilman adblockeria, sen verran paljon alkaa (ärsyttäviä ja häiritseviä) mainoksia olemaan.

 

[Algron28]

Firefox tuntuu vaan viimevuosina jääneen aika sivuosaan ja ilmeisesti käyttäjäkunta pienentynyt huomattavasti huippuvuosista. Toki tuo varmaan vähentää myös niiden haavoittuvuuksien raportoijia ja löytäjiä.

 

[Agent_007]

Briteissä ihmisille on postitettu väärennettyjä Microsoft Office -asennuspaketteja (mukana USB-tikku), ja jos tuon tikun asennusohjelman käynnistää niin siitä seuraa sitten perinteinen tech support -kusetuspuheluketjun alku (koneessa on virus, soita tähän numeroon niin homma korjaantuu)

Don't plug in that free Microsoft Office USB drive you got in the mail

Surprisingly legit-looking, "free" copies of Microsoft Office are (unsurprisingly) still scams

www.pcworld.com

 

[Humanoid]

Firefox tuntuu vaan viimevuosina jääneen aika sivuosaan ja ilmeisesti käyttäjäkunta pienentynyt huomattavasti huippuvuosista. Toki tuo varmaan vähentää myös niiden haavoittuvuuksien raportoijia ja löytäjiä.

Sivuosaan juu, mutta silti tälle löytyy oma käyttäjäporukkansa. Moni arvostaa etenkin containereita ja parempia mahdollisuuksia estää keksien leviäminen domainilta toiselle ym. Yksityisyyden puolella pieksee Chromet 100-0.

 

[user9999]

Mielenkiintoinen asia noussut isompaan tietoisuuteen, eli oletettavasti Applen vehkeissä VPN yhteydet vuotanut ku seula jo parin vuoden ajan ja mikä parasta, Apple tiennyt tän asian jo vuodesta 2020. Tästä saattaa nousta kunnon kohu vielä, jos faktat pitää paikkansa...

iOS VPNs have leaked traffic for years, researcher claims [Updated]

VPNs on Apple mobile devices reportedly keep connections open and expose data.

arstechnica.com

Täällä on pitkät selostukset asiasta, jos kiinnostaa tarkemmin.

VPNs on iOS are a scam

VPNs on iOS are a scam

www.michaelhorowitz.com

VPNs on iOS are broken. At first, they appear to work fine. The iOS device gets a new public IP address and new DNS servers. Data is sent to the VPN server. But, over time, a detailed inspection of data leaving the iOS device shows that the VPN tunnel leaks. Data leaves the iOS device outside of the VPN tunnel. This is not a classic/legacy DNS leak, it is a data leak. I confirmed this using multiple types of VPN and software from multiple VPN providers. The latest version of iOS that I tested with is 15.6. This data leak was first publicized by ProtonVPN in March 2020 and iOS v13.

Appleltä tullut vastaus tuohon 19.8.2022. "The behavior you are seeing is expected."

VPNs on iOS are a scam

VPNs on iOS are a scam

www.michaelhorowitz.com

Spoileri

August 19, 2022: Apple responded to me yesterday.

Strange timing, in that it happened just after this issue got some publicity. Very reminiscent of how Facebook responded just after their bad publicity having to do with leaking abortion messages.

The Apple response started with "The behavior you are seeing is expected." Take a second to let that sink in. I did not know how right I was when picking a title for this page - VPNs on iOS are indeed a scam.

Should it work this way is the real question. I think not and at least three VPN providers also feel this way.

Then too, Apple could have said this in May or June or July or earlier this month. This blog posting has been public the whole time.

Apple also said that the Always On VPN feature of MDM offers a fix. Mobile Device Management is over my head. It is used by large corporations to manage hundreds or thousands of iOS devices. That's pretty much everything I know about it. According to Apple, MDM lets the corporate IT techies force all data leaving an iOS device to go to the company. But, MDM is is not available to consumers.

Finally, Apple mentioned an API option that was introduced in iOS version 14 and pointed me to developer documentation at developer.apple.com. I am not an iOS developer, so I am not qualified to offer an opinion on this. Still, I can summarize.

1. The new option is on/off flag that indicates whether iOS sends all data through the VPN tunnel, or not. So, clearly iOS 13 and earlier were the Wild Wild West for VPNs. When both ProtonVPN and Mullvad blogged about VPNs leaking, they were referring to iOS version 13.
2. The flag is OFF by default. Interesting choice for a company that sells their stuff based on security and privacy.
3. If the flag is ON, and the VPN connection dies, iOS drops all network traffic. A built in kill switch. Sounds great.

Apple suggested we ask our VPN providers if they are using this flag.

The flag is documented in a section on the NEVPNProtocol which is described as having settings common to both IKEv2 and IPsec VPN configurations.This begs the question: What about OpenVPN? What about WireGuard? I asked Apple this today.

For some perspective, this is what ProtonVPN wrote about iOS version 14 in October 2020: "Although Apple has not fixed the VPN bypass problem directly on iOS 14..." That's interesting. Apple says the issue is fixed in iOS 14, Proton says it is not. Proton went on to say that iOS 14 has a Kill Switch, but they did not provide details, so its not clear if they are referring to the flag that Apple mentioned yesterday. However, at the time, they expected that the Kill Switch would block existing connections when a VPN was enabled.

- - - - - - - - - - - - -

Another development yesterday was that Proton updated their blog posting, the one that first went up in March 2020:

" Recent testing has shown that while the kill switch capability Apple provided to developers with iOS 14 does in fact block additional network traffic, certain DNS queries from Apple services can still be sent from outside the VPN connection. "

So, this complicates things a bit. It raises the question of whether the data leaking out of the VPN tunnel is from new connections to the outside world or whether it is left over from old connections that were initially made before the VPN tunnel was created. I don't know that anyone looking at router logs can tell.

It is not clear, to me at least, if they did some additional tests of their own, or whether they are referring to my testing. That they only refer to DNS makes me think they did their own testing.

Proton also said: "We've raised this issue with Apple multiple times. Unfortunately, its fixes have been problematic. Apple has stated that their traffic being VPN-exempt is 'expected' ... We call on Apple to make a fully secure online experience accessible to everyone, not just those who enroll in a proprietary remote device management framework designed for enterprises."

I hope to do another test, one that logs every domain access outside the VPN tunnel. Curious what that will show.

Jos on oma VPN pannu (itsellä pfSense) niin tuon Always On VPN voi konffata halutessa päälle (mobiili ja wifi) Apple Configuration työkalulla ja uittaa sitten Configuration Profile tiedoston laitteeseen. Tuo ominaisuus on vain IKEv2:ssa.
Se, että kuka haluaa käyttää tuollaista Always On VPN juttua

Spoileri

Always On VPN
Always On VPN gives your organisation full control over iOS and iPadOS traffic by tunnelling all IP traffic back to the organisation. The default tunnelling protocol, IKEv2, secures traffic transmission with data encryption. Your organisation can now monitor and filter traffic to and from devices, secure data within your network and restrict device access to the internet.

Always On VPN activation requires device supervision. After the Always On VPN profile is installed on a device, Always On VPN automatically activates with no user interaction, and it stays activated (including across reboots) until the Always On VPN profile is uninstalled.

With Always On VPN activated on the device, the VPN tunnel bring-up and teardown is tied to the interface IP state. When the interface gains IP network reachability, it attempts to establish a tunnel. When the interface IP state goes down, the tunnel is torn down.

Always On VPN also supports per-interface tunnels. For devices with mobile data connections, there’s one tunnel for each active IP interface (one tunnel for the mobile data interface and one tunnel for the Wi-Fiinterface). As long as the VPN tunnels are up, all IP traffic is tunnelled. Traffic includes all IP-routed traffic and all IP-scoped traffic (traffic from first-party apps such as FaceTime and Messages). If the tunnels aren’t up, all IP traffic is dropped.

All traffic tunnelled from a device reaches a VPN server. You can apply optional filtering and monitoring treatments before forwarding the traffic to its destination within your organisation’s network or to the internet. Similarly, traffic to the device is routed to your organisation’s VPN server, where filtering and monitoring processes may be applied before being forwarded to the device.

Spoileri

 

[escalibur]

Ilmeisesti Venäjällä oivallettiin miten voidaan kiertää kalasteluviestien tutkat käyttämällä Google Translatea.

Bypass phishing detections with Google Translate – Certitude Blog

 

[Obi-Lan]

Jos on oma VPN pannu (itsellä pfSense) niin tuon Always On VPN voi konffata halutessa päälle (mobiili ja wifi) Apple Configuration työkalulla ja uittaa sitten Configuration Profile tiedoston laitteeseen. Tuo ominaisuus on vain IKEv2:ssa.
Se, että kuka haluaa käyttää tuollaista Always On VPN juttua

Onnistuuko kuitenkaan? Tuossa tekstissä mainitaan, että "Always On VPN activation requires device supervision" minkä tulkitsisin tarkoittavan puhelinten MDM hallintaa mikä yleensä on vain valveutuneilla yrityksillä. Varmaan pääpointti tuossa, että yritykset voi keskitetysti pakottaa firman puhelimien liikenteen menemään keskitetyn palomuurin tmv läpi missä voidaan skannata kaikki puhelinten liikenne ja mahdollisesti ohjata resursseihin mitkä eivät ole julkiverkosta saavutettavissa.

Apple varmaan aika evvk privaatti vpn:ien suhteen.