Tietoturvauutiset ja blogipostaukset

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
2 574
Tulevasta iOS:n Lockdown Modesta on joku julkaissut testiä. WebGL ei ole tuettu, Javascript-suorituskyky notkahtaa selvästi ja selaimessa tietyt kuvaformaatit lakkaavat toimimasta, mutta lisää tietoturvaa haluavat ottavat tuon kyllä varmasti pysyvään käyttöön
Tuohan ei toimi pelkästään iOS ja iPadOS laitteissa. Tuki on myös macOS Venturassa. Laitoin virtuaaliin testiin.
1658465853290.png

1658465878966.png
 
Liittynyt
07.07.2019
Viestejä
1 027
Tosin saa olla muutenkin aika rohkea jos uskaltaa laittaa RDP:n auki suoraan nettiin päin. Tuostakin on ymmärtääkseni joitain aukkoja paikkailtu.
Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
4 197
Nää on näitä hyviä kysymyksiä. Kun asiaa miettii hetken niin sitten tuleekin siihen ikävän tulokseen, että ns. turvalliset protokollat taitaa olla kuitenkin aikalailla vähissä. Nopeasti ei tule mieleen kuin WireGuard (ja sekin voi olla väärää tietoa, koska tuota ei ole vielä koiteltu vuosikymmentä), muita vastaavia varmasti on olemassa, mutta parin minuutin tuumailulla ei tullut yhtään mieleen.

Saas muuten nähdä samalla onko tuossa RDP:ssä korjattu stale connection problem. Eli joskus käy niin, että soketit ja järjestelmän resurssit loppuu, kun auki on yhtäkkiä kymmeniätuhansia remote desktoppeja, eikä Windows osaa hanskata noita mitenkään järkevästi tai tehokkaasti. Todnäk eivät ole osanneet korjata tuota. Toisaalta mm. Tor kärsii ihan juuri vastaavanlaisista ongelmista tällä hetkellä, ei oo helppoa ratkaisua noihin haasteisiin.
No itse nyt lähinnä ajattelin, että ensin VPN:llä yhteys ja sitten sisäverkosta vasta RDP:llä kiinni. Tulee kuitenkin yksi turvakerros lisää. Toki jos haluaa näppärästi päästä ulkoverkosta etähallitsemaan koneita, niin TeamViewer on myös yksi kohtuu turvallinen vaihtoehto.
Mutta eiköhän niitä aukkoja löydy protokollasta kuin protokollasta. Toisista vain helpommin. Tietoturvakin on loppupeleissä sitä, että tehdään vaan hyökkääjälle hommasta niin vaikeaa että ei kannata edes yrittää.

Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.
 
Liittynyt
07.07.2019
Viestejä
1 027
Mutta yksi paha aukkohan (Mahdollisti RCE:n) tuossa RDP:ssä oli BlueKeep.
BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.

Btw. Mikko Hyppönen - 2022 - The Best Worst Thing @ YouTube
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
4 197
BlueKeep oli kyllä aika mehevä, mutta NLA suojasi siltäkin, tai siis unauthenticated osuudelta. Pitää myös muistaa, että ongelmat voi olla jo TCP / TLS tasolla, eli salauksessa tai verkkokirjastoissa. Siksi jo ensimmäinen paketti pitäisi olla autentikoitu, että paketteihin joiden autentikointi ei onnistu, ei reagoida.
NLA:sta tulikin mieleen tämä. Eli ennen sitä aikaa: The Online Ordering System
Tuo järjestelmä on todellakin odottanut vain korkkaamista.

Taitaa RDP:ssä olla nykyään suurin ongelma huonot salasanat ja tunnukset (RDP oikeuksin) joista ei välttämättä olla aina edes tietoisia.
 
Liittynyt
28.10.2016
Viestejä
2 200
Uuden Rustilla tehdyn haittaohjelman lähdekoodi on julkaistu. Siitä tekee erikoisen se, että kohteena on useat eri Chromium-pohjaiset selaimen joiden dataa kaapataan paikallisista tietokannoista. Chattisoftista Discord ja Telegram ovat tulilinjalla.
Taitaa olla myös ensimmäinen haittaohjelma joka yrittää lukea dataa salasanamanagerien selainlaajennuksista. Huonolla tuurilla ohjelma on voinut kaapata käyttäjän pääsalasanan, tai muita tunnuksia. Vaikka kyseessä on periaatteessa cross-platform -sovellus, tällä hetkellä kohteena ovat vain Windows-käyttäjät.

TLDR, eli kohdelistalla seuraavat datat:
- Selainten salasanat
- Tallennetut luottokorttitiedot
- Keksit/selaushistoria
- Kryptolompakot
- Salasanamanagerien selainlaajennusten tallentama data
- Chattisovellukset (Telegram, Discord)
- Steam, UPlay
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
2 082
Taitaa olla myös ensimmäinen haittaohjelma joka yrittää lukea dataa salasanamanagerien selainlaajennuksista.
Ainakin bitwardenin laajennoksella on kaikki lokaalisti kirjoitetut tiedostot kryptattuja. Toki sieltä saa esim. emailosoitteen ja bitwardenin asetukset selville.
 
Liittynyt
23.10.2016
Viestejä
1 736
Eikös Bitwardenissa ole mahdollista ettei tietokanta mene koskaan lukkoon (jos käyttäjä näin haluaa), jolloin pääsalasanan hash on tallennettu salaamattomana koneelle?
On mahdollista ettei mene lukkoon (kuten mulla on) mutta pääsalasanaa käytetään ainoastaan kun vault avataan. En ainakaan itse ole löytänyt salasanahashia koneelta vaikka vault on aina auki.

Ja tosiaan Bitwardenin FAQ:

Q: Is my Bitwarden master password stored locally?
A: No.

We do not keep the master password stored locally or in memory. Your encryption key (derived from the master password) is kept in memory only while the app is unlocked, which is required to decrypt data in your vault. When the vault is locked, this data is purged from memory.
 
Liittynyt
17.10.2016
Viestejä
2 082
Eikös Bitwardenissa ole mahdollista ettei tietokanta mene koskaan lukkoon (jos käyttäjä näin haluaa), jolloin pääsalasanan hash on tallennettu salaamattomana koneelle?
En tiedä. Bitwarden sanoo:
On your Local Machine
Data that is stored on your computer/device is encrypted and only decrypted when you unlock your Vault. Decrypted data is stored in memory only and is never written to persistent storage.
 
Liittynyt
28.10.2016
Viestejä
2 200
Liittynyt
20.10.2016
Viestejä
4 780
Ei mitenkään vaarallinen asia normaalille käyttäjälle, mutta jälleen mielenkiintoinen idea (oletettavasti toimiva sellainen) on käyttää SATA kaapelia anteenina, jolla voi lähettää jopa 120cm päähän dataa. Tämä on vaarallista kun on olemassa tarpeita, jolloin kone on ns. "air gapped", eli siinä ei ole mitään yhteyttä ulkoiseen maailmaan, koska data sen verta salaista. Vaatii tietenkin, että joku sisäpiiriläinen asentaa kyseiseen koneeseen softaa, joka hyödyntää tuota, mutta esim. teollisuus salaisuuksien maailmassa, tämäkin on otettava huomioon. Puhumattakaan armeijan systeemeistä, taikka kriittisistä järjestelmistä (energia, vesi, kaasu jne...).

 
Liittynyt
07.07.2019
Viestejä
1 027
Näitä nyt nousee vähän väliä uutisina, mutta asiahan on vanha kuin taivas ja jos kerran on tarkoitus tehdä turvallisia järjestelmiä, niin tässä ei ole kyllä mitään uutta. Näyttäisi että 1940 luvulla asia oli jo tapetilla.
Tosin tuohan oli selvästi siitä huono, että sen vastaanottamiseen tarvittiin erilainen vastaanotin, ainakin tämän artikkelin mukaan. Olisi kätevämpää jos se olisi vaikka saatu taajuusalueelle jossa se häiritsee jotain tiettyä wifi kanavaa ja voidaan sitten ottaa vastaan millä tahansa laitteella, koska tuon kanavan kohina / häiriö arvoja voidaan muokata lähettämällä häirötä kanavalle ja näin vastaanottaa signaali toisella hakkeroidulla laitteella, ilman että tarvitsee varta vasten viedä hardista.

Usein miten nämä paljastuu jonkinlaisina ongelmina normaalissa käytössä, kun joku aiheuttaa häiriötä johonkin tai ei toimi. Tosin silloin yleensä ei edes ajatella sitä toista puolta, että mitä sen häiriön mukana saattoi vuotaa.

Samaa asiaa sitten toistellaan aina uutena juttuna, mihin se sitten milloinkin liittyy. Jos järjestelmästä lähtee mitä tahansa signaalia, niin sitä voidaan väärinkäyttää signalointiin.
Konseptina anything over anything. Vasta kun signaalia ei lähde, on ongelma poistettu.

Lukemattomissa softissa joita olen tehnyt, on aivan varmasti timing attack reikiä ja vaikka kuinka. Niiden kitkeminen on todella haastavaa:

Sekä kaikki normaalit järjestelmät on ihan käsittämättömän täynnä side-channeleita, koska niitä ei ole koitettu kitkeä:

Joskus noita signaaleita voidaan toki käyttää myös viihteellisiin tarkoituksiin ja varsin hyvin muodostettuina:

Sekä legendaariset tapaukset joissa vaikka hella alkaa ottamaan AM lähetyksiä vastaan. Näitähän riittää.

Voi olla että tuokin on sellainen tieteenlaji joka on aika pitkälle kehittynyt, varsinkin jos käytettävissä on riittävästi osaamista ja rautaa. Jos käytettävissä on vaikka kymmeniä vimpan päälle tuunattuja state of art sigint satelliitteja ja sitten niiden datan ristiinprosessointiin ja filtteröintiin käytetään supertietokoneita.

Se on varmaan vähän samassa kategoriassa oleva ero, kuin että montako galaksia näet taivaalla? Versus montako JWST näkee niitä. Ja on mulla sitten se kaveri joka harrastelee taivaalle katselua ja omistaa hienon 5" teleskoopin takapihallaan ja sanoi että ei niitä kovin montaa näy.

Jossain keskustelussa joskus väläytin ideaa, että miksi 5G pelottaa. Ehkäpä (teknisesti miksipä ei?) 5G tukiasemat toimii tiedustelupalveluiden tutkina. Joku voisi lahjoittaa viimeisimät 5G vermeet CCC klubille analysoitavaksi.

Mainio pätkä vielä Black Hatista. Miten vaikeaa noista on päästä eroon, varsinkin jos pääsee tarkkailemaan edes jollain tasolla järjestelmän toimintaa.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
661
Tulipa tuosta mieleen Neuvostoliiton USA:n Moskovan suurlähetystöön lahjoittama seinäkoriste, joka toimi passiivisena salakuuntelulaitteena vuosina 1945-1952 suurlähettilään asunnossa.

Salakuuntelulaitetta ei löydetty helposti kun siinä ei ollut virtalähdetta, vaan se vaati ulkopuolisen radiosignaalin toimiakseen.

 

Kautium

IOdootti
Liittynyt
16.10.2016
Viestejä
16 272
Mielenkiintoinen podcast, jossa muutama vuosi sitten Nordean työntekijänä rahoja kavaltanut Sebastian Karikko kertoo elämästään, tekemisistään ja tulevasta tuomiostaan. Tähän ketjuun liittyen silti ehkä mielenkiintoisimpana pointtina tässä kohdassa jänniä pointteja Nordean tietoturvasta ennen ja jälkeen tapahtuneen:

 
Liittynyt
19.10.2016
Viestejä
661
Jos on VMwaren vekottimia käytössä niin kipin kapin pävittelemään.

VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden. Lisäksi päivityspaketti korjaa muita haavoittuvuusksia VMware Access Connectorista ja Identity Manager Connectorista. Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi verkon yli saada pääkäyttäjätason oikeudet ilman todentamista. VMwaren mukaan korjaavat päivitykset tulisi asentaa mahdollisimman pian.

 
Liittynyt
08.11.2016
Viestejä
1 051
Jos on VMwaren vekottimia käytössä niin kipin kapin pävittelemään.

VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden. Lisäksi päivityspaketti korjaa muita haavoittuvuusksia VMware Access Connectorista ja Identity Manager Connectorista. Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi verkon yli saada pääkäyttäjätason oikeudet ilman todentamista. VMwaren mukaan korjaavat päivitykset tulisi asentaa mahdollisimman pian.

Hitusen OT, mutta: Mitä noi on? Sen mitä nyt pikasesti luin tuon tiedotteen, niin itse Hyperviisori ESXi on edelleen OK?
 
Liittynyt
20.10.2016
Viestejä
4 780
Hitusen OT, mutta: Mitä noi on? Sen mitä nyt pikasesti luin tuon tiedotteen, niin itse Hyperviisori ESXi on edelleen OK?
Aikas selkeästihän se mielestäni tuolla sanotaan, missä tuotteissa haavoittuvuus on (erikseen voi käydä varmaan tutustumassa VMWaren sivuilla, mitä kukin on):
VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden.

Eli palvelinpuolen softiahan nuo taitavat olla, eli ei peruskäyttäjän tarvitse hirveenä murehtia.
Tottakai kannattaa asentaa päivitykset kaikkiin VMwaren tuotteisiin, joihin tarjolla, jos sattuu korjauksia sinnekin tarvitsemaan
 
Liittynyt
08.11.2016
Viestejä
1 051
Aikas selkeästihän se mielestäni tuolla sanotaan, missä tuotteissa haavoittuvuus on (erikseen voi käydä varmaan tutustumassa VMWaren sivuilla, mitä kukin on):
VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden.

Eli palvelinpuolen softiahan nuo taitavat olla, eli ei peruskäyttäjän tarvitse hirveenä murehtia.
Tottakai kannattaa asentaa päivitykset kaikkiin VMwaren tuotteisiin, joihin tarjolla, jos sattuu korjauksia sinnekin tarvitsemaan
Oonpa mä typerä kun odotin, että joku ois antanut lyhyen kuvauksen suomeksi, kun sitä pyysin.

Noh... Jos ei muuta, niin tiedän ainakin, että keneltä sitä ei ainakaan kannata odottaa...
 

leripe

Ehdotuksia otetaan vastaan
Liittynyt
19.10.2016
Viestejä
1 155
Oonpa mä typerä kun odotin, että joku ois antanut lyhyen kuvauksen suomeksi, kun sitä pyysin.

Noh... Jos ei muuta, niin tiedän ainakin, että keneltä sitä ei ainakaan kannata odottaa...
Ehkäpä tämä ketju ei ole tarkoitettu VMwaren tuotteiden tarkoituksien ja ominaisuuksien kertomisiin. Sopivan lyhyesti tuossa avattiin, että mihin noita käytetään ja jos tuotteita ei tunne, niin tuskin tarvitsee näitä haavoja miettiä sekuntia kauempaa.
 
Liittynyt
08.11.2016
Viestejä
1 051
Ehkäpä tämä ketju ei ole tarkoitettu VMwaren tuotteiden tarkoituksien ja ominaisuuksien kertomisiin. Sopivan lyhyesti tuossa avattiin, että mihin noita käytetään ja jos tuotteita ei tunne, niin tuskin tarvitsee näitä haavoja miettiä sekuntia kauempaa.
Joo se luetun ymmärtäminen on vaikeaa. OT loppu.
 
Liittynyt
20.10.2016
Viestejä
4 780
En oikein ymmärrä, miten voi mennä puoli vuotta, ennenkuin aletaan niille käyttäjille, joiden tiedot vuoti, ilmoittamaan asiasta...
Tässäkin taas hyvä muistutus, miten puhelinnumerot sun muut tiedot voi joutua jakoon ja sitten ihmetellään ku esim. huijarit soittelee.

Twitter has confirmed a recent data breach was caused by a now-patched zero-day vulnerability used to link email addresses and phone numbers to users' accounts, allowing a threat actor to compile a list of 5.4 million user account profiles.

allowed the threat actor to create profiles of 5.4 million Twitter users in December 2021, including a verified phone number or email address, and scraped public information, such as follower counts, screen name, login name, location, profile picture URL, and other information.

Today, Twitter has confirmed that the vulnerability used by the threat actor in December is the same one reported to and fixed by them in January 2022 as part of their HackerOne bug bounty program.,

As part of today's disclosure, Twitter told BleepingComputer that they have already begun to send out notifications this morning to alert impacted users about whether the data breach exposed their phone number or email address.
 
Liittynyt
07.07.2019
Viestejä
1 027
Tässäkin taas hyvä muistutus, miten puhelinnumerot sun muut tiedot voi joutua jakoon ja sitten ihmetellään ku esim. huijarit soittelee.
Sekä hyvä muistutus, miksi julkiset, puolijulkiset, sisäiset ja salaiset asiat pitäisi pitää täysin erillään. Sekä suorittaa tarvittaessa asianmukainen kontaktin autentikointi. Saahan huijarit soitella siihen julkiseen numeroon, mutta se menee vastaajaan josta sitten kerran viikossa poimitaan ne yhteydenottopyynnöt joilla on mahdollisesti muka jotain väliä. Sähköpostit, puhelimet ja muut identiteetit pitää olla aina kontekstin mukaisia ja tarvittaessa vahva autentikointi. -> Tekee hyökkäämisestä paljon vaikeampaa. - Twitter kuitenkin kuuluu selvästi sinne julkiset asiat kategoriaan, joten mitä salattavaa siinä sitten olisi?
 
Liittynyt
17.10.2016
Viestejä
2 082
Most Intel 10th, 11th and 12th generation processors are affected by a new vulnerability that the researchers have named ÆPIC Leak. The vulnerability is an architectural bug according to the researchers, which sets it apart from Spectre and Meltdown vulnerabilities that have haunted Intel and AMD in the past years.

AMD Zen 2 and 3 processors are affected by a security vulnerability that the researches named SQUID. It is a side channel attack that is targeting CPU schedulers.
Most home devices with affected processor models should be safe, as the attacks have certain requirements that make attacks on home systems unlikely.
 
Liittynyt
28.10.2016
Viestejä
2 200
Instagramin, Facebookin, TikTokin ym. mobiilisovellusten sisään rakennetut selaimet seuraavat käyttäjää melkoisella intensiteetillä:

What does Instagram do?
  • Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
  • This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
  • The Instagram app injects their tracking code into every website shown, including when clicking on ads, enabling them monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.
Vaikka artikkeli keskittyy iOS:ään, tilanne on käytännössä sama myös Androidissa (WebView). Yksinkertainen keino välttää seurantaa on avata linkit erillisessä selaimessa, joka on mahdollista suoraan ainakin iOS:ssä.
 
Liittynyt
09.11.2016
Viestejä
940
Yksinkertainen keino välttää seurantaa on avata linkit erillisessä selaimessa, joka on mahdollista suoraan ainakin iOS:ssä
Joku sanoi, ettei onnistu esim. Tiktokin kanssa, kun sen upotetusta selaimessa ei ole tuota toimintoa. Eli iOS:n kanssa ero on siinä että onko kyseessä upotettu SFSafariViewController vai WKWebView.
 
Liittynyt
28.10.2016
Viestejä
2 200
Joku sanoi, ettei onnistu esim. Tiktokin kanssa, kun sen upotetusta selaimessa ei ole tuota toimintoa. Eli iOS:n kanssa ero on siinä että onko kyseessä upotettu SFSafariViewController vai WKWebView.
Yksi vaihtoehto on käyttää noita palveluja suoraan mobiiliselaimella. Esim. Instagramin kohdalla tosin silloin hajoaa väriteema, eikä julkaisut näy lainkaan aikajärjestyksessä. Mainokset tosin katoavat. En yhtään ihmettele, vaikka olisivat tahallaan rampauttaneet webbipuolen toiminnallisuutta.
 
Liittynyt
20.10.2016
Viestejä
4 780
Koska mobiililaitteiden käyttöä vaan lisätään koko ajan, niin niiden tietoturvaa kannattaa miettiä. Tämä tapaus ei nyt suoraan meillä Suomessa vaikuta, mutta jos maksujärjestelmistä löytyy reikiä, niin mitään varmuuttahan ei ole jos tulevaisuudessa sellainen löytyy joka vaikuttaa laajemmin maksamisen turvaan, myös täällä Suomessa.

analyzed the payment system built into Xiaomi smartphones powered by MediaTek chips
vulnerabilities that could allow forging of payment and disabling the payment system directly, from an unprivileged Android application


Vika on korjattu, mutta en tarkemmin tiedä miten hyvin Xiaomi päivittelee laitteitaan...
 
Liittynyt
20.10.2016
Viestejä
4 780
Jos käytät Metan omia appeja älypuhelimessa (Instagram ja Facebook), niin ne "vakoilee" kaikkea mitä teet, myös ulkopuolisilla sivuilla, jos satut avaamaan linkin niiden sovelluksen sisällä (mikä tapahtuu useimmiten, koska sisäänrakennettu selain). Tämän lisäksi ne injektoi sivuille omat javaskriptit käyttäjältä kyselemättä.
Tämä tapahtuu ainakin Applen laitteissa, mutta oletettavasti myös Androidissa, koska eiköhän nuo perustu samaan koodiin.


The iOS Instagram and Facebook app render all third party links and ads within their app using a custom in-app browser. This causes various risks for the user, with the host app being able to track every single interaction with external websites, from all form inputs like passwords and addresses, to every single tap.
  • Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
  • This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
  • The Instagram app injects their JavaScript code into every website shown, including when clicking on ads. Even though pcm.js doesn’t do this, injecting custom scripts into third party websites allows them to monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.

Metan perustelut toiminnalle on mielenkiintoiset...
 
Liittynyt
28.10.2016
Viestejä
2 200
Jos käytät Metan omia appeja älypuhelimessa (Instagram ja Facebook), niin ne "vakoilee" kaikkea mitä teet, myös ulkopuolisilla sivuilla, jos satut avaamaan linkin niiden sovelluksen sisällä (mikä tapahtuu useimmiten, koska sisäänrakennettu selain). Tämän lisäksi ne injektoi sivuille omat javaskriptit käyttäjältä kyselemättä.
Tämä tapahtuu ainakin Applen laitteissa, mutta oletettavasti myös Androidissa, koska eiköhän nuo perustu samaan koodiin.


The iOS Instagram and Facebook app render all third party links and ads within their app using a custom in-app browser. This causes various risks for the user, with the host app being able to track every single interaction with external websites, from all form inputs like passwords and addresses, to every single tap.
  • Links to external websites are rendered inside the Instagram app, instead of using the built-in Safari.
  • This allows Instagram to monitor everything happening on external websites, without the consent from the user, nor the website provider.
  • The Instagram app injects their JavaScript code into every website shown, including when clicking on ads. Even though pcm.js doesn’t do this, injecting custom scripts into third party websites allows them to monitor all user interactions, like every button & link tapped, text selections, screenshots, as well as any form inputs, like passwords, addresses and credit card numbers.

Metan perustelut toiminnalle on mielenkiintoiset...
Pari viestiä ylempänä.. Tietoturvauutiset ja blogipostaukset :) Mutta hyvällä asialla. Android on samassa veneessä, kyllä.
 
Liittynyt
20.10.2016
Viestejä
4 780
Pari viestiä ylempänä.. Tietoturvauutiset ja blogipostaukset :) Mutta hyvällä asialla. Android on samassa veneessä, kyllä.
Ai katos, pikaseen hain vaan sanalla "Meta", niin ei näkyny parin päivän sisään mitään :D
Noh, kertaus on opintojen äiti...

Periaatteessa sama ongelma on varmasti lähes kaikissa appseissa, jotka sisältää oman sisäänrakennetun selaimen, tämän takia en ole hirveän innokas käyttämään/suosittelemaan minkään palvelun/sivuston omaa sovellusta, jota voi käyttää suoraan web selaimesta. Asiaa tietenkin puolustellaan helppokäyttöisyydellä ja jotkut "pakottaa" käyttämään, jos haluaa jotain erikoisominaisuuksia, joita ei tahallaan laiteta sinne web puolelle.
 

leripe

Ehdotuksia otetaan vastaan
Liittynyt
19.10.2016
Viestejä
1 155
Onhan se kiva noista tietää mitä ne kerää, mutta käytännössä junat menneet jo noilta osin massan ja normaalien käyttäjien osalta, joten noiden tietojen keräämisien välttely on enää marginaali porukan (foliohattu) hommaa. Valitettavasti.
Lainsäädännöllä voisi saada kuriin, mutts facebook, google jne tienaa sen verran massia et on yksi kärpäsen paska lobata miljoonilla asioita.
 
Liittynyt
28.10.2016
Viestejä
2 200
Zoomin installeri on pyytäny macOS-asennuksessa pääkäyttäjän salasanaa, ja asentanut taustalle root-oikeuksilla pyörivän päivityssoftan, jolla on voinut periaatteessa asentaa mitä tahansa Zoomin signeeraamaa sovellusta. IMO, kiinasoftaa asentaessa täytyy olla aina tarkkana, tai käyttää mahdollisuuksien mukaan selainpohjaista versiota.

When Zoom issued an update, the updater function would install the new package after checking that it had been cryptographically signed by Zoom. But a bug in how the checking method was implemented meant that giving the updater any file with the same name as Zoom’s signing certificate would be enough to pass the test — so an attacker could substitute any kind of malware program and have it be run by the updater with elevated privilege.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
2 574
Yli 9 000 VNC-palvelinta verkossa ilman salasanaa. Iso osa Ruotsissa jostain syystä :hmm:
 
Liittynyt
19.10.2016
Viestejä
661
Twilion tietomurron kautta hyökkääjät ovat päässeet käsiksi pieneen joukkoon Signalin käyttäjiä (1900kpl). Hyökkääjät ovat mahdollisesti voineet yrittää rekisteröidä käyttäjien tilit toiseen puhelinnumeroon sekä saaneet tiedon ketkä ovat Signalin käyttäjiä.

Käyttäjien muut tiedot, viestit, kontaktit, ym. ovat turvassa, koska Signal ei tallenna niitä palvelimilleen.

 
Liittynyt
20.10.2016
Viestejä
4 780
Mielenkiintoinen asia noussut isompaan tietoisuuteen, eli oletettavasti Applen vehkeissä VPN yhteydet vuotanut ku seula jo parin vuoden ajan ja mikä parasta, Apple tiennyt tän asian jo vuodesta 2020. Tästä saattaa nousta kunnon kohu vielä, jos faktat pitää paikkansa...

Täällä on pitkät selostukset asiasta, jos kiinnostaa tarkemmin.

VPNs on iOS are broken. At first, they appear to work fine. The iOS device gets a new public IP address and new DNS servers. Data is sent to the VPN server. But, over time, a detailed inspection of data leaving the iOS device shows that the VPN tunnel leaks. Data leaves the iOS device outside of the VPN tunnel. This is not a classic/legacy DNS leak, it is a data leak. I confirmed this using multiple types of VPN and software from multiple VPN providers. The latest version of iOS that I tested with is 15.6. This data leak was first publicized by ProtonVPN in March 2020 and iOS v13.
 
Liittynyt
28.10.2016
Viestejä
2 200
Jatkoa aiempaan, eli in-app-browser -keissiin. Nyt eri softia voi testata itsekin avaamalla osoitteen inAppBrowser.com applikaatiosta.

Esimerkiksi TikTok tekee artikkelin mukaan seuraavaa:
When you open any link on the TikTok iOS app, it’s opened inside their in-app browser. While you are interacting with the website, TikTok subscribes to all keyboard inputs (including passwords, credit card information, etc.) and every tap on the screen, like which buttons and links you click.
 
Liittynyt
17.10.2016
Viestejä
2 113
Jatkoa aiempaan, eli in-app-browser -keissiin. Nyt eri softia voi testata itsekin avaamalla osoitteen inAppBrowser.com applikaatiosta.

Esimerkiksi TikTok tekee artikkelin mukaan seuraavaa:
Voi-sähköpotkulautasovelluksessa maksukortin varmennus (pankkitunnuksilla) piti tehdä sovelluksen sisällä tuohon tyyliin. Toki se vaatii ulkopuolisen varmennuksen pankin sovelluksella tai laitteella, mutta mielestäni silti kyseenalaista.
 
Liittynyt
20.10.2016
Viestejä
4 780
Päivitelkääs Chrome selaimet (ja muut jotka käyttää kyseistä engineä), sillä on löydetty vakavia 0day haavoittuvuuksia... (tänään näytti ainakin Edgeen tulleen päivitys)
Google on Tuesday rolled out patches for Chrome browser for desktops to contain an actively exploited high-severity zero-day flaw in the wild.
Users are recommended to update to version 104.0.5112.101 for macOS and Linux and 104.0.5112.102/101 for Windows to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
 
Liittynyt
17.10.2016
Viestejä
3 243
Päivitelkääs Chrome selaimet (ja muut jotka käyttää kyseistä engineä), sillä on löydetty vakavia 0day haavoittuvuuksia... (tänään näytti ainakin Edgeen tulleen päivitys)
Google on Tuesday rolled out patches for Chrome browser for desktops to contain an actively exploited high-severity zero-day flaw in the wild.
Users are recommended to update to version 104.0.5112.101 for macOS and Linux and 104.0.5112.102/101 for Windows to mitigate potential threats. Users of Chromium-based browsers such as Microsoft Edge, Brave, Opera, and Vivaldi are also advised to apply the fixes as and when they become available.
Ehkä olisi parempi lopettaa kokonaan Chromen / siihen pohjautuvien selainten käyttö, tuntuu että joka viikko tulee uusi 0day ilmi. Ainakin lähiaikoina tuntuu että Chome on koko ajan uutisissa noiden 0day-aukkojen takia.
 
Liittynyt
17.10.2016
Viestejä
3 099
Ehkä olisi parempi lopettaa kokonaan Chromen / siihen pohjautuvien selainten käyttö, tuntuu että joka viikko tulee uusi 0day ilmi. Ainakin lähiaikoina tuntuu että Chome on koko ajan uutisissa noiden 0day-aukkojen takia.
Nykypäivänä vaan ei taida kauhean paljon olla selainmarkkinoilla valinnan varaa.
 
Liittynyt
17.10.2016
Viestejä
3 243
Eipä sekään välttämättä ole yhtään sen turvallisempi. Security Advisories for Firefox
No ei paljoa turvallisempi mutta eipä sentään ole kriittisiä haavoja joka viikko kuten nyt lähiaikoina on chromessa tuntunut olevan.

Toki nettisurffailussa kyllä pitäisi muutenkin pitää järki päässä eikä klikkailla jokaista linkkiä mitä vastaan tulee. Ja toisaalta ongelma alkaa olemaan jo nettisivuissa itsessäänkin kun joka sivulla on megatavuittain kaiken maailman javascriptejä sun muuta, epämääräisistä mainoksista puhumattakaan. Toisaalta, nykyään tulee jo ihmeteltyä miten jotkut enää voivat netissä surffailla esim ilman adblockeria, sen verran paljon alkaa (ärsyttäviä ja häiritseviä) mainoksia olemaan.
 
Toggle Sidebar

Statistiikka

Viestiketjut
178 759
Viestejä
3 291 005
Jäsenet
59 181
Uusin jäsen
Raul98

Hinta.fi

Ylös Bottom