Android a iOS
Tentokrát se zaměřím na chytré telefony, konkrétně na ty s Androidem a iOS v měsíčním souhrnu.
Starší zprávy:
7. 9. 2015 V seriálu Postřehy z bezpečnosti: prostředníci instalují malware na Android. Jedná se konkrétně o značky Xiaomi, Huawei, Lenovo, Alps, ConCorde, DJC, Sesonn a Xido. Například Lenovo je tímto hodně znémé.
14. 9. 2015 Postřehy z bezpečnosti: V řadě aplikací a her přímo v Google Play byl nalezen malware.
16. 9. 2015 Chyba v Androidu 5 (5.1.1 a vyšší), která umožnuje útočníkovi jednoduše obejít ochranu heslem, více na net-security.org, nakedsecurity.sophos.com a securityaffairs.co.
21. 9. 2015 Postřehy z bezpečnosti: Nový Apple iOS v9.0 opravuje kritickou chybu služby AirDrop (net-security.org)
21. 9. 2015 Chyba v iOS 9.0 umožnuje přístup ke kontaktům a fotkám z uzamknuté obrazovky, návod je popsán tu thehackernews.com a tu itsecurityguru.org, další informance na nakedsecurity.sophos.com.
25. 9. 2015 Oprava výše popsane chyby se v nové verzi 9.0.1 nepovedla. Článek na thehackernews.com a nakedsecurity.sophos.com.
28. 9. 2015 Postřehy z bezpečnosti: Shrnutí malwaru v AppStore, chyba umožnující přístup ke kontaktům a fotkám z uzamknuté obrazovky a malware v aplikaci BrainTest v Google play. (net-security.org)
30. 9. 2015 v iOS aplikaci Photos in Wi-Fi v1.0.1 byla nelezena chyba, ktrerá útočníkovi dovolí nahrát škodlivý kód do zařízení a převzít nad ním kontrolu. Více na itsecurityguru.org
1. 10. 2015 Chyba a uzamknutou obrazovkou byla konečně opravena v nové verzi iOS 9.0.2! 😀 Nezapomeňte aktualizovat, článek na thehackernews.com a nakedsecurity.sophos.com.
Aktuální zprávy:
1. 10. 2015 Stagefright chyba 2.0 ohrožuje víc jak miliardu Android zařízení. O chybě na thehackernews.com, itsecurityguru.org, net-security.org a v seriálu Postřehy z bezpečnosti na root.cz:
Více než jedna miliarda Android zařízení je napadnutelná dvěma novými chybami nazvanými Stagefright 2.0. Ve verzi 1.0 stačilo poslat SMS, ale ve verzi 2.0 uživateli pošlete odkaz na web a od uživatele očekáváte jen, aby na něj kliknul. Na daném webu se již skrývá pozměněný MP3, či MP4 soubor, který je schopen zneužít dvě chyby označené jako CVE-2015–6602 a CVE-2015–3876. Obě chyby se týkají Android Media Playback Engine, který se právě nazývá Stagefright, a existují v Androidu od verze 1. Oprava bude dopravena na Nexus zařízení 5.10. Vzhledem k tomu jak to vypadá s šířením aktualizací Androidu na jiné platformy, tak bude možná lepší si do té doby zakázat datový tarif a WiFi. Podle odborníků je daná knihovna napsaná velmi špatně, takže se možná dočkáme i verze Stagefright 3.0.
Jestli se chcete presvědčit jestli váš droit trpí touto chybou nainstalujte si z Google play Stagefright Detector. Červeně zvýrazněné CVE jsou na vašem androidu ještě stále neopravené.
5. 10. 2015 Stagefright 2.0 chyba byla opravena v Nexus zařízeních, více na thehackernews.com, nakedsecurity.sophos.com, securityweek.com a net-security.org. Zkontrolujte si opravu chyby nástrojem Stagefright Detector.
5. 10. 2015 Nový malware YiSpecter na iOS. Útočí jak na jailbrokenuté, tak na nejailbrokenuté zařízení. Podívejte se do nainstalovaných aplikací jestli v nich nemáte 情涩播放器, 快播私密版 nebo 快播0. Celý návod na odstranění a další informace na thehackernews.com a nátroj na odstranění net-security.org.
7. 10. 2015 Britská zpravodajská služba se umí napíchnout na kterýkoliv chytrý telefon pomocí jedné SMS zprávy řekl BBC Edward Snowden. Více na thehackernews.com a itsecurityguru.org.
8. 10. 2015 Kemoge: Nejnovější malware na Android, který umí rootnout chytrý telefon. Pokud stahujete aplikace z jinama než Google play a oficiálních stránek výrobců, tak se mějte napozoru. Další informace na thehackernews.com a securityaffairs.co.
9. 10. 2015 Na Google play se dostaly falešné aplikace, které obtěžují reklamou každých 30 až 40 minut, více na net-security.org
Z dneška 9. 10. 2015 Pro ty z vás, kdo máte web s WordPressem: byl zaznamenán útok na tisíce blogů s WordPressem. Pomocí vestavěné funkce XML-RPC můžou útočníci vyzkoušet tisíce hesel pomocí 3 až 4 http žádostí. řešením je buď smazat xmlrpc.php nebo blokovat XML-RPC system.multicall dotazy. Více na thehackernews.com a securityweek.com.
Diskuze na Forum.Akihabra.cz