Zanim przejdziemy do ważnej informacji nt. AdGuard, należy przedstawić czym jest Manifest V3 i dlaczego budzi wieloletnie kontrowersje. Manifest V3 jest nowym interfejsem API Chrome Extensions zaproponowanym przez Google w 2018 roku. Wiele portali jak i społeczność cyfrowa od początku krytykowała rozwiązanie jednak gigant technologiczny pozostaje niewzruszony do dzisiaj. Od…
Czytaj dalej »
![Klik w niewinnego linka i masz przejęte konto na TikToku [podatność w appce na Androida]](https://sekurak.pl/wp-content/uploads/2022/09/f4-150x150.png "Klik w niewinnego linka i masz przejęte konto na TikToku [podatność w appce na Androida]")
Aktualizujecie na bieżąco appki mobilne, prawda? Wtedy ta wykryta przez Microsoft podatność już Was nie dotyczy. W czym problem? Otóż appka TikToka korzysta z WebView – co nie jest niczym niestandardowym ani niebezpiecznym. Jak tłumaczy Microsoft: WebView umożliwia appkom ładowanie i wyświetlanie stron internetowych, a przy użyciu wywołania interfejsu API…
Czytaj dalej »
Kwoty w dolarach australijskich, ale w przeliczeniu na złote tytułowa kwota po aktualnym kursie wynosi 34 823 138 zł. Jak doszło do pomyłki? Tym razem nie w wyniku hacku czy jakiegoś dziwnego błędu systemowego. Ktoś, kto autoryzował zwrot, pomylił pola w aplikacji i tam gdzie powinna być kwota wpisał… numer…
Czytaj dalej »
Opis całej operacji policji możecie znaleźć tutaj (ciekawe jaką rolę pełni(ł) oznaczony przez nas strzałką rekwizyt): W samym biurze – jak to w mini korpo – rozwieszone były motywujące hasła :-) „nie czekaj na okazję – stwórz ją”: OK, ale co robiła ekipa? Mowa jest najpewniej o spoofingu GSM, czyli…
Czytaj dalej »
Od jakiegoś czasu prawnicy otrzymują „propozycję nie do odrzucenia”: zapłać 200zł, albo będziesz mieć negatywne opinie w Google. Jak widać proceder cały czas ma miejsce – jeden z czytelników podzielił się z nami takim, aktualnym e-mailem: OK, jak wyglądają anonsowane fałszywe opinie? Np. tak: Czy można temu jakoś zaradzić? Google…
Czytaj dalej »
Ostatnio aktualizacje najpopularniejszej przeglądarki obfitują w łatki poważnych podatności. Nie inaczej jest tym razem, gdzie mamy krytyczną lukę (Google dość rzadko używa aż tak wysokiego oznaczenia): Critical CVE-2022-3038: Use after free in Network Service. Poza tym mamy też fixy na 8 błędów klasy High, w sumie załatano aż 24 podatności. Łatajcie…
Czytaj dalej »
Na razie nie wiele wiemy, poza tym że wyniku ataku nie działają serwisy rządowe – w tym główny gov[.]me, który jeszcze niedawno wyglądał tak: Pojawiające się powoli informacje nie są zbyt optymistyczne: Szef państwowej służby bezpieczeństwa IT Dusan Polovic powiedział, że władze nie są w stanie aktywować niektórych usług online,…
Czytaj dalej »
Ebook jest już gotowy i czeka jeszcze dosłownie parę dni na publikację. Przyda się dzieciom… (kategoria 10+) ale też dorosłym :-) Cała publikacja nie stawia na bajkowe opowieści… o niczym, ale raczej na twardą, ale w prostej formie, podaną wiedzę: Przykładowa treść: Dobra, dobra ale jak otrzymać ebooka? Będziemy go…
Czytaj dalej »
O dość nietypowym oszustwie donosi puławska Policja: Najpierw kobiety za pośrednictwem oficjalnej strony grupy górniczej zamówiły po 5 ton węgla. Zamówień dokonały na przełomie lipca i sierpnia bieżącego roku tj. wówczas gdy na jedno gospodarstwo domowe przypadał limit 5 ton tego surowca. Za pośrednictwem internetu dokonały opłaty, otrzymując potwierdzenie, numer…
Czytaj dalej »
Do tej pory dostępna była zamknięta beta, teraz otwarta beta dla wszystkich. Najciekawsze funkcje to: Możliwość założenia dowolnego „konta” emailowego w domenie @duck.com, które następnie przekierowuje wiadomości na nasze standardowe konto Możliwość generowania w locie losowych / jednorazowych adresów w domenie @duck.com – realizowane jest to w prosty sposób z…
Czytaj dalej »
Guardian donosi o nietypowym eksperymencie. System opracowany przez Google i Capgemini, może identyfikować baseny na zdjęciach lotniczych i porównywać je z bazami danych ewidencji gruntów. Rozpoczęty rok temu jako eksperyment w dziewięciu francuskich departamentach, odkrył 20 356 basenów, poinformował w poniedziałek urząd skarbowy. Projekt zostanie rozszerzony na cały kraj. The…
Czytaj dalej »
TL;DR – Strona bardzo dokładnie imitująca giełdę kryptowalut, bez typowych pomyłek gramatycznych i niezrozumiałych zdań. Większość funkcji działa prawidłowo. Dosyć łatwo można się nabrać gdyby nie metoda rozsiewu za pomocą wiadomości w social-mediach. Rozpoznanie phishingu na scamowej stronie z reguły nie jest trudne dla osoby technicznej. Często występują błędy gramatyczne,…
Czytaj dalej »
Szczegóły zostały opublikowane niedawno, chociaż podatność została załatana już jakiś czas temu. Jako PoC wystarczyłby w zasadzie ten listing: root@debian:~# dpkg -c /var/cache/apt/archives/nordvpn_3.10.0-1_amd64.debdrwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/drwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/lib/drwxr-xr-x 0/0 0 2021-05-31 11:45 ./var/lib/nordvpn/-rw-rw-rw- 0/0 4973 2021-04-07 10:15 ./var/lib/nordvpn/icon.svgdrwxr-xr-x 0/0 0 2021-05-31 11:45 ./etc/drwxr-xr-x 0/0 0…
Czytaj dalej »
LastPass informuje o włamaniu do swojej infrastruktury IT. Wg relacji przejęte zostało konto jednego developera (może to ta kampania?) i zostały przejęte kody źródłowe: We have determined that an unauthorized party gained access to portions of the LastPass development environment through a single compromised developer account and took portions of…
Czytaj dalej »
O ataku na Twilio oraz użytkowników Signal pisaliśmy ostatnio tutaj. Sprawa ma swój dalszy ciąg, jak się okazuje – wątek jest bardzo bogaty i rozwojowy. Z przedstawionego raportu badaczy z Group-IB wynika, że za szereg niedawnych ataków, w tym te na Twilio, MailChimp i Klaviyo może stać jedna grupa hakerska…
Czytaj dalej »
