Tag: android

Groźna podatność w Outlooku na Androida – możliwy dostęp do wiadomości ofiary poprzez spreparowany e-mail

25 czerwca 2019, 12:25 | W biegu | 0 komentarzy

Mobilny klient poczty od Microsoft posiadał lukę (CVE-2019-1105, bardzo skromny opis na stronie firmy) umożliwiającą zdalne wykonanie kodu na Androidzie. Sprawa zaczęła się, kiedy Bryan Appleby z F5 Networks otrzymał od znajomego bezpieczny kod JavaScript w wiadomości. Ekspert zauważył, że e-mail został dziwnie sformatowany. Wyglądał następująco:   Natomiast po otwarciu…

Czytaj dalej »

Tor Browser na Androida dostępny w Google Play

23 maja 2019, 21:54 | W biegu | 0 komentarzy

Wcześniej nieoficjalnie były dostępne wersje testowe, teraz oficjalnie dostępna jest wersja stabilna: Tor Browser 8.5 is the first stable release for Android. Since we released the first alpha version in September, we’ve been hard at work making sure we can provide the protections users are already enjoying on desktop to the…

Czytaj dalej »

Przez zainfekowany zestaw SDK do Google Play trafiły niebezpieczne aplikacje

20 marca 2019, 15:10 | W biegu | komentarze 4

Analitycy Check Point informują na swoim blogu, że do oficjalnego sklepu Google Play zostało dodane 206 złośliwych gier, które zostały pobrane 147 milionów razy. Biorąc pod uwagę ilość innych aplikacji na Androida, ta liczba nie robi wielkiego wrażenia. Niestety oznacza to również, że automatyczna weryfikacja dodawanych aplikacji przez Google nie…

Czytaj dalej »

Przechowywanie klucza API w aplikacji mobilnej to nie jest najlepszy pomysł…

15 marca 2019, 12:07 | W biegu | komentarzy 5

Przekonali się o tym deweloperzy jednej z kontrowersyjnych appek o dość nietypowym zadaniu – wskazywanie amerykańskich restauracji, gdzie bezpiecznie jest nosić czapkę z logo ‚Make America Great Again’. Ale zostawmy politykę na boku. Appka napisana w React Native, zaszyty w niej klucz do API oraz adresy URI backendu: Oczywiście można było…

Czytaj dalej »

iPhone: trzy aktywnie wykorzystywane podatności 0-days. Apple łata…

08 lutego 2019, 09:44 | W biegu | 0 komentarzy

Niedawno gruchnęła informacja o możliwości prostego podsłuchu iPhonów. Media ekscytują się głównie tym faktem, ale przy okazji najnowszego patcha na iOS (12.1.4) załatano również inne podatności 0-days, które były aktywnie wykorzystywane: Three out of the four vulnerabilities in the latest iOS advisory were exploited in the wild, yikes. Jak widać w świecie mobilnym…

Czytaj dalej »

Ekstremalnie popularny manager plików na Androida – będąc w tej samej sieci WiFi można pobierać pliki z telefonu ofiary. Jest exploit

18 stycznia 2019, 11:26 | W biegu | komentarze 2

Chodzi o managera plików ES File Explorer, który w opisie chwali się tak: Free, Safe, Simple (…) With over 500 million users worldwide Tymczasem „tajemniczy badacz bezpieczeństwa ;) ” zlokalizował podatność umożliwiającą na zdalne pobieranie / listowanie plików na telefonie ofiary. Można to zrobić, będąc w tej samej sieci WiFi (czy…

Czytaj dalej »

W Androidzie bez zmian – co miesiąc paczka krytycznych podatności…

17 grudnia 2018, 18:58 | W biegu | komentarzy 6

Zobaczcie na grudniową paczkę łat w Androidzie. Mamy tutaj 5 podatności RCE (remote code execution) oznaczonych jako Critical. W tym kolejne podatności w submodule Media framework. Najczęściej oznacza to możliwość wykonania kodu w systemie operacyjnym poprzez otworzenie odpowiednio spreparowanego pliku multimedialnego. Martwi też ta podatność w obsłudze Bluetooth. Z jednej strony mamy informację:…

Czytaj dalej »

Jak testować bezpieczeństwo aplikacji mobilnych? Potężny poradnik od OWASP (iOS + Android)

03 grudnia 2018, 19:46 | W biegu | 1 komentarz

Mowa o projekcie: Mobile Security Testing Guide (MSTG). Właśnie wydano jego wersję 1.1 (dostępna wersja pdf + na czytniki mobilne). Znajdziemy tutaj m.in. takie elementy jak: składowanie danych na urządzeniach, rozmaite problemy kryptograficzne, testowanie uwierzytelnienia, reverse engineering aplikacji, narzędzia. Wszystko dla platform: Android oraz iOS. Całość to około 450 stron. Miłego…

Czytaj dalej »

Chcecie zobaczyć w jakich ilościach trackują Was appki na Androidzie, spróbujcie Exodus Privacy

19 listopada 2018, 16:14 | W biegu | komentarze 3

Aplikacja nie wymaga roota i pokazuje nam zarówno uprawnienia jakich wymagają zainstalowane aplikacje ale również liczbę elementów trackujących: W jaki sposób można to zrealizować na niezrootowanym urządzeniu? Aplikacje analizowane są po stronie serwerowej (w infrastrukturze Exodusa), a na telefonie mamy matchowanie zainstalowanych aplikacji z główną bazą. Jeśli znacie podobne projekty –…

Czytaj dalej »

Google wreszcie wymusza na producentach telefonów regularne udostępnianie łat bezpieczeństwa

25 października 2018, 12:42 | W biegu | komentarze 4

Łatanie systemów to pięta achillesowa środowiska androidowego. Sam Google bezpieczeństwo traktuje poważnie – choć by wypuszczając regularnie co miesiąc kolejną paczkę łat. Co ciekawe z krytycznych podatności, które pozwalają na wykonanie dowolnego kodu na telefonie (będąc w pobliżu lub przesyłając do ofiary odpowiedni plik multimedialny) – nikt już nie robi…

Czytaj dalej »

Facebook miał dostęp do logów rozmów telefonicznych niektórych użytkowników

25 marca 2018, 10:04 | W biegu | komentarze 4

Facebook umożliwia przygotowanie pliku, w którym znajdziecie wszystkie (miejmy nadzieję) dane, które zebrał on o nas. Tego typu plik przygotował dla swojego profilu Dylan McKay i znalazł tam m.in logi rozmów telefonicznych (kto do kogo dzwonił, czas trwania rozmowy, status rozmowy): Podobnie zresztą było z SMS-ami – a Dylan od razu pisze,…

Czytaj dalej »