Tag: iOS

Broadpwn - bezprzewodowe przejmowanie telefonów - jest prosty/testowy exploit

14 lipca 2017, 12:56 | W biegu | 0 komentarzy

Ostatnio pisaliśmy o podatności Broadpwn zaznaczając też sceptyczny głos ("realnie pewnie nie zadziała..."). A tymczasem ów sceptyczny badacz - Zhuowei Zhang - przedstawił drugą część swojego badania, gdzie pokazuje testowy exploit, rebootujący telefon (+ kernel crash) po podłączeniu się do odpowiednio spreparowanej sieci WiFi. W skrócie: If you're near a malicious Wi-Fi network,...

Czytaj dalej »

Broadpwn - zdalne wykonanie kodu w Androidzie bez interakcji użytkownika

07 lipca 2017, 12:04 | W biegu | komentarzy 10

Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora...

Czytaj dalej »

Bezpłatna książka "OWASP Mobile Security Testing Guide" dostępna w PDF/EPUB/MOBI

05 lipca 2017, 19:15 | W biegu | komentarze 4

Standardowy projekt OWASP-u "Testing guide" jak można się domyślić dotyczy testowania bezpieczeństwa aplikacji webowych. Od jakiegoś czasu OWASP zajmuje się też nieco pobocznymi obszarami jak: bezpieczeństwo aplikacji mobilnych czy IoT. Tym razem dostępną mamy w wersji beta, książkę "Mobile Security Testing Guide", która pokazuje jak przetestować pod względem bezpieczeństwa aplikacje przygotowane...

Czytaj dalej »

Testowanie aplikacji mobilnych - OWASP publikuje kilka dokumentów o bezpieczeństwie

28 stycznia 2017, 10:56 | W biegu | 0 komentarzy

W ramach dokumentacji OWASP mamy dostępnych kilka dokumentów które w tym roku mają uzyskać wersję 1.0. Jest to przede wszystkim OWASP Mobile ASVS (Mobile Appsec Verification Standard). Podobnie jak w przypadku klasycznego ASVS, mamy tu do czynienia z rozbudowanymi checklistami dotyczącymi rozmaitych sprawdzeń bezpieczeństwa: Jeszcze chyba ciekawszym dokumentem jest OWASP Mobile...

Czytaj dalej »

Szykuje się krwawa jatka dla właścicieli iPhone-ów? Przejęcie systemu przez WiFi

25 stycznia 2017, 20:27 | W biegu | komentarze 3

Na konferencji BlackHat Asia będzie można niebawem zobaczyć prezentację: Remotely compromising iOS via Wi-Fi and escaping the sandbox. Scenariusz można zobaczyć w opisie prelekcji: In this talk, we discuss how to exploit an iOS device remotely via Wi-Fi without any user interaction, completely bypassing the iOS sandbox. We will disclose a...

Czytaj dalej »

Tęcza zagłady - tymi emoji można całkowicie zawiesić czyjegoś iPhone

19 stycznia 2017, 17:05 | W biegu | 0 komentarzy

Hackernews opisuje kilka różnych sposobów, w zależności od wersji iOS. Najprostszą opcją jest wysłanie odpowiedniej wiadomości do ofiary za pomocą iMessage (to taki domyślnie włączony, applowy sposób wysyłania wiadomości a la SMS). Wystarczą 3 znaki... Są też inne metody, a całość w zależności od wariantu prowadzi do całkowitego zawieszenia iPhone (nie działa nawet przycisk...

Czytaj dalej »

Ominęli activation lock w iPadach - z wykorzystaniem... oryginalnej etui Apple

04 grudnia 2016, 14:39 | W biegu | komentarzy 5

Activation lock to funkcja w urządzeniach Apple, uniemożliwiająca aktywację na innym koncie niż oryginalne. Jeśli więc zgubię iPhone czy iPada - nikt nie jest w stanie go zresetować i ustawić swojego, nowego konta. Przynajmniej w teorii... W praktyce, pokazano właśnie metodę na odblokowanie iPada korzystającego z najnowszego systemu iOS (10.1.1)....

Czytaj dalej »

$215 000 dla Chińczyków - zhackowali Nexusa 6P / poległ iPhone z najnowszym iOS

27 października 2016, 20:05 | W biegu | komentarze 2

Załoga, która pokazała ostatnio hack na Teslę (Tencent Keen Security Lab), najwyraźniej się rozkręca. Tym razem w organizowanym przez Trend Micro pwn2own mobile zgarnęli aż $215 000: Instalacja lewej aplikacji na Nexusie 6P - $102 500 Instalacja lewej aplikacji na iPhone 6S - $60 000 (aplikacji nie udało się tylko przeżyć restartu)...

Czytaj dalej »

Masakra w świecie Apple - wykonanie kodu na iPhone oraz OS X - wystarczy wysłać jeden obrazek...

20 lipca 2016, 16:15 | W biegu | komentarze 2

Pamiętacie androidowy Stegefright? (wystarczyło wysłać do ofiary MMS-a aby przejąć jej telefon). Podobna podatność pojawiła się właśnie w iPhone oraz innych systemach od Apple. Wczorajszy Forbes opisuje ją jako "podatność, dzięki której jednym SMSem można ukraść hasła z iPhone". Podatność CVE-2016-4631 czai się w API: ImageIO, które jest w każdym systemie operacyjnym Apple...

Czytaj dalej »