Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…
Czytaj dalej »
Świeża analiza w tym miejscu. Po zautomatyzowanej analizie firmware urządzenia Cisco SG250 Smart Switch badaczy frapowało pytanie “kim jest tajemniczy gary.wu1(at)huawei.com ?” widoczny na jednym z certyfikatów (warto zauważyć, że do certyfikatu udało się również znaleźć klucz prywatny): Badacze zgłosili tę ciekawostkę do Cisco, które opublikowało stosowną informację. Tutaj z kolei…
Czytaj dalej »
Tych, którzy myśleli, że to nasz rządowy poradnik – niestety musimy rozczarować. Dokument (z czerwca tego roku) został opracowany przez rząd australijski, ale jest na tyle ogólny, że skorzystać z niego może w zasadzie każdy. Mamy tutaj proste modelowanie ryzyk czy przygotowanie sprzętu przed podróżą (niby oczywiste rzeczy jak: przygotowanie mechanizmu…
Czytaj dalej »
Teoria i praktyka tutaj. Praca aktualizuje w znaczny sposób obecne osiągnięcia, które były ograniczane przez sam algorytm: Compression bombs that use the zip format must cope with the fact that DEFLATE, the compression algorithm most commonly supported by zip parsers, cannot achieve a compression ratio greater than 1032. Jak widać powyżej, można…
Czytaj dalej »
Ciekawe pytanie o zachowanie Windows 95: I was playing Hypnospace Outlaw, a game about a retro-themed OS. This OS has a peculiar behavior that when loading a webpage, wiggling the mouse cursor will load the page faster. Ktoś odpowiada, tak tak, to znany ficzer (to znaczy bug) Windowsów w dawniejszych…
Czytaj dalej »
Ciekawa (standardowa ;) podatność (czy seria podatności) w kontrolerze: ZipaMicro Z-Wave Controller Model #ZM.ZWUS. Urządzenie to jest stosowane we wdrożeniach inteligentnych domów – m.in. w kwestii otwierania drzwi do mieszkań czy domów. I taki scenariusz przeanalizowali badacze. Po pierwsze okazało się, że hub posiada jeden zahardkodowany klucz na roota. Użycie…
Czytaj dalej »
Cloudflare podał informację o 30 minutowej, globalnej awarii w tym miejscu: Starting at 1342 UTC today we experienced a global outage across our network that resulted in visitors to Cloudflare-proxied domains being shown 502 errors (“Bad Gateway”). The cause of this outage was deployment of a single misconfigured rule within…
Czytaj dalej »
Reklamy na stronach internetowych bywają irytujące (szczególnie jeśli sprawiają, że treść nie jest widoczna). Sposób jest prosty: wystarczy plugin je blokujący, np. uBlock Origin lub wbudowany w antywirusa. Niektórym osobom jednak reklamy nie przeszkadzają, poza tym istnieją strony, które “wymuszają” wyłączenie adblocków (Outlook podczas używania blokera reklam “sztucznie” ogranicza obszar…
Czytaj dalej »
Chodzi o granicę z Kirgistanem, a inspekcji poddawane są zarówno Androidy jak i iPhone-y: Border guards are taking their phones and secretly installing an app that extracts emails, texts and contacts, as well as information about the handset itself. Jak widać, appka nie robi nic groźnego ;)) Choć szczerze mówiąc,…
Czytaj dalej »
Chodzi o temat, o którym pisaliśmy niedawno w kontekście dowodów kolekcjonerskich. Stosowna ustawa, która wchodzi w życie 12 lipca ogólnie zabrania kopiowania “dokumentów publicznych” – przy czym są np. pewne wyłączenia. Definicja mówi: replika dokumentu publicznego – odwzorowanie lub kopia wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu…
Czytaj dalej »
Niedawno Riviera Beach zapłaciło 62 BTC (choć kto wie czy w akcji nie byli negocjatorzy), kolejnym razem (Lake City, Floryda) przestępcy byli łaskawsi – żądali tylko 42 BTC, które zostały zapłacone (a pracownik który kliknął “feralnego maila” – zwolniony): For several days after computer systems were paralyzed by a ransomware attack,…
Czytaj dalej »
… choć dla użytkowników premium kasowanie konta jest bezpłatne :P Niektórzy wskazują na to, że cała appka jest scamem – $2 za dzień umożliwia chatowanie, pewnie duża część z tego chatowania (jeśli nie wszystko) to rozmowy z botami. Jeszcze inni cieszą się, że są na terytorium UE, gdzie obowiązuje prawo…
Czytaj dalej »
Mechanizm bezpieczeństwa GateKeeper w systemach Apple jest podatny na zdalne wykonanie kodu zwykłym plikiem ZIP. Funkcjonalność GateKeeper została wprowadzona już w 2012 roku i chroni przed nieautoryzowanym uruchomieniem programu bez podpisu cyfrowego. Domyślnie aplikacje pochodzące z AppStore są identyfikowane jako „bezpieczne” (co oszczędza konieczność reakcji użytkownika). Tak samo jest z…
Czytaj dalej »
Informację podajemy jako ciekawostkę, bo nie ma dostępnych wielu szczegółów. Rosjanie wprawdzie potwierdzają “incydent” ale również mówią że nic się nie stało: This particular attack was detected at a very early stage by the Yandex security team. It was fully neutralized before any damage was done. Celem ataku był dział…
Czytaj dalej »
Realny scenariusz spear phishingu – z wykorzystaniem podatności 0-day w Firefoksie. W skrócie poszczególne etapy wyglądały tak: Mail z prośbą o pomoc w recenzji prac, które mogły być nagrodzone w prestiżowej nagrodzie (równie dobrze można napisać – hej, widziałem że masz świetne osiągnięcia w bug bountingu – mamy dla Ciebie…
Czytaj dalej »
