W biegu

0-day na Samsung Galaxy S10. Podstawioną stacją bazową można prawdopodobnie przejmować telefon.

07 listopada 2019, 08:18 | W biegu | 1 komentarz
0-day na Samsung Galaxy S10. Podstawioną stacją bazową można prawdopodobnie przejmować telefon.

Podatność zaprezentowano w ramach tegorocznego konkursu Pwn2Own. Błąd jest klasy buffer overflow i występuje w komponencie baseband telefonu (czyli komunikującym się bezprzewodowo z siecią GSM). Wystarczy więc odpowiednia stacja bazowa i wysyłamy złośliwą komunikację do telefonu. Poniżej wprawdzie widać, że badacze utworzyli zdalnie swój plik na telefonie, ale informacja że…

Czytaj dalej »

Jeśli używasz Allegro – uważaj. Rozsyłany jest bezczelny phishing wykradający hasła.

05 listopada 2019, 22:15 | W biegu | komentarze 4
Jeśli używasz Allegro – uważaj. Rozsyłany jest bezczelny phishing wykradający hasła.

O temacie doniósł CERT Polska: Uwaga! Ostrzegamy przed #phishing kierowanym do użytkowników @Allegro_Group. W scenariuszu kampanii ofiara jest informowana o niedopłacie do salda konta z krótkim terminem płatności. Domena wykradająca hasła użytkowników to 2-login.alleqro-pl.choljai[.]info. Mail wygląda w ten sposób i „na szczęście”, przynajmniej jeśli oprzeć się na relacji CERT-u, nie…

Czytaj dalej »

Zdalne przejmowanie kontroli nad asystentami głosowymi. Badacze wykorzystali laser do wstrzykiwania głosu. Zasięg ~100 metrów.

04 listopada 2019, 23:04 | W biegu | 1 komentarz
Zdalne przejmowanie kontroli nad asystentami głosowymi. Badacze wykorzystali laser do wstrzykiwania głosu. Zasięg ~100 metrów.

Google assistant, Siri czy Amazon Alexa – wszystkie da się zmylić w ten zaskakujący sposób. Badacze pokazali laser, którym „strzelają” w docelowe urządzenie (w pokazach demo widać, że może być to zrealizowane nawet przez szybę!). Wiązka lasera przekazuje wcześniej nagrany (dowolny) głos, który nie jest słyszalny dla ofiary (jest za…

Czytaj dalej »

Chińczycy: jesteśmy w stanie obejść *każdy* czytnik palca w telefonie. Wystarczy np. zdjęcie kieliszka z odciskiem

04 listopada 2019, 20:29 | W biegu | komentarze 4
Chińczycy: jesteśmy w stanie obejść *każdy* czytnik palca w telefonie. Wystarczy np. zdjęcie kieliszka z odciskiem

Wg kolegów z X-LAB (Tencent) podatne jest w zasadzie wszystko (głównie rozmaite telefony oparte o Androida) + iPhone-y do 8 włącznie (Apple przeszedł później na inny sposób uwierzytelnienia biometrycznego: FaceID). W ramach LIVE demo na konferencji Geekpwn poprosili kogoś z publiczności o zostawienie odcisku palca na kieliszku oraz podanie swojego telefonu….

Czytaj dalej »

Indie. „Przejęli kontroler domeny” w największej elektrowni atomowej. Ślad prowadzi do unikatowego komputera z Korei Północnej…

04 listopada 2019, 16:33 | W biegu | 0 komentarzy
Indie. „Przejęli kontroler domeny” w największej elektrowni atomowej. Ślad prowadzi do unikatowego komputera z Korei Północnej…

Informacja zaczęła wypływać chyba od tego dość alarmującego Twitta: So, it’s public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. Rząd w Indiach najpierw zdementował informację, niewiele później jednak ją potwierdził (choć bez podania szczegółów ataku). Co ciekawe,…

Czytaj dalej »

Do wygrania 4 książki sekuraka !

04 listopada 2019, 11:10 | W biegu | komentarzy 9
Do wygrania 4 książki sekuraka !

Książka o bezpieczeństwie aplikacji webowych do kupienia jest tutaj. Spis treści tutaj, przykładowy rozdział – tutaj. Jak zdobyć za darmo naszą książkę? Gdzieś tutaj macie dostępny kod (pierwsze dwie osoby, które go wyślą na adres sklep@securitum.pl dostaną darmową książkę z przesyłką!). Uwaga to już nasz drugi konkurs, więc w kodzie będzie…

Czytaj dalej »

Bluekeep. Zaczęli exploitować krytyczną podatność w Windowsowym RDP. Zagłada za 3…2…hmmm

04 listopada 2019, 10:31 | W biegu | komentarze 3
Bluekeep. Zaczęli exploitować krytyczną podatność w Windowsowym RDP. Zagłada za 3…2…hmmm

Podatność o której pisaliśmy parę miesięcy temu dotyka wprawdzie Windowsa 7 (i niższych), ale umożliwia bez żadnej interakcji ofiary na otrzymanie pełnego dostępu administracyjnego na atakowanej maszynie. Sytuację pogarsza fakt, że w Metasploicie od jakiegoś czasu gotowy jest exploit na lukę. Tymczasem ktoś rzeczywiście zaczął atakować systemy dostępne z Internetu…

Czytaj dalej »

Podał się za członka zarządu. „Na gębę” przelali mu równowartość około 120 milionów PLN [Nikkei]

02 listopada 2019, 12:00 | W biegu | 0 komentarzy
Podał się za członka zarządu. „Na gębę” przelali mu równowartość około 120 milionów PLN [Nikkei]

Niedawno pisaliśmy o ciekawym przekręcie wykorzystującym automatyczne generowanie głosu na podstawie próbek od ofiary – w tym przypadku „na prezesa” oszukano firmę na ok 1 mln PLN. Na „lewą fakturę” oszukano też nasz rodzimy LOT (ok 2.5 mln PLN – część udało się odzyskać). Tym razem mamy grubszą sprawę, bo…

Czytaj dalej »

Odpoczywasz, a być może w tym momencie atakowany jest Twój QNAP. Tworzą nowy tajemniczy botnet…

01 listopada 2019, 19:14 | W biegu | komentarze 2
Odpoczywasz, a być może w tym momencie atakowany jest Twój QNAP. Tworzą nowy tajemniczy botnet…

O operacji / malware nazwanej QSNATCH doniosła jako pierwsza fińska agencja związana z cyberbezpieczeństwem. Później dołączyły się Niemcy pisząc o 7000 infekcjach dysków sieciowych firmy QNAP tylko w tym kraju: Dokładna metoda infekcji nie jest znana, choć wiadomo że malware ma możliwość wykonywania dowolnego kodu na urządzeniach, wyłącza aktualizacje, kradnie…

Czytaj dalej »

Ktoś rozsyła lewe pisma od Urzędu Patentowego. Można stracić 2000zł

01 listopada 2019, 15:21 | W biegu | komentarzy 5
Ktoś rozsyła lewe pisma od Urzędu Patentowego. Można stracić 2000zł

Pismo jest dość niemal idealna kopią oryginalnego dokumentu (nie zgadza się numer konta na który trzeba wpłacać pieniądze: Skąd wiadomo do jakiej firmy przesłać taki dokument. Otóż okazuje się że: Urząd jest przez prawo zmuszony do publikowania podstawowych informacji o zgłaszanym znaku towarowy. Znajdują się tam również dane zgłaszającego. Zostaje tylko znaleźć…

Czytaj dalej »

Ukradli dane 57 milionów użytkowników Ubera (70 000 z Polski) i wymusili okup $100 000 (pod przykrywką Bug Bounty). Teraz zostali uznani winnymi.

01 listopada 2019, 13:03 | W biegu | 0 komentarzy
Ukradli dane 57 milionów użytkowników Ubera (70 000 z Polski) i wymusili okup $100 000 (pod przykrywką Bug Bounty). Teraz zostali uznani winnymi.

Miało być pięknie, od strony atakujących wszystko legalnie – za obietnicę wykasowania 57 milionów rekordów danych o użytkownikach Ubera mieli otrzymać nagrodę w ramach programu Bug Bounty. Pieniądze te zresztą dostali za pośrednictwem serwisu HackerOne (2016 r.). Nie ma danych – nie ma problemu, wtedy Uber nie poinformował o temacie…

Czytaj dalej »

To zwierze żywi się hashami WPA2… W Polsce ma je 17 użytkowników

01 listopada 2019, 12:33 | W biegu | komentarzy 5

Mowa o Pwnagotchi, które z jednej strony jest bezprzewodowym Bettercapem na sterydach. Z drugiej strony nawiązuje do popularnej niegdyś zabawki Tamagotchi. „Zwierze” nie tylko żywi się złapanymi z sieci handshake-ami WPA2 (można je łamać w trybie offline uzyskując dostęp do klucza do sieci WiFi), ale potrafi działać też dość agresywnie (np. odłączać…

Czytaj dalej »

Migiem aktualizujcie Chrome – po sieci panoszy się aktywnie wykorzystywany 0day

01 listopada 2019, 12:03 | W biegu | 0 komentarzy
Migiem aktualizujcie Chrome – po sieci panoszy się aktywnie wykorzystywany 0day

Informację o nowej wersji przeglądarki oraz podstawowe informacje o zlokalizowanych poważnych błędach podał Google. Błędy są na tyle istotne, że firma na razie nie podaje szczegółów technicznych, zasłaniając się (słusznie) bezpieczeństwem użytkowników: Access to bug details and links may be kept restricted until a majority of users are updated with a…

Czytaj dalej »

Szczytno: skłonił kobietę do założenia konta w bankowości elektronicznej z podpiętym swoim telefonem. Ledwo udało się uratować 800 000zł

30 października 2019, 23:31 | W biegu | komentarzy 5
Szczytno: skłonił kobietę do założenia konta w bankowości elektronicznej z podpiętym swoim telefonem. Ledwo udało się uratować 800 000zł

Dość mocną wręcz historię opisuje Tygodnik Szczytno. Mamy tu przykład oszustwa seniorki metodą na „policjanta”, ale że w akcji była kwota aż 800 000 zł, przestępca użył innego sposobu niż powiedzmy prośba o zapakowanie całej gotówki w reklamówki i wystawienie przed drzwi. Jak więc postanowiono wykraść 800 000 zł? Mężczyzna…

Czytaj dalej »