Slo-Tech - V mobilnih telefonih so odkrili novo ranljivost, ki je prisotna v večini telefonov ne glede na proizvajalca, saj se luknja skriva v karticah SIM in ne v programski opremi telefona. Ranljivost, ki so jo poimenovali Simjacker, napadalcem omogoča prevzem nadzora neposredno nad kartico SIM, ki potem izvaja določene ukaze, ne da bi bil uporabnik seznanjen s tem. Če telefon prejme posebej oblikovano kratko sporočilo (SMS), ga ta preda UICC (kartica SIM), ki potem izvede prejete ukaze.

Problem se skriva v dejstvu, da na številnih karticah SIM najdemo programsko opremo S@T Browser, ki ni bila posodobljena že od leta 2009. Svoj čas je omogočala na primer preveritev stanja na računu neposredno prek SIM-kartice, danes pa nima več uporabne vrednosti, zato je ne posodabljajo....

Slo-Tech - Vsi večji proizvajalci operacijskih sistemov, vključno z Microsoftom, Applom, FreeBSD-jem in Linuxom, so usklajeno izdali popravek za eno večjih lukenj, ki se je v operacijskih sistemih skrivala zaradi napačne interpretacije ukazov MOV SS in POP SS na platformah Intel x86-64. Ranljivosti, ki se vodi pod številko CVE-2018-8897, sicer ni mogoče izrabljati oddaljeno, temveč napadalec potrebuje fizični dostop do računalnika, ki je okužen ali ima kako drugače zagotovljen dostop do uporabniškega računa. Vseeno pa je ranljivost pomembna, ker omogoča dostop do zaščitenega dela (ring 0) tudi uporabniškim aplikacijam (ring 3).

Popravek je tudi lep primer sodelovanja med proizvajalci, saj so se uskladili na isti dan zakrpali luknjo v vseh operacijskih sistemih. Razlog za njen nastanek je očitno napačno...

Wired News - Na konferenci Usenix, ki od srede poteka v Austinu, so raziskovalci predstavili, kako je mogoče z opremo, ki stane nekaj deset dolarjev, odkleniti na milijone volkswagnov, audijev in škod. Ranljiva so vsa vozila, ki so bila izdelana po letu 1995, šele najnovejše generacije (npr. Golf 7) pa so odporne.

Raziskovalci so ugotovili, da Volkswagen uporablja le nekaj unikatnih šifrirnih ključev za daljinsko odklepanje, ki si jih med seboj deli na milijone vozil. Štiri največkrat uporabljene ključe ima 100 milijonov vozil, izdelanih v zadnjih dveh desetletjih. S poznavanjem tega ključa, ki ga lahko preberejo iz različnih sestavnih delov vozila (točne lokacije seveda ne razkrivajo), je odklep vozila...

Bloomberg - Iz Fiat Chryslerja so le nekaj dni po objavi Wiredove reportaže, kako je mogoče oddaljeno vdreti v njihove avtomobile s pametnim razvedrilnim sistemom UConnect in praktično popolnoma prevzeti nadzor nad njimi, sporočili, da začenjajo vpoklic 1,4 milijona ranljivih vozil. Modeli MY Dodge Viper, Ram 1500, 2500, 3500, 4500 in 5500, Jeep Grand Cherokee, Dodge Durango, MY Chrysler 200, 3000 in Dodge Charger ter Dodge Challenger iz let 2013-2015, ki imajo 8,4-palčni na dotik občutljiv zaslon, bodo prejeli varnostne popravke. Točen seznam po številki šasije je na voljo pri proizvajalcu.

Nadgradnja je sestavljena iz dveh delov. Na nivoju omrežja so včeraj izvedli nadgradnjo, ki preprečuje oddaljen dostop do vozil. Vsi kupci pa...

Wired News - Wired je z dvema hekerjema izvedel strašljiv eksperiment, ki dokazuje, kakor ranljivi so pametni avtomobili prihodnosti. Tarča je bil Jeep Cherokee, ki sta ga Charlie Miller in Chris Valasek ocenila kot najranljivejšo tarčo. Prek interneta, v eksperimentu iz 15 kilometrov oddaljene hiše, v principu pa lahko od koderkoli v ZDA, sta v avtomobilu spreminjala nastavitve klimatske naprave, prestavljala radijske postaje, močila vetrobransko steklo s tekočino za pranje, prekinila delovanja stopalke za plin in onesposobila zavore.

Točka dostopa je sistem UConnect, ki ga imajo številni novi Chryslerjevi avtomobili in tovornjaki. Gre za pametni sistem, ki načeloma omogoča navigacijo, sprejemanje telefonskih klicev, krmiljenje...

Heise - Nemški avtomobilski klub ADAC je v računalniškem sitemu ConnectedDrive, ki ga uporabljajo vozila proizvajalca BMW, Mini in Rolls Royce, odkril več resnih ranljivosti, ki omogočajo napadalcu odkleniti vozilo. BMW je napako zakrpal, zato so sedaj lahko razkrili...

Slo-Tech - V Linuxovi knjižnici glibc so odkrili resno ranljivost, ki se je je prijelo ime GHOST (zaradi funkcije GetHOST) in napadalcu omogoča prevzem nadzora nad sistemom. Problematične so funkcije gethostbyname*() (ki kličejo __nss_hostname_digits_dots(), ki je občutljiva na prekoračitev predpomnilnika) v glibc (GNU C Library) v verzijah 2.17 in starejših. Že maja 2013 je sicer izšla verzija 2.18, ki ranljivosti ni več vsebovala, a je tedaj niso prepoznali in označili kot ranljivosti, zato vsi niso izvedli nadgradnje. Qualys so bili prvi, ki so ranljivost tudi identificirali. Prizadeta programska oprema med drugim vključuje clockdiff, procmail, pppd in Exim.

V podjetju Sucuri pa so ugotovili, da so potencialno ranljive vse v PHP napisane aplikacije, ki uporabljajo problematično funkcijo (recimo WordPress), kar bistveno razširi možnosti zlorab, saj je ranljivost mogoče zlorabljati...

Ars Technica - Mobilni telefon BlackPhone, ki je dizajniran in narejen z mislijo na varnost in naj bi bil odporen na posege v zasebnost že po dizajnu, ni popolnoma imun na napade. V 630 dolarjev vrednem telefonu izpod rok ustanoviteljev Silent...

threatpost - Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.

Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo...

ZDNet - V Veliki Britaniji so v zadnjem času opazili porast tatvin vozil znamke BMW novejših letnikov, ki se vsi odklepajo, zaganjajo in zaklepajo brez klasičnih ključev. Vozila se odprejo z daljincem, ki se nato vstavi v vžig in pritisne gumb za zagon. Žal kaže, da je BMW nekje spregledal neko varnostno napako, saj je mogoče vozila ukrasti v treh minutah, ne da bi sprožili alarm, kot je videti na spodnjem posnetku.

Zlikovci izrabljajo več ranljivosti. Najprej pridobijo dostop do notranjosti vozila, kar lahko storijo kar z razbitjem šipe. Ultrazvočni senzor, ki bi moral vdore zaznavati, ima slepo pego, ki jo je mogoče izkoristiti za neoviran dostop. Ko so tatovi enkrat v vozilu, se povežejo na glavni računalnik preko vrat OBD-II (on-board...