»

Google začel preizkus sveta brez gesel

Slo-Tech - O svetu brez gesel smo že večkrat pisali, denimo ob standardizaciji WebAuthn in sprejetju tehnoloških velikanov, a na ključni preboj še čakamo. Morda bo odločilen korak, ki ga je danes napravil Google z začetkom velikega testiranja ključev (passkey), v katerem sodeluje 9 milijonov organizacij. Od danes lahko omogočijo prijavo svojim zaposlenim v Google Workspace al Google Cloud s ključem.

To je nova tehnologija preverjanje istovetnosti, ki ne uporablja gesel in jo razvija Združenje FIDO, v katerem sodelujejo tudi Google, Apple in Microsoft. Ključi omogočajo prijavo v storitve s potrjevanjem istovetnosti na nivoju naprave, torej s prstnim odtisom na telefonu, Windows Hello ali Face ID v iPhonu. S tem odpade potreba po geslih in dvostopenjski avtentikaciji ali smsih. Ključev ni možno ukrasti, ker ne vsebujejo nobenega nespremenljivega zaporedja znakov (kot je geslo), ki bi ga bilo možno prekopirati.

Uporabo ključev bodo morali odobriti lokalni administratorji v organizacijah. Poleg...

47 komentarjev

Mega tako luknjičasta, da njeno šifriranje ni dosti vredno

Slo-Tech - Spletna shramba Mega se ne ponaša le z nizko ceno, temveč uporabnikom zatrjuje, da so njihovi podatki šifrirani in da do njih ne more nihče, niti upravljavec (end-to-end encryption). V zadnjih letih je tako Mega zbrala več kot 250 milijonov uporabnikov, ki imajo shranjeni več kot 1000 PB podatkov. A zadnja razkritja raziskovalne skupine z ETH Zürich, ki jo sestavljajo Matilda Backendal, Miro Haller in Kenneth G. Paterson, kažejo, da trditve o neprebojnosti šifriranja ne držijo. Zaradi slabe implementacije je v resnici sorazmerno preprosto na silo obnoviti šifrirne ključe uporabnikov. Mega je obstoj ranljivosti priznala.

Raziskovalci ugotavljajo, da ima storitev Mega več ranljivosti, zaradi česar je občutljiva na pet različnih napadov, ki omogočajo nepooblaščen dostop do uporabniških datotek. Ključna sestavina varnosti je geslo, ki si ga izbere vsak uporabnik, in predstavlja osrednjo dostopno točko. Iz gesla lokalni odjemalec izračuna dva ključa: enega za preverjanje pristnosti...

5 komentarjev

Kaj se zgodi, če nam Google odpove gostoljubnost

Business Insider - Večina uporabnikov interneta ali pametnih telefonov Android uporablja vsaj kakšno izmed Googlovih storitev, ki terja profil in vpis. Najočitnejši primer je elektronska pošta Gmail, jih je pa v resnici še cela nabirka: od koledarja prek imenika stikov do fotografij. Medtem ko njihovo delovanje jemljemo samoumevno, postreže Business Insider z zanimivo zgodbo, kaj se zgodi, ko se Google odloči dolgoletnega uporabnika zakleniti iz storitev.

Gre za razvijalca iger, ki ni želel biti imenovan s pravim imenom. Nekega dne ga je na telefonu pričakalo obvestilo, da so bili njegovi računi pri Googlu onemogočeni zaradi hujših kršitev Googlove politike uporabe. In v trenutku je ugasnilo vse: zaznamki v Chromu, Gmail, koledar itd. Seveda se je na odločitev pritožil, a je Google v odgovoru naslednji dan potrdil prvotno odločitev, da računov nazaj ne bo. Razlogov niso konkretizirali. Čeprav je poizkusil podatke obnoviti s povezavo, ki jo je dobil v elektronskem sporočilu na alternativni naslov,...

126 komentarjev

Po petih mesecih najnovejšega Androida še vedno le za vzorec

Slo-Tech - Večkrat smo že pisali, da je eden največjih problemov Androida njegova fragmentiranost. Proizvajalci telefonov sorazmerno kmalu nehajo podpirati naprave, tako da so uporabniki za dostop do najnovejše verzije Androida prisiljeni bodisi kupiti nov telefon bodisi namestiti kakšen neuraden ROM (denimo LineageOS). Kako bizarna postaja situacija, pričajo najnovejši podatki. Android Oreo, kakor se imenuje zadnja, to je 8. večja verzija Androida, je izšel pred petimi meseci. Sedaj je njegov tržni delež končno presegel - 1 odstotek.

Poldrugo leto pa je trajalo, da se je Nougat, torej 7. verzija, zavihtel na prvo mesto. Danes ga uporablja 28,5 odstotka uporabnikov. To pomeni, da še vedno več kot...

49 komentarjev

Ponastavitev Androida na tovarniške nastavitve ne izbriše vseh podatkov

Ars Technica - Raziskovalci s Cambridgea so ugotovili, da ponastavitev telefona z Androidom na tovarniške nastavitve ne izbriše nepovratno vseh podatkov, kot bi morala. To predstavlja varnostno tveganje, ker se tovrstna ponastavitev po navadi uporablja za uničenje podatkov pred odprodajo, oddajo ali zavrženjem telefona. Ogroženih naj bi bilo okrog pol milijarde pametnih telefonov. Napaka prizadene tako vgrajen prostor kakor tudi spominske kartice microSD.

Preizkusili so 21 različnih telefonov petih proizvajalcev z različnimi verzijami Androida od 2.3 do 4.3. Podatkov o novejših telefonih ni, sklepajo pa, da so potencialno ogroženi tudi telefoni z novejšo verzijo Androida. Ugotovili so, da prav na vsakem telefonu ostane vsaj drobec osebnih podatkov:...

15 komentarjev

Prvi dan Google I/O prinesel Android L

The Verge - V San Franciscu se je začela vsakoletna konferenca Google I/O, kjer Google predstavi novosti, ki bodo v prihodnosti krojile svet. Včeraj je Google že na prvem dnevu predstavil kopico novosti in pot v prihodnost, ki bo očitno poskrbela, da bo Android prisoten v vseh porah našega življenja.

Za začetek so postregli s statističnim podatkom, da Android poganja naprave več kot milijarde ljudi, ki dnevno pošljejo 20 milijard sporočilo in 93 milijonov fotografij. To je veliko, a še vedno pomeni, da je 86 odstotkov svetovnega prebivalstva brez androidnega telefona. Veliko večino predstavlja prebivalstvo v državah, kjer je ljudi veliko, denarja pa bolj malo, zato Google začenja projekt Android One, kjer bodo s partnerji razvili...

43 komentarjev

Zelo resna varnostna ranljivost v HTC-jevih telefonih

Android Police - Artem Russakovskii, Justin Case in Trevor Eckhart so odkrili, da je nova posodobitev, ki jo je HTC pretekli mesec izdal za svoje telefone, v njih odprla veliko varnostno luknjo, ki omogoča nepooblaščeno zbiranje osebnih podatkov v telefonu. O ranljivosti so HTC obvestili 24. septembra, a ker se v podjetju niso odzvali, so jo sedaj javno razkrili.

Problem je v vrsti orodij za zbiranje dnevniških podatkov (logging tools), ki jih je HTC z novo posodobitvijo namestil na telefone. Namenjeni so zbiranju kopice informacij in podatkov s telefona, ki bi v primeru težav omogočili lažjo identifikacijo in odpravo. Problem je, da zbranih podatkov niso primerno zaščitili.

Izkazalo se je, da lahko vsaka aplikacija, nameščena na HTC-jevem telefonu, z enostavnim zahtevkom...

10 komentarjev

Šifriranje v blackberryjih pomanjkljivo

Slashdot - Podatki na telefonih znamke BlackBerry so šifrirani, kar jih je skupaj s podporo elektronski pošti in drugimi funkcijami upravljanja pred leti naredilo za edino resno rešitev za poslovne uporabnike. Z leti je te zmožnosti usvojila tudi konkurenca, a so blackberryji v veliki meri zadržali svojo bazo uporabnikov. Rusko programsko podjetje ElcomSoft poroča, da prve prednosti nimajo več, saj so uspeli razbiti šifriranje, ki ga blackberry uporablja za shranjevanje podatkov na telefon.

Celotna zasnova varovanja podatkov je zelo dobra, a je njen najšibkejši člen ustvarjanje varnostne kopije podatkov. Ta je šifrirana z 256-bitnim ključem z algoritmom AES, ki se generira na podlagi gesla, ki ga vnese uporabnik. Problem predstavlja funkcija PBKDF2 za generiranje ključa, ki se uporablja samo v eni iteraciji (za primerjavo, Apple v iOS 4 uporabi 10.000 iteracij). Težava je tudi, da podatke šifrira program BlackBerry Desktop in ne sam telefon, tako da se med računalnikom in telefonom prenašajo...

2 komentarja