Slo-Tech - Varnostna firma Check Point je odkrila kopico ranljivosti v delu sistemskega čipa Snapdragon, ki je namenjen obdelavi signalov (DSP). Qualcomm je že objavil popravke, ki pa jih morajo Google in proizvajalci telefonov še dostaviti.

Digital Signal Processor ali DSP je čip, namenjen hitri in varčni obdelavi signalov, na primer kompresiranju videa in zvoka, pa tudi recimo kontroli nad hitrim napajanjem. V sodobnih sistemskih čipih ga pospravijo v vezje, ki ždi poleg centralnega procesorja, GPUja in ostalih podsistemov. DSPje običajno razvijajo ločeno od preostanka SoCja, zaradi česar so za sistemske integratorje "črna škatlica", to pa obenem pomeni oteženo odkrivanje in odpravljanje varnostnih lukenj. Ravno zaradi tega so se DSPja v najbolj razširjenem sistemskem čipu na svetu, Qualcommovem Snapdragonu, lotili v varnostnem podjetju Check Point in našli prek 400 hroščev v krmilnem ter razvojnem (SDK) programju. Ti niso nedolžni, saj naj bi zlikovcem omogočali razmeroma enostavno izrabo...

ZDNet - Neznanci so minuli konec tedna vdrli v jedrno infrastrukturo LineageOSa, gre za brezplačen in odprtokodni operacijski sistem za telefone, tablice in set-top boxe, ki temelji na platformi Android. Napad se je odvil v noči s sobote na nedeljo po našem času in je bil odkrit še preden bi lahko napadalci povzročili resno škodo.

Kot so sporočili iz LineageOS, so podpisni ključi za avtentikacijo uradnih distribucij ostali nedotaknjeni, prav tako izvorna koda in posamezne graditve operacijskega sistema. So pa začasno, zaradi preiskave dogodka, ugasnili vse svoje strežnike.

Napadalci so pri napadu izkoristili nezakrpano varnostno vrzel v Saltu, torej platformi Saltstacka za upravljanje in nadzor strežnikov na daljavo. Dve taki varnostni luknji, CVE-2020-11651 in CVE-2020-11652 so prav pred dnevi razkrili pri F-Secure, njuna kombinacija lahko napadalcu omogoči da obide vpisno proceduro in na Salt master namestitvi požene poljubno programsko kodo. Popravek je že na voljo, a trenutno je na...

Check Point Software Technologies - Vsepovezanost interneta stvari že dolgo sproža številne varnostne pomisleke, tu in tam se izkaže, da upravičeno. Že leta 2016 so raziskovalci pokazali, da je mogoče prevzeti oddaljeni nadzor nad pametnimi žarnicami, zdaj pa so razkrili, da se je prek žarnic moč dokopati tudi do bolj konkretnih tarč, torej računalnikov in druge opreme v omrežju. Spet so na zatožni klopi Philpsove Hue Smart Light Bulbs in nadzorna komponenta Bridge, saj so pri varnostnem podjetju Check Point razkrili varnostno vrzel, ki jo je mogoče izkoristiti po zraku, tudi s sto metrov oddaljenosti, si pridobiti vstop v brezžično omrežje, nato pa tudi nadzor nad napravami v njem.

Gre za hrošča poimenovanega CVE-2020-6007, ki izkorišča Philipsov način implementacije popularnega protokola Zigbee, ki je nekakšen posrednik pri medsebojni komunikaciji med napravami v omrežju. Raziskovalci (za zdaj) niso razkrili natančnega postopka vdora, so pa povedali, da sta zanj potrebna le prenosnik in antena.

Napadalec najprej...

Slo-Tech - Trojica je sprožila iniciativo Project Connected Home over IP, ki naj bi s skupnim odprtokodnim standardom poenotila trenutno eno najbolj popularnih, obenem pa tudi eno najbolj razdrobljenih področij tehnologij za običajne potrošnike. Projektu se bodo pridružili tudi proizvajalci naprav, združeni v skupini Project Connected Home over IP in Zigbee Alliance, slednja povezuje podjetja, kot so Ikea, Samsung SmartThings in Signify, ki je krovno podjetje Philips Hue.

Cilj iniciative je omogočiti kupcem pametnih naprav, da bi te delovale neodvisno od proizvajalca pametnega zvočnika in da jih bo mogoče upravljati z mobilno napravo kateregakoli proizvajalca, izbirati pa bo mogoče tudi med poljubnim asistentom, denimo Siri, Alexo, Google Assistantom ali katerim tretjim.

Novi standard bo deloval na obstoječih omrežnih protokolih, torej Wi-Fi oz. Bluetooth, najverjetneje pa tudi s Threadom, manj znanim protokolom s področja tehnologije pametnih domov. Članice projekta se bodo najprej...

Tencent Blade - Raziskovalci Tencent Blade Teama so odkrili serijo treh varnostnih lukenj v Qualcommovih sistemskih naborih, poimenovanih tudi QualPwn. Ranljivosti omogočajo popoln prevzem nadzora nad napravami z operacijskim sistemom Android, brez da bi bila potrebna kakršnakoli interakcija uporabnika, in sicer prek zlorabe sistemskega kernela, pod pogojem, da se napadalec in žrtev nahajata v istem Wi-Fi omrežju. Gre torej za napad "over the air", torej ne na daljavo oz. prek interneta.

Ranljivost CVE-2019-10538 omogoča prekoračitev medpomnilnika (buffer overflow), ki prizadene WLAN in Androidov kernel. Zaradi nje je mogoče na WLAN vmesnik pošiljati posebne paketke, ki nato omogočajo zaganjanje programske kode s kernelovimi privilegiji. Tudi pri drugi, CVE-2019-10540, gre...

The Register - Raziskovalci varnostnega podjetja Check Point Research so preiskali zanimivo in obsežno kampanjo t. i. malvertisinga - gre za napade na uporabnike s pomočjo oglasov, ki v sebi skrivajo zlobno kodo. Ta se je raztezala od kriptominerjev, ransomwara, keyloggerjev, pa do običajnih trojancev. Na teden so tako uspešno okužili do 40.000 različnih naprav. Še bolj zanimivo je dejstvo, da so napadalci sami plačevali za objavo okuženih oglasov, namreč, z izsiljevanjem in drugimi negativnimi posledicami njihovega početja, so zaslužili več kot dovolj, da so redno oddajali višje ponudbe od drugih oglaševalcev. In kar je najlepše, na ta način so denar v spletnem oglaševalskem sistemu tudi oprali oz. vsaj delno zabrisali sledi za njegovim kriminalnim izvorom.

Veriga se je...

Slo-Tech - Da je IoT prihodnost, se zavedajo tudi velika podjetja. Zato včerajšnja splavitev pametne žarnice s strani švedskega pohištvenega velikana Ikea ni nobeno presenečenje. Philips je recimo take »svetilke z žarilno nitjo« predstavil že pred leti. In to tudi ni prvi poizkus vstopa Ikee v svet interneta stvari. Švedi imajo že leta velike ambicije na tem področju. Vendar se je v zadnjih letih, odkar so pohištveni velikani pričeli povezovati svoje produkte s spletom, veliko spremenilo. Predvsem na področju varovanja osebnih podatkov. Ko je recimo Google kupil Nest, varnost osebnih podatkov še ni bila tako »pereča tema«. Oziroma je šele postajala. Danes pa se le govori o tem, kako CIA prek pametnih televizorjev nedovoljeno vstopa v vaš dom, hekerji pa lahko celo napadejo...

Slo-Tech - Google je danes popoldne organiziral velik medijski dogodek, v kar so se razrasle tiskovne konference, na katerih podjetja predstavljajo ne enega, temveč celo paleto izdelkov. Tudi današnji Googlov dogodek ni bil nič drugačen, čeprav smo skoraj vse poznali že vnaprej. Glavna sta seveda pametna telefona Pixel in Pixel XL, dobrodošle dopolnitve pa so glasovni pomočnik Google Home, brezžični usmerjevalnik Wifi, Chromecast Ultra z ločljivostjo 4K in Daydream VR.

Najprej k telefonom. Znamka Nexus se umika novemu poimenovanju Pixel, ki bo zaživelo v dveh telefonih: Pixel bo imel 5 palcev velik zaslon, Pixel XL pa pol palca večjega, sicer pa sta domala enaka. Oba imata aluminijasto ohišje (črno, sivo ali modro) s steklenim panelom na zadnji strani. Prvi ima...