»

Ranljivost v grafičnih karticah spletnim stranem omogoča krasti zaslonsko sliko

Slo-Tech - Raziskovalci z univerz v Austinu, Teksasu, Washingtonu, Illinoisu in Pittsburghu (CMU) so ugotovili, da so grafični čipi vseh šestih velikih proizvajalcev ( Apple, Intel, AMD, Qualcomm, ARM, Nvidia) ranljivi. Z doslej nepoznanim napadom lahko zlonamerna spletna stran prebere vsebino zaslona, kot ga izpisuje druga spletna stran na drugi domeni, s čimer se krši ena osnovnih zapovedi varnosti na internetu. Napad so poimenovali GPU.zip in ga temeljito opisali v članku. Podrobno jo bodo predstavili tudi na konferenci 45th IEEE Symposium on Security and Privacy, ki bo prihodnje leto maja v San Franciscu.

V delujočem konceptu so prikazali, kako ranljivost deluje. Zlonamerna spletna stran vsebuje element, ki skuša brati iz elementa iframe. V normalnih okoliščinah je to mogoče le, če imata oba elementa isti vir (isto domeno). Raziskovalci pa so pokazali, da je zaradi stiskanja podatkov, ki ga GPU-ji uporabljajo za izboljšanje zmogljivosti, možno posamezne piksle na zaslonu krasti enega po...

15 komentarjev

Na Floridi preprečili zastrupitev vodovoda na daljavo

vir: Pixabay

Slo-Tech - Nadzorni delavec vodnega zajetja v mestu Oldsmar, v ameriški zvezni državi Florida, je med svojim delom opazil, da so v njihov sistem uspeli vdreti neznanci, pri čemer so na daljavo upravljali z uporabniškim vmesnikom in na ta način želeli povečati koncentracijo natrijevega hidroksida z običajnih 100 delov na milijon delov vode, na 11.100 delov na milijon. Gre za približno stokratno in potencialno nevarno povišanje, saj gre za močno bazo, ki jo v zajetjih uporabljajo za uravnavanje PH vrednosti vode, v gospodinjstvih pa je pogosta sestavina tekočih sredstev za čiščenje odtokov.

Dežurni operater je poskus k sreči zaznal in koncentracijo povrnil na običajno vrednost. Sistem za upravljanje vodovoda na daljavo pa so za zdaj onemogočili. Za storilci, ki so ogrozili življenja okoli 15.000 uporabnikov vodovoda, pa so se zapodile tajne službe in FBI. Za zdaj še ni jasno ali je bil napad izveden iz ZDA ali pa morda iz tujine.

Podobni incidenti so se v preteklosti že dogajali. Leta 2016...

42 komentarjev

Zevajoča luknja v Mail aplikaciji na iPhonih

vir: ZecOps

Slo-Tech - Poročilo podjetja ZecOps razkriva dva hrošča v privzeti poštni aplikaciji, ki domnevno ogrožata na milijone uporabnikov iPhonov in iPadov. V podjetju še zatrjujejo, da so varnostno vrzel neznanci doslej že izkoristili za napade na šest znanih uporabnikov, konkretnih imen niso razkrili. O svoji najdbi so Apple obvestili že meseca marca.

Po navedbah raziskovalcev je prvi hrošč povezan z RCE (remote code execution) napako v MIME knjižnici aplikacije Mail, ki napadalcu omogoča oddaljeni zagon zlonamerne kode. Drugi hrošč je povezan s t. i. prekoračitvijo medpomnilnika na kopici (heap overflow). Exploita delujeta tako, da hekerji uporabniku pošljejo navidez neškodljivo, prazno sporočilo. Ko ga ta odpre, se aplikacija Mail sesuje, sistem pa od uporabnika zahteva ponovni zagon naprave. Med zagonom pa lahko nepridipravi dostopajo do podatkov na napravi. Ključna nevarnost obeh lukenj tiči v tem, da ne potrebujeta uporabnikove interakcije, v smislu prenašanja datotek ali obiska kakega...

28 komentarjev

Zlobne spletne strani so brskale po iPhonih

vir: Maxpixel

vir: Google Project Zero
Google Project Zero - Googlovi varnostni strokovnjaki, združeni pod imenom Project Zero team, so objavili poročilo o večjem številu spletnih strani, ki so izkoriščale celo vrsto ranljivosti v iOSu, in sicer vse od različice 10, do trenutne dvanajstice. Za okužbo je zadostoval zgolj obisk take strani, strežnik je preprosto na vsako ranljivo napravo namestil nadzorno programsko opremo, vse skupaj pa se je odvijalo zadnji dve leti. Napad ni bil usmerjen, pač pa so neznanci nediskriminatorno zbirali podatke od kogarkoli, šlo pa je za uporabnikove stike, sporočila, fotografije, lokacijo v realnem času, dostopali so lahko tudi do na napravi shranjenih gesel.

Strokovnjaki so odkrili pet različnih načinov vdorov, ki so izkoriščali 12 ranljivosti, od...

35 komentarjev

iOS 7.0.2 odpravlja luknje zaklepanja zaslona

Povzetek popravkov v iOS 7.0.2 med namestitvijo

vir: Ars Technica
Ars Technica - Nedavno smo poročali o dveh zelo lahko dostopnih in precejšnjih luknjah v iOS 7, ki sta napadalcem navkljub zaklenjenemu telefonu omogočali opravljanje klicev (vseh, ne zgolj klicev v sili) ter dostop do kontaktov, slik, elektronske pošte, Twitterja in kratkih sporočil SMS žrtve. Poročali smo tudi o tem, da je prišlo do praktično enake situacije že ob izidu iOS 6. Takrat so luknje hitro pokrpali, zato se je predvidevalo, da bo tudi tokrat tako.

In res se je to tudi zgodilo. Vsega osem dni po prvotnem javnem izidu iOS 7.0 smo dobili že iOS 7.0.2 (iOS 7.0.1 je popravil par hroščev na iPhone 5s in 5c, torej je bil omejen zgolj na ta dva telefona). V iOS 7.0.2 sta odpravljeni varnostni luknji zaklenjenega zaslona, a to ni vse,...

25 komentarjev

Backdoori v iPhonu, iPadu

Kraja telefonskih številk skozi Siri.

vir: CNet
CNet - iPhone 4S, ki so ga doslej prodali že več kot 4 milijone kosov, bo konec meseca na voljo tudi v Sloveniji. Ob taki popularnosti je bilo seveda le vprašanje časa, kdaj se bodo pojavili prvi heki. Jailbreak za iOS 5 je že na voljo, številna tehnološka spletišča pa poročajo tudi o stranskih vratih (backdoor) za vdor v tuj iPhone 4S ali iPad 2, brez da bi pri tem poznali uporabniško geslo.

Oba...

5 komentarjev

Apple WWDC: iOS 5

Opozorilni center

vir: engadget
engadget - Drugi del predstavitve je bil osredotočen na iOS, pravzaprav na naslednjo večjo izdajo Applovega mobilnega operacijskega sistema za iPad, iPhone in iPod Touch. Tudi tokrat so pričeli s statistiko, npr. da so prodali že 200 milijonov naprav z iOS-om, da je to najbolj razširjen mobilni operacijski sistem v ZDA s 44-odstotnim deležem (podatki naj bi bili Comscorovi za april, Android naj bi bil drugi), da so prodali že 25 milijonov iPadov v 14 mesecih od izida prvega, da je bilo na iTunes prodanih že 15 milijard skladb, z iBooks prenesenih 130 milijonov e-knjig, da je za iPad na voljo že 90.000 specifičnih aplikacij, da je bilo vseh namestitev aplikacij na iOS-u 14 milijard ter da so razvijalcem izplačali že 2,5 milijarde...

21 komentarjev

Apple WWDC: OS X Lion

iMovie v celozaslonskem načinu

vir: engadget
engadget - Začetna predstavitev oz. keynote Steva Jobsa na vsakoletni razvijalcem namenjeni konferenci WWDC je letos prinesel tri glavne novosti, predstavitev nekaterih novosti v OS X Lion, najnovejši izdaji Applovega operacijskega sistema za osebne računalnike, predstavitev iOS 5 in predstavitev oblačne storitve iCloud. Če se sprva osredotočimo na OS X Lion, vidimo, da pri Applu še niso opustili načela prinašanja funkcij z iOS na OS X. Predstavitev so sicer začeli z za Applove predstavitve običajnimi statistikami, npr. da platforma Mac letno raste z okrog 28 %, medtem ko je v istem času preostala industrija osebnih računalnikov doživela celo rahlo zmanjšanje v prodaji, če verjamete Applovim statistikam. V vsakem primeru naj bi...

79 komentarjev