Slo-Tech - O nezaščitenosti mobilnih omrežij in enostavnosti prestrezanja sporočil sms smo že večkrat pisali, zato je v resnici presenetljivo, da se je Google šele sedaj odločil, da smsi ne bodo več zadostovali za preverjanje istovetnosti. Google trenutno uporablja smse v dveh primerih: za preveritev prijave v račun z nove lokacije in za preprečevanje množičnega odpiranja novih računov.

To je resda varneje kot uporabljati zgolj uporabniško ime in geslo, a zelo varno v resnici ni. Smsi po omrežjih potujejo brez šifriranja, napadi z zamenjavo SIM pa so zelo preprosti. Zato se je Google odločil, da se od smsov poslovi. Po novem bo uporabljal kode QR, ki jih bomo poskenirali s telefonom. Dodani element varnosti bo tudi zmanjšana možnost socialnega inženiringa, saj je precej enostavno ljudi prepričati, da komu posredujejo šestmestno številko, precej teže pa bo to s kodami QR.

Ob tem so dodali, da želijo sčasoma opustiti tudi gesla. Varnejši pristop so passkeyi. Kdaj bo Google dokončno upokojil...

Slo-Tech - Po zgledu skovanke phishing (ribarjenje) se je razvila njena mlajša sestra quishing, ki označuje napade z zlonamernimi kodami QR. Te smo danes že posvojili in se navadili na njihovo skeniranje, kar so začeli izkoriščati tudi zlikovci. V zahodnoevropskih državah so se pojavile lažne kode QR, ki so bile nalepljene na parkomate. Druga zelo priročna tarča so vozniki električnih vozil, ki jih polnijo na javni infrastrukturi, kjer so kode QR takisto mamljive.

A problem je širši. Regulatorji ugotavljajo, da so zlikovci kode QR prepoznali kot vektor, ki ga je možno enostavneje podtakniti v elektronsko pošto. Sumljive povezave v elektronskih sporočilih večina filtrov danes preveri ali preusmeri na filtre, medtem ko slike - ki lahko vsebujejo kode QR - neovirano potujejo skoznje. Te najraje podtaknejo v dokumente PDF, s čimer se izognejo vsakršnemu preverjanju, nato pa upajo, da jih bo kakšen uporabnik poskeniral in obiskal.

IBM je letos ocenil, da je povprečna škoda oziroma cena vdora...

Slo-Tech - Ministrstvo za javno upravo je naposled pripravilo aplikacijo za uporabo elektronskih osebnih izkaznic, ki se državljanom izdajajo že od marca letos. Od danes je na voljo aplikacija eOsebna, ki deluje na telefonih z Androidom ali iOS, in omogoča uporabo dodatnih funkcionalnosti kartice.

Nove izkaznice imajo namreč čip, ki ima tri digitalna potrdila. Digitalno potrdilo nizke ravni omogoča prijavo brez PIN-a, digitalno potrdilo za podpis in digitalno potrdilo visoke ravni pa sta zaščitena s PIN-om. Za uporabo elektronske osebne izkaznice brez posebnih čitalnikov, ki stanejo 30 in več evrov, potrebujemo novo aplikacijo, da se potem telefon z njo pogovarja prek NFC.

Tedaj namreč telefon deluje kot čitalnik osebne izkaznice s čipom in omogoča uporabo digitalnega potrdila. Osebno izkaznico moramo najprej povezati z aplikacijo. Če smo jo že aktivirali, je to nastavljena koda PIN, sicer pa smo začetno geslo za aktivacijo elektronske osebne izkaznice prejeli po pošti skupaj z izkaznico....

Slo-Tech - Na voljo je mobilna aplikacija zVEM, ki omogoča dostop do portala zVEM eZdravje in skladiščenje evropskega digitalnega potrdila za COVID (EU DCP). Trenutno jo lahko namestijo uporabniki Applovih naprav z iOS in Googlovih naprav z Androidom.

Portal zVEM eZdravje na enem mestu združuje vpogled in dostop do izvidov, receptov, napotnic, ki so shranjene v povezanih zbirkah za eZdravje. Vsebuje na primer informacije o čakalnih vrstah, možnost naročanja, izdanih in izkoriščenih receptih itd. Pogledamo lahko tudi, katere zdravstvene storitve smo uporabljali, koliko so stale, izvide in podobno. V aplikaciji je omogočen tudi dostop do digitalnih potrdil za covid, in sicer lahko dobimo potrdilo o cepljenju, prebolevnosti ali testiranju. Potrdilo prenesemo in sicer ga lahko posredujemo kot PDF, shranimo na napravo ali shranimo v mobilno denarnico, ki je v aplikaciji. Enolični identifikator na potrdilo je koda QR.

Potrdilo lahko dodamo tudi drugače, in sicer s skeniranjem kode QR (in ne s...

BBC - Zaradi neprimerne posodobitve angleške aplikacije za sledenje stikom sta Google in Apple onemogočila namestitev posodobitve, saj krši pravila uporabe. Aplikacija zbira in posreduje preveč podatkov, kar sta Google in Apple v pogojih uporabe že od samega začetka jasno prepovedala.

Aplikacije za sledenje stikom uporabljajo Bluetooth, ki pa je načeloma lahko aktiven le, dokler je v ospredju tista aplikacija, ki ga potrebuje. Da lahko aplikacije za sledenje stikov delujejo, uporabljajo poseben API, ki jim omogoča dostop do Bluetootha v ozadju - in samo odobrene aplikacije imajo to možnost. S tem pa seveda pristajajo na pravila igre, kot sta jih postavila Google in Apple.

Aplikacijo NHS Covid-19 uporabljajo v Angliji in Walesu. Z novo posodobitvijo bi uporabniki dobili možnost, da upravljavcu posredujejo podatke, kje so se nahajali, tik preden so imeli potrjeno okužbo z virusom. Gre za črtne kode, ki so nameščene na različnih lokacijah, ki jih uporabniki lahko poskenirajo. Če bi bili...

Slo-Tech - Proizvajalci programske in strojne opreme se počasi zavedajo, da miloščina, ki se običajno ponuja v programih prijavljanja hroščev in ranljivosti (bug bounty), ne more konkurirati bistveno bogatejšim ponudbam obveščevalnih agencij in specializiranih preprodajalcev ranljivosti. Ti ponujajo tudi milijon ali dva. Google se je zato odločil, da za čip Titan M nagrado pošteno dvigne. Kdor v Androidu najde hrošča, ki lahko vpliva tudi na varnost čipa Titan M, bo upravičen do največ 1,5 milijona dolarjev nagrade.

Čipe Titan M, ki jih je Google predstavil lani, najdemo v telefonih Pixel 3 in Pixel 4. Čip opravlja funkcije zagotavljanja varnosti, in sicer skrbi za obdelavo občutljivih podatkov, varni zagon (Verified Boot), šifriranje podatkov, varne transakcije, zaklep zaslona itd. Ranljivost v tem čipu bi imela katastrofalne posledice za varnost naprave (dokler je seveda ne bi zakrpali). Zato kdor odkrije način, kako v Titanu M izvesti nepooblaščeno kodo, lahko prejme milijon dolarjev, če...