Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Franciaország Twitter MI Cosmos Bank Apple tanácsok CheckPont űripar podcast telekommunikáció kétfaktoros autentikáció T-Mobile GDPR tanúsítvány VPN SMB HIRF Office 365 MadIoT Specops HatMan Android LoRaWAN Computer Misuse Act nyilatkozat Huawei Googe Infowars Zelle iPhone
 május 09. 08:30

A Google nyilvánosságra hozta az Asylo névre keresztelt nyílt forráskódú fejlesztői környezetét, mely a cég közleménye szerint lehetővé teszi az alkalmazások és az adatok bizalmasságának és integritásának megőrzését fejlesztéskor is.

Bővebben

A tech cég nyilvánosságra hozta az Asylo névre keresztelt nyílt forráskódú fejlesztői platformját, mely a cég közleménye szerint lehetővé teszi az alkalmazások és az adatok bizalmasságának és integritásának megőrzését fejlesztéskor is. A keretrendszer az ún. megbízható végrehajtási környezet (trusted execution environment – TEE) felhasználásával biztosítja a teljes izolációt. Emellett a fejlesztők kihasználhatják annak előnyét is, hogy a TEE hardverfüggetlen támogatást biztosít a fejlesztőknek, ami megkönnyíti az applikációk portolását. Korábban a TEE környezetekben való alkalmazás fejlesztéshez speciális szakértelemre és eszközökre, sőt egyes esetekben speciális hardverre volt szükség.

(www.securityaffairs.co)
Kevesebb
Hasonló hírek
 szeptember 05. 15:04

A Chrome biztonsági csapata egy új ajánláson dolgozik, amely azt az ambiciózus célt tűzte ki maga elé, hogy a webes URL-ek helyett egy alternatív megoldást dolgozzon ki.

Bővebben

A Chrome biztonsági csapata egy új ajánláson dolgozik, amely azt az ambiciózus célt tűzte ki maga elé, hogy a webes URL-ek helyett egy alternatív megoldást dolgozzon ki, mivel azok mára nagyon bonyolulttá és nehezen értelmezhetővé váltak, ez pedig csak a felhasználókat megtéveszteni igyekvő kiberbűnözőknek kedvez. Adrienne Porter Felt, a Chrome műszaki menedzsere elmondta, az új URL megjelenítési mód célja, hogy a webes identitás igazolása jóval egyszerűbbé váljon, és a felhasználók egyértelműen meg tudják állapítani, hogy megbízhatnak-e a meglátogatott oldalban. A Chrome csapata évek óta foglalkozik az URL-ek biztonsági problémájával, 2014-ben például azt javasolták, hogy alapértelmezetten csak a domain kerüljön megjelenítésre, és amennyiben valakit érdekel a teljes URL, azt az ún. „eredet chipre” kattintva érhesse el. Az ötlet vegyes fogadtatásra lelt, és csakhamar el is vetették. Jelenleg nem tudni milyen elképzelésekkel dolgoznak, Porter Felt szerint erről legkorábban idén ősszel, vagy jövő tavasszal szeretnének csak nyilatkozni. 

(www.wired.com)
Kevesebb
 augusztus 15. 12:50

Man-in-the-Disk (MitD) névre keresztelték a Check Point kutató csapata által felfedezett új támadási módszert, amely során a támadók a káros kódokat a külső tárhelyre juttatva fertőzik meg az ott található alkalmazásokat és lehetetlenítik el azok működését. A mobilkészülékek véges belső memóriakapacitása okán, egyes Androidos alkamazások esetén lehetőség van az alkalmazás külső tárhelyen történő telepítésére.

Bővebben

Man-in-the-Disk (MitD) névre keresztelték a Check Point kutató csapata által felfedezett új támadási módszert, amely során a támadók a káros kódokat a külső tárhelyre juttatva fertőzik meg az ott található alkalmazásokat, és lehetetlenítik el azok működését. A mobilkészülékek véges belső memóriakapacitása okán, egyes Androidos alkalmazások esetén lehetőség van az applikációk külső tárhelyen történő telepítésére. A kutatók a tesztek során egy káros kódokat tartalmazó zseblámpa alkalmazást hoztak létre, amely engedélyt kért az adatok külső tárhelyen történő tárolására, majd ezt kihasználva további, a külső tárolón található alkalmazásfájlok felcserélésével összeomlottak az applikációk. A MitD támadás alkalmas lehet a versenytársak alkalmazásainak működésképtelenné tételéhez, de hátsó ajtók (backdoors) is biztosíthatóak további káros kódok rendszerbe történő bejuttatásához, másrészt a frissítésnek álcázott műveletek során az appok lecserélhetők rosszindulatú változataikra. A tesztek során több népszerű Google és Yandex alkalmazást is azonosítottak, amelyek sebezhetőek egy MitD támadással szemben, amit a kutatók azzal indokolnak, hogy a legtöbb fejlesztő sajnos továbbra sem követi az Android biztonsági irányelveket és a legjobb biztonságos fejlesztési gyakorlatokat.

(www.bleepingcomputer.com)
Kevesebb
 augusztus 14. 14:26

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak.

Bővebben

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak. Habár az ausztrál vállalkozások ez idáig is szolgáltattak felhasználói adatokat a helyi hatóságoknak egyes, magas szinten szervezett bűnözéssel kapcsolatos nyomozások során, azonban a nagy tech cégek, mint az Apple, vagy a Google már nem voltak ilyen együttműködőek. A most tárgyalt jogszabály (Assistance and Access Bill) azonban minden olyan cég esetében előírhat bizonyos fokú együttműködési kötelezettséget, amelyik Ausztrálián belül végzi a tevékenységét, vagy szolgáltatásai elérhetőek az országban. A jelenleg még csak egy vitaanyagban elérhető információk szerint ennek részeként egyes magas rangú biztonsági tisztségviselőknek lehetőséget kell biztosítani a titkosított kommunikációhoz való hozzáféréshez is. Ugyan a törvényjavaslat szerint az érintett digitális szolgáltatók nem kötelezhetők arra, hogy ehhez rendszerszintű sérülékenységet alkalmazzanak, jelenleg tisztázatlan, hogy a cégek milyen hátsó ajtókat (backdoors) nélkülöző megoldással felelhetnének meg a követelménynek.

(www.techradar.com)
Kevesebb
 augusztus 13. 16:54

A Google állítása szerint a Helyelőzmények alatt ki lehet kapcsolni annak a lehetőségét, hogy a cég eltárolja a Google Maps-en keresztül a felhasználóról gyűjtött helyadatokat, azonban egy, az Associated Press által végzett vizsgálat szerint egyes applikációk ennek ellenére folytatják az időbélyeggel ellátott helyadatok gyűjtését.

Bővebben

A Google állítása szerint a Helyelőzmények alatt ki lehet kapcsolni annak a lehetőségét, hogy a cég eltárolja a Google Maps-en keresztül a felhasználóról gyűjtött helyadatokat, azonban egy, az Associated Press által végzett vizsgálat szerint egyes applikációk ennek ellenére folytatják az időbélyeggel ellátott helyadatok gyűjtését, például minden alkalommal, amikor a felhasználó megnyitja a Maps applikációt, rögzítésre kerül az időpont és a felhasználó helyzete. A magánszférát sértő gyakorlat körülbelül 2 milliárd Androidos és több száz millió iPhone-os felhasználót érint. A cég a témával kapcsolatban azt nyilatkozta, hogy a felhasználói élmény javítása érdekében több forrásból jut helyadatokhoz, amelyekről azonban egyértelmű információkat tesz elérhetővé. Amennyiben valaki szeretné letiltani az összes ilyen jellegű adatot, akkor ezt az Internetes és alkalmazástevékenységek alatt is be kell ezt állítania. A felhasználók a Saját tevékenységek oldalon kérdezhetik le és törölhetik a róluk nyilvántartott adatokat.

(www.securityweek.com)
Kevesebb
 augusztus 09. 14:45

Bár a tesztben résztvevő összes mobil P2P fizetési szolgáltatás használhatónak bizonyult, kiderült, hogy az Apple Pay Cash az átlagnál nagyobb hangsúlyt fektet a személyes adatok védelmére ─ állítja a Consumer Report által közzétett jelentés.

Bővebben

Bár a tesztben résztvevő összes mobil P2P fizetési szolgáltatás használhatónak bizonyult, kiderült, hogy az Apple Pay Cash az átlagnál nagyobb hangsúlyt fektet a személyes adatok védelmére ─ állítja a Consumer Report által közzétett jelentés. A vizsgált mobil fizetési platformok közül jelenleg az Apple-é az egyetlen, amelyik irányelveiben kifejezetten korlátozza az ügyfelekről gyűjtött felhasználói és fizetési információkat ─ például a kártyaadatokat sem tárolja el ─ valamint vállalja, hogy amit mégis, azt nem értékesíti harmadik felek részére. A teszt során a Venmo, a Square Cash és a Facebook Messenger is az átlagnál jobban teljesített, leszámítva az adatvédelmi szempontokat. A banki háttérrel rendelkező Zelle maradt le leginkább versenytársaitól, ami a tisztázatlan adatvédelmi irányelveknek és a fizetést megerősítő funkció hiányának köszönhető, utóbbit a cég október végéig kívánja pótolni. A teszt nem volt teljes körű, számos fizetési szolgáltatás, köztük a Google Pay újonnan integrált pénzátutalási funkciója is kimaradt.

(www.engadget.com)
Kevesebb
 augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb
 augusztus 01. 14:26

A kínai cenzúra szabályokra szabott webes kereső kivitelezése „Dragonfly” kódnév alatt 2017 tavasza óta zajlik, azonban csak év végén kapott lendületet, miután a Google vezérigazgatója, és egy magas rangú kínai tisztségviselő a témában megbeszélést folytatott.

Bővebben

A kínai cenzúra szabályokra szabott webes kereső kivitelezése „Dragonfly” kódnév alatt 2017 tavasza óta zajlik, azonban csak év végén kapott lendületet, miután a Google vezérigazgatója, és egy magas rangú kínai tisztségviselő a témában megbeszélést folytatott. Információk szerint ─ többek között ─ emberi jogokkal, demokráciával, vallással és béketüntetésekkel kapcsolatos kifejezések szerepelnek majd a kereső motor feketelistáján, amit a The Intercept szerint már be is mutattak a kínai kormánynak. A kereső élesbe állása valamikor a következő hat és kilenc hónap között valószínűsíthető, a kínai hatóságok engedélyezési eljárásától függően. Sem a Google, sem Kína internetes szabályozó szerve (Kibertér Adminisztrációs Iroda) nem reagált a Reuters megkeresésére.

(www.reuters.com)
Kevesebb
 augusztus 01. 12:14

A Palo Alto szerint több, mint 145 applikáció került törlésre a Play Store-ból, amiért azok káros Windows-os binárisokat tartalmaztak.

Bővebben

A Palo Alto szerint több, mint 145 applikáció került törlésre a Play Store-ból, amiért azok káros Windows-os binárisokat tartalmaztak. A különböző témájú alkalmazásokat még 2017 októbere és novembere között töltöttek fel a Google áruházába, volt köztük olyan, ami ruházkodással („Learn to Draw Clothing”), volt amelyik kerékpár átalakítással („Modification Trail”) foglalkozott, egyesek több ezres letöltéssel rendelkeztek, és jó (4-es) minősítést kaptak a felhasználóktól. A biztonsági cég szerint a káros kódok Androidos rendszeren hatástalanok voltak, a felhasználókra nézve veszélyt elsősorban akkor jelenthettek, ha a fertőzött APK fájlokat Windows-os környezetben nyitják meg, ekkor a beágyazott futtatható fájl ugyanis egy key loggert telepít a rendszerre. A cég szakemberei felhívják a figyelmet a fejlesztői környezetek biztonságának fontosságára, mivel a szoftveres ellátási lánc kompromittálása napjainkban a malware támadások egyik leghatékonyabb módja ─ a példánál maradva, a fejlesztők különböző platformok számára is készíthetnek szoftvereket.

(researchcenter.paloaltonetworks.com)
Kevesebb