Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Japán e-szavazás RocketChat Twitter Amazon s2n Modlishka adatmegőrzés DHS MitM DuckDuckGo NATO biztonsági esemény WannaCry EternalSilence FSZB fenyegetés backdoor cenzúra felmérés kiberbiztonság Ukrajna Anti-Botnet Guide Viber ISAC tiltás vizsgálat Unit 42 disassembler CSDE Oracle WebLogic
 2018. december 11. 14:51

A kínai kémchipekkel idén októberben hírbehozott Super Micro vállalat tájékoztatása szerint egy külső cég által végeztetett biztonsági audit nem talált bizonyítékot arra vonatkozóan, hogy a Bloomberg állításai valósak lennének.

Bővebben

A kínai kémchipekkel idén októberben hírbehozott Super Micro vállalat tájékoztatása szerint egy külső cég által végeztetett biztonsági audit nem talált bizonyítékot arra vonatkozóan, hogy a Bloomberg állításai valósak lennének. A Reuters információi szerint a vizsgálatot a Nardello & Co. végezte jelenleg gyártás alatt lévő, valamint az Apple és az Amazon részére korábban értékesített alaplap verziókon. Az ellenőrzések során sem engedély nélküli komponenst, sem adatszivárgást nem azonosítattak. 

(reuters.com)
Kevesebb
Hasonló hírek
 január 02. 16:00

A Privacy International szerint egyes alkalmazások akkor is szolgáltatnak felhasználói adatokat a Facebooknak, ha az adott személy nem Facebook felhasználó.

Bővebben

A Privacy International szerint egyes alkalmazások akkor is szolgáltatnak felhasználói adatokat a Facebooknak, ha az adott személy nem Facebook felhasználó. A cég elemzése során 34-ből 23 androidos applikációról állapították meg, hogy adatokat küld a közösségi óriásnak, mint például, hogy az adott appot mikor indították el, vagy zárták be, azonban az eszközre, valamint egyes beállításokra vonatkozó információkat, és a reklámcélú profilozás egyik alapvető eszközeként szolgáló Google hirdetési azonosítót (Advertising ID) is továbbítják. Az egyik ilyen problémás alkalmazás a Kayak utazásszervező app, amely minden egyes keresésről jelent, attól függetlenül, hogy az appot használó személy bejelentkezett-e a Facebook fiókjába, sőt, hogy egyáltalán Facebook tag-e. A Facebook az esettel kapcsolatos nyilatkozata szerint a cég az iparágban széles körben elterjedt gyakorlat szerint ─ az olyan nagyobb cégeket említve példaként, mint az Amazon, a Google, a Twitter, vagy az Adobe ─ analitikai, valamint reklámcélú szolgáltatásokat nyújt az alkalmazásfejlesztőknek, amelynek során azok aggregált információt nyerhetnek az alkalmazásaik használatára vonatkozóan. Emellett maga is fogad ilyen információkat, azonban az ily módon kapott adatok kezeléséhez és processzálásához az alkalmazás fejlesztőknek jogi felhatalmazást kell szerezniük. A cikk hatására egyes appok ─ mint például a Skyscanner ─ megszüntették az adattovábbítást a Facebook részére. 

(zdnet.com)
Kevesebb
 2018. december 06. 12:22

Reddit felhasználók jelentették, hogy az Apple App Store-on két olyan, magas értékelésű alkalmazás található, amelyek egy megtévesztés révén 100 dollár körüli összeget emelnek le az áldozat számlájáról; ezeket az Apple idő közben már el is távolította. 

Bővebben

Reddit felhasználók jelentették, hogy az Apple App Store-on két olyan, magas értékelésű alkalmazás található, amelyek egy megtévesztés révén 100 dollár körüli összeget emelnek le az áldozat számlájáról; ezeket az Apple idő közben már el is távolította. A szóban forgó alkalmazások (Fitness Balance, valamint a Calories Tracker) azt állították magukról, hogy egészségügyi szolgáltatást nyújtanak (kalóriaszámlálás, testtömegindex mérés, stb.) azonban ehelyett megterhelték azon felhasználók számláit, akik megadták bankkártyaadataikat az Apple fiókjukban. A konkrét összegek 99.99 dollár, 119 dollár, vagy 139 euró között változtak ─ országtól függően. A megtévesztés úgy működött, hogy az alkalmazások megnyitás után megjelenítettek egy üzenetet, amelyben arra kérték a felhasználót, hogy olvastassa le ujjlenyomatát egy kalória-figyelő funkció miatt. Amennyiben a felhasználó így tett, egy hirtelen felugró újabb ablak már a fentebb említett összegek valamelyikének terheléséhez kért engedélyt, az üzenet azonban olyan gyorsan jelent meg, hogy a felhasználónak ne legyen ideje levenni ujját a leolvasóról, szándékán kívül engedélyezve a fizetést. Az ESET ennek kapcsán felhívja a figyelmet, hogy az iPhone X ─ vagy annál újabb ─ Apple készülékeknél lehetőség van az ún. „Double Click to Pay” fizetés aktiválására, amely után a mobilfizetések a készülék oldalán található gomb kétszeri megnyomásával kerülnek engedélyezésre.

(arstechnica.com)
Kevesebb
 2018. október 16. 12:47

A Check Point szerint az iPhone-ok elleni kriptovaluta bányász támadások szeptember utolsó két hetében közel 400%-kal nőttek ─ derül ki a cég legújabb Global Threat Indexéből.

Bővebben

A Check Point szerint az iPhone-ok elleni kriptovaluta bányász támadások szeptember utolsó két hetében közel 400%-kal nőttek ─ derül ki a cég legújabb Global Threat Indexéből. A támadások során legnagyobbrészt Coinhive kóddal történt a fertőzés, ami világszinten a szervezetek mintegy 19%-ánál már felütötte a fejét, és 2017 decembere óta folyamatosan vezeti a fenyegetési indexet. A második leggyakoribb miner a Cryptoloot, ami az összesített listán a harmadik helyen szerepel. Maya Horowitz, a Check Point fenyegetés-elemző csoportjának vezetője szerint még vizsgálják, hogy mi az oka annak, hogy a Safari böngészőt használó eszközök most ennyire fókuszba kerültek, ugyanis a támadások ─ az eddigi megfigyelések alapján ─ nem bírnak új funkcionalitással. 

(www.infosecurity-magazine.com)
Kevesebb
 2018. október 12. 09:20

Két nagy kínai mobilfizetési platform ─ az ALipay és a WeChat Pay ─ jelentett jogosulatlan App Store-os vásárlásokat az utóbbi napokban.

Bővebben

Két nagy kínai mobilfizetési platform ─ az Alipay és a WeChat Pay ─ ügyfelei jogosulatlan App Store-os vásárlásokat jelentettek az utóbbi napokban, amelyeket a vállalatok szerint lopott Apple ID-kkal hajtották végre. Az Alipay kivizsgálást kért az Apple-től, valamint javasolta ügyfeleinek, hogy korlátozzák a jelszavas azonosítás nélkül elkölthető összegeket. Az Apple szóvivője az eset kapcsán felhívta a figyelmet a cég support oldalán javasoltak figyelembevételére, mint például: megfelelően erős jelszó használatára; a biztonsági kérdéseknél nehezen kitalálható válaszok megadására; illetve a kétfaktoros autentikáció alkalmazására. Mindeddig nem tisztázott, hogy a két vállalat mintegy 1,5 milliárd ügyfele közül pontosan mennyit érintett az eset. 

(www.engadget.com)
Kevesebb
 2018. október 10. 15:12

A Bloomberget rengeteg kritika érte a kínai kém chipről készült cikk miatt, nemrég pedig egy idézett biztonsági kutató is komoly kétségét fejezte ki azzal kapcsolatban, hogy megtörtént-e az állítások publikálás előtti megfelelő ellenőrzése ─ írja a The Register. A hírügynökség most egy új publikációban azt állítja, egy másik amerikai telekommunikációs nagyvállalat is felfedezett egy hasonló hardveres támadást. 

Bővebben

A Bloomberget rengeteg kritika érte a kínai kémchipről készült cikk miatt, nemrég pedig egy idézett biztonsági kutató is komoly kétségét fejezte ki azzal kapcsolatban, hogy megtörtént-e az állítások publikálás előtti megfelelő ellenőrzése ─ írja a The Register. Joe Fitzpatrick, a szóban forgó szakember többek közt kifogásolta, hogy az általa felvetett, pusztán elméleti támadási metódust a cikkben névtelen forrásoktól származó tényként kezelték. A hírügynökség azonban most egy új publikációban azt állítja, egy másik amerikai telekommunikációs nagyvállalat is felfedezett egy hasonló hardveres támadást. A történet főszereplője ezúttal is a Super Micro, ám a korábbi cikkel ellentétben itt név szerint is megnevezik az információk forrását, Yossi Appleboumot, a Sepio Systems biztonsági igazgatóját. Appleboum azt állítja, cége egy telekommunikációs vállalat megrendelésére végzett audit során szokatlan kommunikációra lett figyelmes egy Super Micro szerver kapcsán. A további vizsgálatok egy Ethernet csatlakozóba integrált chipet tártak fel, amely bár különbözik az első történetben leírt eszköztől, azonban célját tekintve nagyon hasonló, hiszen ezt is titkos adattovábbításra tervezték. A cikk ennél is tovább megy: a cég állítólag további, Kínában gyártott alaplapoknál is tapasztalt implant variációkat, és egyes külföldi szolgálatok már egy ideje figyelemmel kísérik a Super Micro termékek manipulációját. A The Register szerint bár az újabb publikáció célja vélhetően az eredeti történet hitelének megerősítése volt, szakértői körökben épp az ellenkezőjét váltotta ki ─ egyre többen viszonyulnak szkeptikusan a kérdéshez. 

(www.theregister.co.uk)
Kevesebb
 2018. október 08. 10:07

Amerikai és brit kormányzati szervezetek támogatásukról biztosították az Amazont, az Apple-t és a Supermicrót a Bloomberg múlt heti cikkével szemben, amely azt állítja, hogy a kínai titkosszolgálat a Supermicro által tervezett egyes szerver alaplapok hardveres kompromittálásával több, mint 30 amerikai vállat, valamint amerikai és brit kormányzati szervek után kémkedett.

Bővebben

Amerikai és brit kormányzati szervezetek támogatásukról biztosították az Amazont, az Apple-t és a Super Micrót a Bloomberg múlt heti cikkével szemben, amely azt állítja, hogy a kínai titkosszolgálat a Super Micro által tervezett egyes szerver alaplapok hardveres kompromittálásával több, mint 30 amerikai vállat, valamint amerikai és brit kormányzati szervek után kémkedett. A hírbehozott vállalatok egytől-egyig tagadták a vádat, hogy tudomásuk lett volna a tevékenységről, a hét végén pedig a brit kibervédelmi központ (NCSC) és az amerikai Belbiztonsági Minisztérium (DHS) tisztviselői is nyilatkoztak az ügyben, miszerint nincs okuk kételkedni a tech cégek közleményeinek valóságtartalmában. Az utóbbi napok során biztonsági szakértők részéről sok kritika érte a Bloomberget, amiért nem közölnek részletes technikai információkat az esetről, illetve nem képesek elérni, hogy a forrásaik felfedjék magukat a nyilvánosság előtt ─ a hírügynökség azonban továbbra is kitart a cikkben publikáltak mellett.

(www.zdnet.com)
Kevesebb
 2018. október 04. 16:23

Egy, a Bloomberg által publikált cikk szerint állítólag egy apró, káros kódokat tartalmazó mikrochipre bukkantak egyes Kínában gyártott alaplapokon, amelyeket széles körben használnak ─ például közel 30 amerikai vállalat, köztük az Apple és az Amazon szervereiben.

Bővebben

Egy, a Bloomberg által publikált cikk szerint állítólag egy apró, káros kódokat tartalmazó mikrochipre bukkantak egyes Kínában gyártott alaplapokon, amelyeket széles körben használnak ─ például közel 30 amerikai vállalat, köztük az Apple és az Amazon szervereiben. A kérdéses chipeket a világ egyik legnagyobb szerveralaplapokat gyártó cége, az amerikai Super Micro tervezte, és a kínai gyártás során kerülhettek az alaplapokra. A Bloomberg állítása szerint a chipek olyan beágyazott kódokat tartalmaznak, amelyek lehetőséget teremtettek arra, hogy azokon keresztül a kínai állam megfigyeléseket végezzen, illetve a cikk kitér arra is, hogy minderre az Apple és az Amazon már 2015-ben felfigyelt. A hírbehozott vállalatok és a kínai állam mindeddig tagadják az információk valódiságát. (Utólagos korrekció 2018.10.05 07:46)

(thehackernews.com)
Kevesebb
 2018. szeptember 18. 11:46

Az Amazon elismerte, hogy vizsgálatot folytat azon vádak tisztázására, miszerint személyzetének egyes tagjai felhasználói adatokat és bizalmas információkat adtak el harmadik feleknek, köztük kínai cégeknek ─ adja hírül az AFP hírügynökség.

Bővebben

Az Amazon elismerte, hogy vizsgálatot folytat azon vádak tisztázására, miszerint személyzetének egyes tagjai felhasználói adatokat és bizalmas információkat adtak el harmadik feleknek, köztük kínai cégeknek ─ adja hírül az AFP hírügynökség. A vállalat közleményében határozottan elítéli a visszaélést, és az elkövetők számára szigorú intézkedéseket ─ köztük jogi lépéseket ─ helyez kilátásba. A témáról először tudósító The Wall Street Journal szerint a belső vizsgálat kétes hitelű negatív felhasználói vélemények miatt indult, és már hónapok óta zajlik.

(www.afp.com)
Kevesebb