Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
HaveIBeenPwned szociológia Európai Unió LoRaWAN Oroszország Chrome Pentagon APT katonaság titkosítás zsarolóvírus nyilatkozat BSSID Apple Pay Cash ZTE SMB távközlés HTML NIS keretrendszer ENSZ TechCrunch adatlopás gyakorlat Yandex TSSR Nokia letiltás Air Canada egészségügy
 május 14. 15:03

Az Apple - vélhetően a közelgő Európai Unió általános adatvédelmi rendeletének (GDPR) nyomására - kitiltja áruházából (App Store) azokat a fejlesztőket, akiknek alkalmazásai olyan kódokat, keretrendszereket, illetve SDK-kat tartalmaznak, melyekkel az alkalmazások képesek megosztani a felhasználók helyadatait.

Bővebben

Az Apple – vélhetően a GDPR közelgő hatálybalépése miatt – kitiltja áruházából (App Store) azokat a fejlesztőket, akiknek alkalmazásai olyan kódokat, keretrendszereket, illetve SDK-kat tartalmaznak, melyekkel az alkalmazások képesek megosztani a felhasználók helyadatait. A cég számos alkalommal emlékeztette fejlesztőit, hogy alkalmazásuk sértheti az App Store felülvizsgálati irányelv 5.1.1 és 5.1.2 szakaszait, melyek az adatok gyűjtésére, tárolására, felhasználására és megosztására vonatkoznak. Emellett nyomatékosan kérték a fejlesztőket, hogy a felhasználók kapjanak pontos tájékoztatást arra vonatkozóan, hogy az alkalmazás milyen típusú adatokhoz férhet hozzá, beleértve a helyadatokat is. Az irányelv szerint az alkalmazások által összegyűjtött adatok nem továbbíthatók harmadik félnek olyan céllal, amely nem kapcsolódik az alkalmazás működéséhez, valamint nem járul hozzá a felhasználói élmény, illetve a szoftver vagy hardver teljesítményének javításához.

(www.nakedsecurity.sophos.com)
Kevesebb
Hasonló hírek
 szeptember 13. 11:50

Az F-Secure új tanulmányában arról számol be, hogy „közel az összes” laptop és asztali munkaállomás sérülékeny egy új támadási módszerrel szemben.

Bővebben

Az F-Secure új tanulmányában arról számol be, hogy „közel az összes” laptop és asztali munkaállomás sérülékeny egy új támadási módszerrel szemben. Mindez a már jól ismert „hidegindításos támadáson” alapul, az újdonság abban áll, hogy a kutatók képesek voltak megtalálni a módját a memória automatikus újraírásának kikapcsolására, ezt felhasználva pedig már az olyan népszerű merevlemez titkosító megoldások is gond nélkül megkerülhetők, mint a BitLocker, vagy a Mac-es FileVault. Olle Segerdahl, az F-Secure fő biztonsági tanácsadója a TechCrunch-nak elmondta, a módszer ─ bár több lépcsőből áll ─ mégis olyannyira egyszerű, hogy valószínűtlennek tartja, hogy azt hacker csoportok ne fedezték volna fel már korábban. A Microsoft reakciója szerint megfelelő védekező megoldást jelent egy ún. pre-boot PIN kód használata, ami meggátolja a titkosítási kulcsok a memóriába történő betöltődését illetéktelenek által indított boot folyamat esetén, emellett javasolják, hogy a felhasználók gondoskodjanak az eszközök jogosulatlan fizikai hozzáféréstől való védelméről. Az Apple T2-es chippel ellátott modelljei (iMac Pro és MacBook Pro 2018-as modellek) védettek a támadással szemben, a cég azonban megkerülő megoldáson dolgozik a korábbi chippel ellátott eszközök biztosításához is. A szakemberek szerint mivel a probléma a hardver firmware-eket érinti, így elsősorban a gyártók tudnának megfelelő megoldással szolgálni. Az Intel még nem kommentálta a hírt. 

(techcrunch.com)
Kevesebb
 szeptember 12. 16:45

A nemsokára megjelenő iOS 12 és a macOS Mojave a már júniusban kiszivárgott hírek szerint nagy hangsúlyt fektet majd a biztonságra és a magánélet védelmére.

Bővebben

A nemsokára megjelenő iOS 12 és a macOS Mojave a már júniusban kiszivárgott hírek szerint nagy hangsúlyt fektet majd a biztonságra és a magánélet védelmére. A 6. generációs macOS újításai között említhető, hogy a Safari böngésző „intelligens nyomkövetés elleni védelme” megakadályozza majd, hogy a reklámozó cégek információt szerezzenek a felhasználók által meglátogatott oldalakról, megnehezítve ezáltal a célzott reklámokhoz történő profilalkotást, valamint ezután engedélyhez kötött lesz, hogy egy applikáció hozzáférhet-e többek között a FaceTime kamerához és mikrofonhoz, a helyadatokhoz, vagy a backuphoz. Az iOS 12-vel a beépített jelszókezelő automatikusan figyelmeztetni fogja a felhasználókat, amennyiben olyan jelszót kívánnak használni, amit már más weboldalon, vagy alkalmazásban használnak, valamint a kétfaktoros azonosítás során SMS-ben, vagy push üzenetben érkező kódok automatikusan betöltésre kerülnek majd, ami hasznos, azonban inkább csak kényelmi funkció. A 11.4.1-es verzióval bevezetett, ún. „USB restricted mode” minden valószínűség szerint megmarad, azaz továbbra is tiltott lesz az USB porton keresztül történő kommunikáció, amennyiben a telefont 1 órája nem oldották fel.

(www.techcrunch.com)
Kevesebb
 szeptember 10. 14:51

A GuardianApp mobil tűzfal alkalmazás biztonsági kutatóinak egy csoportja kimutatta, hogy egyre több iOS alkalmazás gyűjt és értékesít jelenleg is más monetizáló cégeknek felhasználói adatokat.

Bővebben

A GuardianApp mobil tűzfal alkalmazás biztonsági kutatói kimutatták, hogy egyre több iOS alkalmazás gyűjt és értékesít felhasználói adatokat ─ például Wi-Fi hálózati azonosítókat, helyadatokat, akkumulátor töltöttségi állapotot ─ monetizáló cégeknek. Bár az alkalmazások tájékoztatják a felhasználókat az adatgyűjtés tényéről, arról azonban már nem tesznek említést, hogy a begyűjtött adatokat hirdetési- és marketingtevékenységet végző cégekkel is megosztják. A vizsgálat során felfedezték, hogy az említett alkalmazások olyan harmadik felek által beágyazott nyomkövető kódokat tartalmaznak, amelyek akár folyamatosan futhatnak az eszközökön, így mindvégig képesek az iPhone felhasználók adatainak gyűjtésére és továbbítására. Az ilyen jellegű adatgyűjtés ellen a szakértők a Bluetooth funkció használaton kívüli kikapcsolását, a hirdetések korlátozását, az engedélykérések tiltását és az adatvédelmi politikák megismerését javasolják.

(www.securityaffairs.co)
Kevesebb
 szeptember 07. 12:39

Az Egyesült Államok Szenátusának írt levelében az Apple egy olyan új webes portál fejlesztését ismertette, amely egyszerűsítené a bűnüldöző hatóságok számára a felhasználói adatokhoz való hozzáféréseket.

Bővebben

Az Egyesült Államok Szenátusának írt levelében az Apple egy olyan új webes portál fejlesztését ismertette, amely egyszerűsítené a bűnüldöző hatóságok számára a felhasználói adatokhoz való hozzáféréseket. A tavalyi évben közel 14.000 hozzáférési kérelem érkezett a hatóságoktól, ezért a cég a korábban erre a célra használt email alapú rendszer frissítését kívánja megvalósítani, amely - bírói határozat birtokában - lehetővé tenné az adatokhoz való hozzáférésekre vonatkozó kérelmek benyújtását, a kérelmek aktuális állapotának figyelemmel kísérését, valamint az Apple által szolgáltatott adatok elérését. A portál mellett az Apple egy olyan speciális csapat létrehozását is tervezi, amely a világszerte működő bűnüldöző hatóságok számára tartana képzéseket arra vonatkozóan, hogy a cég miként képes kezelni az ilyen jellegű helyzeteket.

(www.9to5mac.com)
Kevesebb
 augusztus 23. 11:53

A Facebooknak el kellett távolítania az Onavo Protect nevű VPN alkalmazását az App Store-ból, mivel az sértette az Apple júniusban megszigorított irányelveit, amelyek korlátozzák, hogy a programok miként és milyen célból gyűjthetnek adatokat.

Bővebben

A Facebooknak el kellett távolítania az Onavo Protect nevű VPN alkalmazását az App Store-ból, mivel az sértette az Apple júniusban megszigorított irányelveit, amelyek korlátozzák, hogy a programok miként és milyen célból gyűjthetnek adatokat. Az Engadget információi szerint az Onavo Protect által végzett felhasználói adatgyűjtés és elemzés többszörösen áthágta ezeket a szabályokat, valamint sértette a fejlesztői megállapodás azon záradékát is, ami tiltja az adatok bármilyen, az alkalmazás működésével összefüggésbe nem hozható ─ például reklám ─ célra történő felhasználását. A Facebook például ezt az applikációt felhasználva értesült a Snapchat népszerűségének csökkenéséről, hónapokkal az információ nyilvánosságra kerülése előtt. A cég beleegyezett az alkalmazás törlésébe, így augusztus 22-e óta az már nem érhető el az Apple alkalmazásboltjában. Azon felhasználók, akik korábban telepítették az applikációt, továbbra is használhatják, azonban frissítés már nem érkezik hozzá.

(www.engadget.com)
Kevesebb
 augusztus 21. 11:30

Az Apple hamis szerencsejáték alkalmazásokat távolított el az App Store-ból, és az ezeket értékesíteni próbáló fejlesztők is kitiltásra kerültek.

Bővebben

Az Apple hamis szerencsejáték alkalmazásokat távolított el az App Store-ból, valamint az ezeket értékesíteni próbáló fejlesztők is kitiltásra kerültek. A Wall Street Journal szerint a tech cég eddig már összesen 25 000 alkalmazást törölt annak érdekében, hogy megfeleljen a szigorú kínai jogszabályoknak. A mostani intézkedést Kína legnagyobb közszolgálati televíziója, a Kínai Központi Televízió (CCTV) kérelmezte, miután értesült egy kínai iPhone felhasználóról, aki egy hamis alkalmazáson keresztül vásárolt lottót 122 000 jüan (körülbelül 17,5 dollár) értékben. A férfi azóta kártérítési keresetet nyújtott be, amit egy sanghaji kerületi bíróság el is fogadott. A CCTV szerint a károsult korábban többször is hívta az Apple ügyfélszolgálatát, valamint személyesen is felkereste a vállalat sanghaji kirendeltségét, azonban nem kapott segítséget.

(www.bleepingcomputer.com)
Kevesebb
 augusztus 14. 14:26

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak.

Bővebben

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak. Habár az ausztrál vállalkozások ez idáig is szolgáltattak felhasználói adatokat a helyi hatóságoknak egyes, magas szinten szervezett bűnözéssel kapcsolatos nyomozások során, azonban a nagy tech cégek, mint az Apple, vagy a Google már nem voltak ilyen együttműködőek. A most tárgyalt jogszabály (Assistance and Access Bill) azonban minden olyan cég esetében előírhat bizonyos fokú együttműködési kötelezettséget, amelyik Ausztrálián belül végzi a tevékenységét, vagy szolgáltatásai elérhetőek az országban. A jelenleg még csak egy vitaanyagban elérhető információk szerint ennek részeként egyes magas rangú biztonsági tisztségviselőknek lehetőséget kell biztosítani a titkosított kommunikációhoz való hozzáféréshez is. Ugyan a törvényjavaslat szerint az érintett digitális szolgáltatók nem kötelezhetők arra, hogy ehhez rendszerszintű sérülékenységet alkalmazzanak, jelenleg tisztázatlan, hogy a cégek milyen hátsó ajtókat (backdoors) nélkülöző megoldással felelhetnének meg a követelménynek.

(www.techradar.com)
Kevesebb
 augusztus 09. 14:45

Bár a tesztben résztvevő összes mobil P2P fizetési szolgáltatás használhatónak bizonyult, kiderült, hogy az Apple Pay Cash az átlagnál nagyobb hangsúlyt fektet a személyes adatok védelmére ─ állítja a Consumer Report által közzétett jelentés.

Bővebben

Bár a tesztben résztvevő összes mobil P2P fizetési szolgáltatás használhatónak bizonyult, kiderült, hogy az Apple Pay Cash az átlagnál nagyobb hangsúlyt fektet a személyes adatok védelmére ─ állítja a Consumer Report által közzétett jelentés. A vizsgált mobil fizetési platformok közül jelenleg az Apple-é az egyetlen, amelyik irányelveiben kifejezetten korlátozza az ügyfelekről gyűjtött felhasználói és fizetési információkat ─ például a kártyaadatokat sem tárolja el ─ valamint vállalja, hogy amit mégis, azt nem értékesíti harmadik felek részére. A teszt során a Venmo, a Square Cash és a Facebook Messenger is az átlagnál jobban teljesített, leszámítva az adatvédelmi szempontokat. A banki háttérrel rendelkező Zelle maradt le leginkább versenytársaitól, ami a tisztázatlan adatvédelmi irányelveknek és a fizetést megerősítő funkció hiányának köszönhető, utóbbit a cég október végéig kívánja pótolni. A teszt nem volt teljes körű, számos fizetési szolgáltatás, köztük a Google Pay újonnan integrált pénzátutalási funkciója is kimaradt.

(www.engadget.com)
Kevesebb