Рубрика «уязвимость» - 20

в 10:08, , рубрики: sms, ussd, двухфакторная аутентификация, информационная безопасность, разработка, тиньков, тинькофф кредитные системы, уязвимость, метки: , , , , ,

Уже четвертый год являюсь клиентом одного банка. В свое время было куча косяков в UI, о которых я писал в банк многостраничные отзывы (да и сейчас программисты никак не могут реализовать то, что делает любой русский школьник, пишущий в первый раз калькулятор: а именно, принимать в качестве десятичного разделителя и точку, и запятую), но по сравнению с остальным страхом «Сбербанка», «Райфайзена» (ох уж эти джава-апплеты, сколько знакомых звонили каждый раз, когда нужно было сделать перевод — сами не могли разобраться) и т. д. — просто радость для глаз.

Но, собственно, пост вылез из недавнего «улучшения». Месяц-два назад кто-то в банке решил улучшить пользовательское взаимодействие и присылать одноразовые коды для определенных операций не эс-эм-эской, а через USSD-сообщение. Здесь защита и стала падать.
Читать полностью »

в 12:36, , рубрики: bug bounty, Google, ie11, microsoft, информационная безопасность, уязвимость, метки: , , , ,

image

Свою первую награду за найденную уязвимость Microsoft вручил сотруднику Google, пишет The Verge. Компания запустила несколько программ премирования за найденные уязвимости в конце прошлого месяца, в которых можно принять участие до конца июля.

За нахождение критической уязвимости в IE11 preview было обещано до 11 тысяч долларов, и инженер Google Иван Фратрик стал первым, кому Microsoft заплатил за найденную уязвимость.
Читать полностью »

в 13:22, , рубрики: android, OEM, информационная безопасность, патч, уязвимость, метки: , , ,

Упоминавшаяся ранее на Хабре уязвимость в Android, которая "...позволяет злоумышленникам превратить любое приложение в троян" устранена и патч передан производителям.

Обнаруженная командой Bluebox Labs уязвимость заключалась в том, что хакер имел возможность изменить APK-файл приложения без изменения соответствующей криптографической подписи. Утверждалось, что проблеме потенциально подвержены более 900 млн устройств, работающие под различными версиями Android, начиная с 1.6.
Читать полностью »

в 21:13, , рубрики: android, безопасность, информационная безопасность, Разработка под android, уязвимость, метки: , ,

Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни App Store, ни телефон, ни пользователь.
Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета.

Уязвимость в Android позволяет злоумышленникам превратить любое приложение в троян

Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятии) опасность достаточно велика, тем более, если учесть, что приложения, разработанные производителями устройств (например, HTC, Samsung, Motorola, LG) или третьих лиц, которые работают в сотрудничестве с производителем устройства, имеют особые привилегии в Android.
Читать полностью »

в 11:00, , рубрики: python, Spotify, twisted, баги, информационная безопасность, уязвимость, Юникод, метки: , , , , ,

В техническом блоге «Спотифая» было опубликовано интересное исследование на тему взлома аккаунтов сервиса путём использования особенностей канонизации вводимых пользователем данных. Это стало возможным благодаря тому, чем спотифаевцы гордятся, — полностью юникодному логину. К примеру, пользователь легко может иметь снеговика ☃ в качестве имени аккаунта, если он того пожелает. Реализация подобного, впрочем, с самого начала доставляла некоторые неудобства.

Несколько лет назад в Великую пятницу на форуме техподдержки было опубликовано сообщение о возможности взлома любого аккаунта на сервисе. Представитель компании попросил продемонстрировать это на примере его собственного аккаунта, и через несколько минут ему был задан новый пароль и создан новый плейлист. Это немедленно привлекло внимание нескольких сотрудников, вынужденных провести Пасху в попытках закрыть «дыру». В связи с особенностями уязвимости регистрация новых аккаунтов была временно закрыта.

Хакер действовал следующим образом: при желании взломать аккаунт с именем, скажем, bigbird, он регистрировал аккаунт с именем ᴮᴵᴳᴮᴵᴿᴰ (в Пайтоне эта строчка выглядит как u’u1d2eu1d35u1d33u1d2eu1d35u1d3fu1d30′). После запроса ссылки на сброс пароля задавался новый пароль, который подходил к аккаунту bigbird.
Читать полностью »

в 19:25, , рубрики: paypal, информационная безопасность, уязвимость, уязвимость нулевого дня, метки: , ,

Robert Kugler, 17-летний студент из Германии, который интересуется компьютерной безопасностью, нашел уязвимость на сайте paypal.com, и решил сообщить о ней в рамках программы по награждению за найденные баги. Однако, ему было отказано, т.к. он не достиг 18 лет. В ответ на это, он опубликовал уязвимость на seclists.org.Читать полностью »

в 10:18, , рубрики: информационная безопасность, коллективная работа, криптовалюта, уязвимость, метки: , ,

У всех пулов майнинга, включая p2pool, существует одна очень простая и неприятная идеологическая уязвимость, с помощью которой можно уменьшить совокупных доход пула относительно его общей мощности. Злоумышленник может 'наказать' пул на сумму, сравнимую с доходами от мощностей злоумышленника, фактически вся награда, выплачиваемая ему пулом. И чем больше мощность злоумышленника и чем дольше продолжается атака, тем больше шанс что это убытки пула будут приближаться к этой величине. И самое главное, что такая атака не стоит злоумышленнику практически ничего.

Особенно это актуально для владельцев больших мощностей, сравнимых с мощностью самого пула.

Это не уязвимость протокола bitcoin, ведь ее можно свершать для любой современной криптовалюты, это не уязвимость в коде пулов майнинга — это идеологическая уязвимость метода определения способа начисления наград при распределенных вычислениях.

Читать полностью »

в 10:54, , рубрики: взлом хабры, информационная безопасность, уязвимость, метки: ,

Все началось с попытки получить инвайт на хабр белыми методами, но, увы получилось иначе и инвайт достался совсем нечестным способом, об этой истории я и хотел бы поведать храброчитателям.
Читать полностью »

в 12:30, , рубрики: roundcube, информационная безопасность, Серверное администрирование, уязвимость, метки: ,

Есть много разного полезного софта, который присутствует на большинстве хостингов. Например, стандартом de-facto является phpmyadmin, отсутствие которого пользователи не поймут и не оценят.

Для почты такое “приложение по умолчанию” — roundcube.

Сегодня мы поговорим о уязвимости zero-day, которая отдает в руки злоумышленнику всю почту ваших пользователей
Читать полностью »

в 18:33, , рубрики: android, Samsung, информационная безопасность, локскрин, уязвимость, метки: , ,


Некто Terence Eden обнаружил критическую уязвимость в локсрине Samsung Galaxy Note II с Android 4.1.2. Существует большой шанс того, что данной уязвимости подвержены некоторые другие Android устройства корейского производителя.
Данный метод немного отличается от описанного ранее и не требует сверхточного попадания в очень короткий временной промежуток.
С помощью описанного Терансом способа, возможно полностью отключить локскрин и запустить любое приложение в считанные секунды, даже если смартфон защищён шаблоном, паролем или методом распознавания лица.
Под катом пошаговая инструкция:
Читать полностью »

1...10...192021...23
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js