m
Innehåller annonslänkar
Dagens deal, utvald av Feber!
Jämför priser
Jabra Elite 75t kostar nu bara 1490 kr (tidigare 1983 kr)

Svensk VPN-tjänst vinner rättslig tvist mot filmbolag
Anses inte ha uppgifter om vilka som driver The Pirate Bay

Filmbolagen SF och Nordisk Film har förlorat en rättslig tvist mot den svenska VPN-tjänsten OVPN gällande ett informationsföreläggande från de båda filmbolagen mot OVPN. Det hela har sin grund i att filmbolagen, som i tvisten representeras av upphovsrättsorganisationen Rättighetsalliansen, försöker hitta personerna som driver den ökända torrent-sajten The Pirate Bay nu för tiden. Efter lite detektivarbete från Rättighetsalliansens sida så kom man till slut fram att IP-nummer som använts av TPB ägdes av OVPN. OVPN uppgav dock då att man inte sparade några loggar om hur IP-numret använts eller vilka som använt det. Efter det att filmbolagen och Rättigehtsalliansen inte kunnat bevisa att det OVPN skulle ha sparat några loggar om sina kunders verksamhet så beslutade domstolen att neka till ett informationsföreläggande mot OVPN. Filmbolagen kommer dessutom att få stå för OVPN:s rättegångskostnader skriver OVPN:s vd David Wibergh i ett blogginlägg. Där sammanfattar han tvisten: "För att sammanfatta beslutet, har Rättighetsalliansen och deras säkerhetsexperter inte kunnat bevisa några sårbarheter i OVPN:s system som skulle kunna medföra att loggar sparas. OVPN vinner därmed informationsföreläggandet då våra uttalanden och bevis gällande vår loggningspolicy inte har kunnat motbevisas. Filmbolagen behöver också ersätta OVPN:s rättegångskostnader, vilket landar på 108 000 SEK exkl moms." Tumnagel
98.5°
+
Wille Wilhelmsson
0

Bedragare kan handla med stulna VISA-kort utan pinkod
App lurar betalterminaler i butiker

Forskare på ETH Zurich har upptäck en sårbarhet i VISA:s hantering av kortbetalningar vilken gör det möjligt för bedragare att använda stulna VISA-kort för att handla i butiker utan att använda PIN-kod vid större inköp. Det hela är möjligt genom att bedragaren istället för kort använder sig av en mobiltelefon för att betala kontaktlöst i butiker, det vi vill vardags kallar för att "blippa". Telefonen som används är i sin tur kopplad till en annan mobiltelefon som emulerar en betalterminal och skickar datan som krävs för en kontaktlös betalning från det stulna kortet till den första mobiltelefonen. ZDNet skriver: "The entire idea behind the attack is that the POS emulator asks the card to make a payment, modifies transaction details, and then sends the modified data via WiFi to the second smartphone that makes a large payment without needing to provide a PIN (as the attacker has modified the transaction data to say that the PIN is not needed)." Ni kan kolla in hur det går till i klippet här ovanför. För att det hela ska fungera krävs en specialskriven app som måste finnas på både mobiltelefonerna men om någon faktiskt har använt sig av den här tekniken för att genomföra bedrägerier är okänt. ETH Zurich har skickat vidare informationen om sårbarheten i VISA:s hantering av kortbetalningar till VISA så förhoppningsvis kommer den här säkerhetsluckan att tätas inom kort. Uppdaterat I en tidigare version av den här artikeln stod det att bedragaren inte behövde fysisk tillgång till VISA-kortet som används men så är inte fallet. Tumnagel
29.6°
+
Wille Wilhelmsson
0

Över en miljard Android-telefoner i riskzon för dataintrång
Sårbarhet hittad i Snapdragon-chipp

I helgen blev det känt att väldigt många Android-enheter riskerar att utsättas av dataintrång. Under säkerhetsmässan DefCon 2020 levererade säkerhetsfirman Check Point en rapport där de skrev om att de hittat över 400 sårbarheter i Qualcomms Snapdragon-chipp. Mer specifikt handlar det om sårbarheter i signalprocessorn, DSP:n, som kan utnyttjas med en nedladdad video eller annat innehåll som renderas av chippet alternativt att åtkomst kan ges åt skurkar genom elakartade appar som inte kräver några behörigheter på telefonen alls. I ett blogginlägg om sårbarheten, som Check Point valt att kalla Achilles, skriver gänget detta: While DSP chips provide a relatively economical solution that allows mobile phones to provide end users with more functionality and enable innovative features– they do come with a cost. These chips introduce new attack surface and weak points to these mobile devices. DSP chips are much more vulnerable to risks as they are being managed as “Black Boxes” since it can be very complex for anyone other than their manufacturer to review their design, functionality or code. Check Point har inte levererat någon detaljerad information om sårbarheterna och kommer inte göra det förrän mobiltillverkarna släppt uppdateringar som täpper till säkerhetshålen. Qualcomm har dock varit snabba med att släppa en fix på problemet, men denna måste implementeras av tillverkare i sina olika versioner av Android. Tumnagel
42.9°
+
André Stray
0

Sårbarhet hittade i Apples säkerhetschip Secure Enclave
Hackers kan komma åt lösenord och annat

Det har kommit uppgifter om att den kinesiska jailbreaking-gruppen Pangu Team har hittat ett säkerhetshål i Apples Secure Enclave-processor, ett säkerhetshål som potentiellt öppnar upp en massa Apple-prylars lagring av lösenord, kreditkortsuppgifter och biometrisk inloggingsdata till Touch ID och FaceID. Secure Enclave är ett chip som hanterar data som krävs för inloggning och betalningar via datorn. Denna data går inte att komma åt direkt från någon av datorns program. När någon app behöver tillgång till denna data så hanteras detta via Secure Enclave som bara skickar tillbaka resultatet, inte själva datan i sig. Säkerhetshålet ska ha fixats i Secure Enclave-chippet i Apples Bionic A12- och A13-chip men finns kvar i Apples chip A7 till och med A11 Bionic. Då det ska handla om en sårbarhet i själva hårdvaran så ska det inte finnas någon mjukvara som kan rätta till det hela. Det innebär att miljontals lite äldre iPhones, iPads och Mac-datorer har sårbarheten permanent. Det krävs dock att en eventuell hacker har fysisk tillgång till prylen för att de ska kunna komma åt datan som lagras på Secure Enclave, något som gör att man inte riskerar att drabbas så länge man har någorlunda koll på var man har sina Apple-prylar. Apple har själva än så länge inte kommenterat säkerhetshålet i Secure Enclave och det är okänt om någon använt sig av sårbarheten för att få tillgång till data från någon av Apples produkter. Här nedan hittas en schematisk bild som visar hur Secure Enclave fungerar när någon använder en inloggnings-funktion vars lösenord lagrats krypterat i Secure Enclave. Tumnagel
32.7°
+
Wille Wilhelmsson
0

BadPower kan få prylar att börja brinna
Nytt hack använder snabbladdare för att sabba mobiler och annat

Säkerhetsforskare på det kinesiska jätteföretaget Tencent har hittat sårbarheter i snabbladdare till mobiltelefoner, laptops och annat som gör att dessa kan förstöra och i värsta fall även tända eld på till exempel en mobiltelefon eller en laptop. Batteriladdare med snabbladdning kan själva reglera spänningen som skickas till prylen som laddas genom att kommunicera med denna. En snabbladdare som infekterats med det som forskarna kallas för "BadPower" kan däremot öka spänningen till mer än vad mobiltelefonen eller laptopen klarar av att ta emot, något som kan leda till att de kan börja brinna som synes i videoklippet ovan. Tencents forskare har analyserat 35 modeller av snabbladdare och av dessa ska 18 stycken ha varit möjliga att utsätta för en BadPower-attack. Enligt forskarna så ska detta gå att avhjälpa genom att uppdatera firmwaret i snabbladdarna så att dessa inte kan påverkas av en attack. Tyvärr så märkte forskarna även att firmwaret i 18 av de 34 chip till snabbladdare man analyserat var av en typ där firmwaret inte gick att uppdatera. Tumnagel
37.3°
+
Wille Wilhelmsson
0

Microsoft varnar för allvarliga DNS-sårbarheten SIGRed
Windows DNS-servrar bör patchas omedelbart

Säkerhetsföretaget Check Point har hittat en 17 år gammal bugg i implementationen av Windows DNS Server vilken skulle kunna få obehöriga att rikta om DNS-frågor till dessa servrar. Detta skulle i värsta fall kunna leda till att obehöriga skulle kunna ta över ett företags hela it-infrastruktur. Omri Herscovici som leder Check Points forskningssteam om sårbarheter säger om den nu upptäckta buggen som man gett namnet SIGRed: "A DNS server breach is a very serious thing. There are only a handful of these vulnerability types ever released. Every organization, big or small using Microsoft infrastructure is at major security risk, if left unpatched. The risk would be a complete breach of the entire corporate network. This vulnerability has been in Microsoft code for more than 17 years; so if we found it, it is not impossible to assume that someone else already found it as well." Microsoft blev uppmärksammade på sårbarheten i Windows DNS Server i maj och har gett den en 10:a på sin riskskala, det högsta värdet en bugg eller en sårbarhet i deras produkter kan få. Som jämförelse så fick det uppmärksammade ransomwaret WannaCry 8,5 på samma skala av Microsoft. Microsoft uppmanar nu alla företag som använder Windows DNS Server att uppdatera mjukvaran i dessa servrar så fort som möjligt för att inte drabbas av datorintrång eller andra tråkigheter. I videoklippet ovan visar Check Point hur SigRed kan utnyttjas i Windows DNS Server. Tumnagel
35.4°
+
Wille Wilhelmsson
0

The Last of Us: Part 2-läcka kom från extern källa
Ingen sur Naughty Dog-anställd låg bakom

Nyligen letade sig en hel del material från kommande The Last of Us: Part 2 och det ryktades om att det läckta materialet kom från en föredetta Naughty Dog-utvecklare. Nu har Sony meddelat att de identifierat busarna bakom läckan och skriver i ett uttalande till Polygon att läckan kom från individer som inte har något med Naughty Dog eller Sony Interactive Entertainment att göra. SIE has identified the primary individuals responsible for the unauthorized release of TLOU2 assets. They are not affiliated with Naughty Dog or SIE. We are unable to comment further because the information is subject to an on-going investigation. We’re looking forward to when The Last of Us Part II will be in your hands and can’t wait for you to enjoy the full experience on June 19. Vilka som låg bakom det läckta materialet är okänt och Sony verkar inte vilja berätta hur det hela ligger till. Speljournalisten, som nyligen lämnade Kotaku för Bloomberg, skriver i en Twitter-tråd att hackare hade lagt vantarna på materialet tack vare sårbarheter i tidigare Naughty Dog-spel. Oavsett vad som hänt så är fortfarande ett hett tips att inte kika på det läckta materialet om ni inte vill spoila spelupplevelsen. The Last of Us: Part 2 kommer släppas 19 juni till Playstation 4. Bonusvideo nedan med lite deepfake-video där Nathan Fillion ersatt Nathan Drake i Uncharted 4. Tumnagel
37.6°
+
André Stray
0

Stora säkerhetsbrister hittade i robotdammsugare
Trifos dammsugare kan låta obehöriga spionera på dig

Säkerhetsforskare går nu ut och varnar för robotdammsugare från Trifo efter det att man ska ha hittat stora säkerhetsbrister i deras Ironpie-modeller. Enligt säkerhetsforskarna som upptäckt sårbarheterna i dammsugarna så kan obehöriga bland annat komma åt dammsugarens inbyggda kamera och via den övervaka vad som sker i en användares hem. Förutom det så ska det även vara möjligt för obehöriga att installera skadlig programvara på dammsugaren, något som skulle kunna göra den obrukbar eller hitta på andra hyss som obehöriga vill ha utförda. En tredje sårbarhet är att obehöriga kan komma åt den detaljerade karta över en användares hem som dammsugaren ritar upp och lagrar medan den dammsuger hemmet. Det är säkerhetsföretaget Checkmarx som upptäck sårbarheterna i Trifos robotdammsugare. Trifo blev uppmärksammade om detta i december förra året men har än så länge varken kommenterat sårbarheterna eller åtgärdat dessa. På grund av det så har Checkmarx valt att tills vidare inte publicera någon information om hur man utnyttjar säkerhetsluckorna i Trifos Ironpie-modeller. Har man själv en Ironpie från Trifo så rekommenderas det nu att man kopplar ner denna från hemmets wifi-nät för att inte obehöriga ska kunna få access till dammsugaren. Då kommer dock inte dammsugarens tillhörande app att fungera vilket gör att man hellre kanske bara vill täcka över dammsugarens kamera. Då kan den åtminstone inte längre streama video från ägarens hem till obehöriga. Trifo Ironpie konkurrerar med till exempel iRobots Roomba-modeller. De är inte överdrivet stora på marknaden men Trifos Ironpie säljs här i Sverige för cirka 2800 kronor. Tumnagel
27.9°
+
Wille Wilhelmsson
0

Lätt att lura Teslas bilar att köra för snabbt
Det räcker med lite tejp

Säkerhetsforskare på säkerhetsföretaget McAfee har demonstrerar en simpel teknik med vilken man kan lura en del av Teslas bilar att köra i en annan hastighet än den som visas på vägskyltarna, något som demonstreras i klippet ovan. Genom att sätta lite tejp på en vägskylt som anger att vägens hastighetsbegränsning är 35 mph lurade forskarna Teslas Autopilot att hastighetsbegränsningen i själva verket var 85 mph, något som gjorde att bilens fartkontroll började accelerera mot detta. Sårbarheten ligger i kamerasystemet från MobilEye som läser av vägskyltar i äldre modeller av Tesla Model S and Model X vilka kör äldre versioner av MobilEyes system. Steve Povolny som är chef för McAfee Advanced Threat Research säger: "The vulnerable version of the camera continues to account for a sizeable installation base among Tesla vehicles. The newest models of Tesla vehicles do not implement MobilEye technology any longer, and do not currently appear to support traffic sign recognition at all." McAfee har även testat den senaste versionen av MobilEyes kamerasystem för att läsa av vägskyltar och det verkar inte ha den sårbarheten som deras äldre system nu har visat upp. Enligt McAfee så har det sålts runt 40 miljoner fordon som är försedda med den versionen av MobilEyes system som verkar gå att lura med en tejpbit. Tumnagel
33.8°
+
Wille Wilhelmsson
0

USA hävdar att Huawei har bakdörrar till operatörers nät
Dock fortsatt oklart om så faktiskt är fallet

USA har under en längre tid anklagat den kinesiska telekomjätten Huawei för att spionera på sina kunder och därför förbjudit landets operatörer att använda utrustning från Huawei i sina nät, något man även uppmanat andra länder att göra med mer eller mindre större framgång. Fram tills nu har dock USA inte presenterat några direkta bevis på att Huawei faktiskt ska ha spionerat på sina kunder men nu uppger amerikanska säkerhetskällor att Huawei ska ha tillgång till bakdörrar till näten operatörer byggt upp med Huaweis utrustning. Enligt uppgifterna till Wall Street Journal ska Huawei ha tillgång till bakdörrar som byggts in i näten avsedda för polisiära myndigheter, bakdörrar som leverantörer som till exempel Huawei inte ska ha tillgång till när väl tekniken är installerad och igångsatt. Inte helt oväntat så förnekar representanter för Huawei att man skulle ha tillgång till bakdörrar in i sina kunders nät och säger till WSJ att man aldrig har eller kommer att göra något som skulle riskera att äventyra säkerheten i sina kunders nät. Som bevis på att Huawei ska ha installerat bakdörrar i sina kunders nät nämns en incident där operatören Vodafone hittade sårbarheter i routrar från Huawei 2009. Det ska dock ha handlat om telnet-funktioner i routrarna som inte stängs på ett korrekt sätt. Både Huawei och Vodafone har förnekat att det ska handla om funktioner för att aktivt spionera på trafik i Vodafones nät. Även nyhetsbyrån Bloomberg har uppgett att Huawei har haft möjlighet att använda bakdörrar för att komma åt Vodafones nät, något som Vodafone förnekar och en talesperson för Vodafone säger till The Guardian: "The ‘backdoor’ that Bloomberg refers to is telnet, which is a protocol that is commonly used by many vendors in the industry for performing diagnostic functions. It would not have been accessible from the internet. Bloomberg is incorrect in saying that this ‘could have given Huawei unauthorised access to the carrier’s fixed-line network in Italy’.In addition, we have no evidence of any unauthorised access. This was nothing more than a failure to remove a diagnostic function after development. The issues were identified by independent security testing, initiated by Vodafone as part of our routine security measures, and fixed at the time by Huawei." Så huruvida Huawei faktiskt har inofficiella bakdörrar till sina kunder nät verkar fortsatt vara oklart. Jag antar att det nu är upp till världens länder och operatörer att avgöra vems information man litar på mest när man ska besluta om vilken leverantör som ska bygga de framtida 5G-näten och de nät som kommer efter det. Tumnagel
38.2°
+
Wille Wilhelmsson
0
2019

OnePlus drar igång buggjägarprogram
Rapportera bugg, få belöning

OnePlus meddelade i november att de blivit utsatta för dataintrång och för att motverka framtida intrång har nu OnePlus dragit igång ett buggjägarprogram. Användare har möjlighet att registrera sig för säkerhetsprogrammet via länken här nere till vänster och därefter är det bara att grotta ner sig i OnePlus olika produkter för att hitta sårbarheter och buggar av olika slag. OnePlus kommer erbjuda belöning på mellan 50 och 7000 dollar för rapporterade buggar och mängden kosing bestäms av OnePlus och ska vara baserad på hur buggen potentiellt skulle kunna påverka företagets verksamhet. Vid sidan av detta meddelar OnePlus att de börjat samarbeta med säkerhetsföretaget HackerOne som ska testa OnePlus system för att hitta potentiella sårbarheter. Tumnagel
40.4°
+
André Stray
0

Säkerhetslucka upptäckt hos Voi
Obehörig kunde komma åt information om en miljon Voi-kunder

DI Digital rapporterar att elsparkcykeltjänsten Voi har haft en säkerhetslucka i sitt system som gjort att obehöriga tidigare har kunnat komma åt information från företagets kvittosystem. Säkerhetsluckan ska ha upptäckts av en av Vois egna användare. Användaren upptäckte att det gick att komma åt namn och epost-adresser till över en miljon av Vois användare från flera olika europeiska marknader. När felet upptäcktes ska säkerhetsluckan ha tätats omgående. Det är Voi själva som har anmält säkerhetsluckan i sitt kvittosystem till Datainspektionen. Voi uppger i ett mail till Dagens Industri att man inte tror att någon obehörig ska ha kommit över kvittouppgifter medan säkerhetshålet fortfarande var öppet:. "Vår interna utredning visar att inga kvitton faktiskt läckte ut, men bakgrunden till anmälan var att vi hade en sårbarhet i vårt system som uppmärksammades av en person utanför Voi." Tumnagel
30.4°
+
Wille Wilhelmsson
0

Laser kan användas för att hacka smarta assistenter
Obehöriga kan ta kontroll över det smarta hemmet

Forskare från Tokyo och University of Michigan har hittat ännu en sårbarhet i så kallade smarta assistenter och utvecklat ett system som gör det möjligt att hacka dessa via laserstrålar, något som man kallar för "light commands". Med hjälp av laserstrålar som riktas mot en smart assistent, till exempel genom ett fönster, kunde forskarna aktivera och skicka kommandon till den smarta assistenten. Detta beror på att laserstrålarna kan få ett membran i de smarta högtalarnas mikrofon att vibrera, vibrationer som kan programmeras att uppfattas som ett kommando till de smarta assistenterna. Med hjälp av den här metoden skulle en obehörig till exempel kunna öppna dörrar, handla på webben, sätta på belysning och andra funktioner som användare har kopplade till sina smarta hem och assistenter. I dagsläget finns det inget skydd mot dessa laserattacker. Forskarna uppger att de arbetar tillsammans med bland andra Google, Amazon och Apple för att designa om de smarta assistenternas mikrofoner så att dessa inte längre går att påverka med hjälp av laserstrålar. Här nedan hittas ett kort klipp som beskriver hur Light Commands fungerar och hoppar ni vidare på länken finns ytterligare klipp som behandlar ämnet lite mer ingående. Tumnagel
41.1°
+
Wille Wilhelmsson
0

Enkelt att göra appar som avlyssnar smarta assistenter
Säkerhetforskare lurade både Google och Amazon

Det tyska säkerhetsföretaget Security Research Labs, SRLabs, har undersökt huruvida det var möjligt att göra appar till smarta assistenter som avlyssnade vad användarna gjorde och tydligen var det väldigt enkelt. Forskarna ska ha gjort fyra stycken avlyssnings-appar till Amazons smarta assistent Alexa och fyra stycken till Google Assistant. Dessa var maskerade så att det såg ut som om de utförde någon annan uppgift men dess huvuduppgifter var att avlyssna användare samt försöka lura användarna att uppge sitt lösenord. Samtliga appar ska ha passerat Googles och Amazons kvalitetskontroll och publicerats i de smarta assistenternas respektive appbutik. Några av apparna utförde de uppgifterna som de utgav sig för att göra men spelade samtidigt in och skickade vidare allt som sades i rummet där den smarta assistenten befann sig. En av apparna var designad för att initialt säga att det krävdes en uppdatering och en röst som då härmade Alexa eller Google Assistants röster bad användare att uppge sitt lösenord vilket även det skickades vidare till säkerhetsforskarna. Både Google och Amazon har efter det SRLabs meddelat dem om assistenternas sårbarheter plockat bort de aktuella apparna från respektive appbutik. Man har även uppgett att man ska förändra kontrollen av appar och "skills" (färdigheter) till de smarta assistenterna så att liknande appar inte letar sig in i assistenternas appbutiker i framtiden. Det här visar dock på ytterligare svagheter i säkerheten hos smarta assistenter. Börjar inte Google, Amazon och andra tillverkare av smarta assistenter ta sådant här på större allvar så riskerar antagligen intresset för att överhuvudtaget våga ha en smart assistent i sitt hem att helt försvinna. Här nedan hittas två videoklipp där SRLabs visar hur deras appar överlistar säkerheten i Alexa och Google Assistant. Tumnagel
27.4°
+
Wille Wilhelmsson
0

Nytt jailbreak öppnar upp din iPhone permanent
checkm8

Det här med Jailbreak för iOS är inget man hör allt för mycket om längre. Men några smarta personer har nu lyckats ta fram ett nytt Jailbreak som kan öppna upp alla iOS-enheter från 2011. Grejen är att detta jailbreak använder en sårbarhet i uppstarten som gör att Apple inte kan patcha bort jailbreaket, så detta är mer eller mindre permanent. Detta jailbreak ger dig som användare möjlighet att leka lite med telefonen men det kan också öppna upp den för potentiella hacker-attacker. Dock går detta jailbreak, just nu, inte att installera via mjukvara på telefonen utan kräver att telefonen är kopplad till en dator via USB. Men detta kan ju komma att ändras i framtiden när folk får lite bättre koll på koden. Tumnagel
49.4°
+
Frode Wikesjö
0

Minidokumentär om en välbetald hacker
Man kan tjäna mycket pengar på att ta sig in i datorer

Här kan ni kolla in ett avsnitt i Bloombergs dokumentärserie New Jobs där man kollar in hur framtidens arbetsmarknad kan komma att se ut och nya yrken som skapats inför det. I det här avsnittet så tar sig Bloombergs ett snack med hackern Tommy DeVoss som tjänar över en miljon dollar om året på att hacka datorer och undersöka säkerheten i olika typer av datorsystem. När DeVoss var yngre var han en så kallade "black hat" hacker som tog sig in i datorsystem illegalt vilket han senare dömdes för. Efter avtjänat fängelsestraff hade DeVoss svårt att få jobb på grund av detta och började då pyssla med att hitta sårbarheter i företags datorsystem och blev betald när han hittade sårbarheter i dessa genom så kallade buggletar-program. Detta verkar ha rullat på för DeVoss och idag är han en av en handfull kända hackers som drar in över en miljon dollar, motsvarande nästan 10 miljoner kronor om året, som en så kallade "white hat" hacker. Tumnagel
46.6°
+
Wille Wilhelmsson
0

DSLR-kameror kan drabbas av ransomware
Nu kan hackers "kidnappa" din kamera

De senaste åren har det varit en hel del problem med ransomware som infekterar och krypterar filer på våra datorer och detta verkar vara något som även skulle kunna drabba våra kameror uppger säkerhetsanalytiker på säkerhetsföretaget Check Point Research. Check Point Research har analyserat säkerheten hos DSLR-kameror från Canon och kommit fram till att det är möjligt att installera ransomware och annat malware på dessa. Det innebär i teorin att en kameraanvändare skulle kunna få malware i kameran via osäkra wifi-nät eller om den kopplas till en smittad dator via USB. Det skulle kunna resultera i att bilder på kameran krypteras och blir otillgängliga för användaren tills denne betalar en lösensumma för att låsa upp kameran. Sårbarheten som användes för att smitta Canons kameror hittades i Picture Transfer Protocol (PTP) vilket innebär att det inte är omöjligt att kameror även från andra tillverkare skulle kunna smittas med ransomware. Check Point Research har arbetat tillsammans med Canons som förra veckan släppte en säkerhetsuppdatering till sina kameror. Vidare uppmanar Canon att man inte ska använda oäskrade publika nätverk tillsammans med deras kameror samt att man stänger av kamerans wifi-uppkoppling när den inte används. Här nedan hittas en demonstrationsvideo från Check Point Research där de snackar lite mer om problemet. Tumnagel
32.4°
+
Wille Wilhelmsson
0

Apple ska släppa iPhone med root-access
Fast bara till utvecklare

Under den pågående säkerhets/hacking-konferensen Black Hat i Las Vegas så meddelade Apple att man kommer att börja dela ut iPhones med root-access till en del forskare, utvecklare och andra som pysslar med att hitta sårbarheter i Apples mobila operativsystem iOS. Det innebär med andra ord att så kallade white hat-hackers slipper att jailbreaka iPhone eller vänta på ett jailbreak för de senaste iPhones dyker upp. Det kan även leda till att eventuella säkerhetsproblem med iOS och iPhone upptäcks snabbare och då förhoppningsvis inte drabbar användare. Apple kommer att börja dela ut de för-rootade iPhone-versionerna till utvalda utvecklare någon gång under nästa år. Skulle man vara intresserad av att få en rootad iPhone så kan man ansöka om detta och Apple uppger att alla som har erfarenhet av buggletning på något typ av system är välkomna att ansöka. Tumnagel
43.6°
+
Wille Wilhelmsson
0

Apple Watch Walkie-Talkie-funktion avstängd
Obehöriga kunde lyssna på användares samtal

Apple har stängt av den walkie-talkie-funktion som man introducerade till Apple Watch i samband med att watchOS 5 släpptes förra året rapporterar TechCrunch. Anledningen till det uppges vara att obehöriga på något sätt ska ha kunnat ta del av samtal som Apple Watch-användare genomförde med Walkie-Talkie-appen. I ett uttalande till TechCrunch säger Apple: "We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience." Walkie-Talkie-appen finns fortfarande kvar till AppleWatch men samtal man försöker genomföra med appen kopplas för tillfället inte fram till mottagaren. Apple säger vidare att man inte har sett några indikationer på att någon obehörig faktiskt har använt sårbarheten i Walkie-Talkie-appen för att avlyssna andra Apple Watch-användare. Tumnagel
37.1°
+
Wille Wilhelmsson
0

Google återkallar Titan Security Key
Hårdvarunycklarna går att hacka via bluetooth

Förra sommaren släppte Google sina egna hårdvarunycklar Titan Security Key men dessa verkar tyvärr ha haft ett säkerhetshål som gjort att obehöriga eventuellt skulle kunna hacka dem. Säkerhetsluckan i Googles hårdvarunycklar handlar om en sårbarhet i bluetooth-implementationen på nycklarna. Den gör att en obehörig som befinner sig inom räckvidd för nyckeln, cirka tio meter, skulle kunna ansluta sin egen maskin till nyckeln när användaren aktiverar den. För att det hela ska fungera krävs dock att den obehörige även har tillgång till användarens inloggningsuppgifter. Har man en köpt en osäker Titan Security Key så kan man byta ut dessa gratis här. Tumnagel
28.3°
+
Wille Wilhelmsson
0

Amerikanska försvaret utvecklar system för e-röstning
Ska byggas med öppen mjuk- och hårdvara

Det amerikanska försvarets forskningsgren Defense Department’s Defense Advanced Research Projects Agency (DARPA) har gett det amerikanska företaget Galois i uppdrag att ta fram ett system som skulle gå att använda för att genomföra digitala omröstningar i nationella val. Det ska handla om ett system som ska baseras på både öppen källkod och öppen hårdvara vilket jag antar skulle göra att även andra länder skulle kunna använda systemet om de skulle börja rösta digitalt. DARPA säger dock att det inte kommer att vara ett system man själva planerar att rulla ut i USA utan istället ska det handla om en slags referensdesign som amerikanska myndigheter, eller andra, skulle kunna använda om de skulle vilja genomföra digitala valomröstningar. DARPA och Galois planerar framöver att låta forskare och hackers testa deras system för att se om det finns några sårbarheter i det. VICE skriver att DARPA kommer att lägga cirka 10 miljoner dollar av sin budget på e-röstnings-systemet. Tumnagel
39.8°
+
Wille Wilhelmsson
0

Apple har fixat FaceTime-buggen
Och kompenserar 14-åringen som hittade den

Apple ska nu har rullat ut en uppdatering som fixar säkerhetsbuggen som hittades i Facetime för någon vecka sedan. Buggen gjorde att folk kunde tjuvlyssna på någon annan via tjänstens gruppsamtalsfunktion även om mottagaren inte lyft på luren. Klart obra från Apples sida att denna bugg fanns men nu ska den alltså vara fixad för alla som uppdaterar till iOS 12.1.4. Personen som först rapporterade buggen till Apple heter Michele Thompson vars 14-åriga son, Grant, lyckades hitta sårbarheten. Apple har nu gett Grant cred för ha hittat buggen och ska ge familjen kompensation. Exakt hur mycket eller vad familjen kommer få är oklart just nu. Apple erbjuder vanligtvis 200 000 dollar till folk som hittar sårbarheter i Apples produkter. Tumnagel
44.9°
+
Frode Wikesjö
0
2018

DJI:s drönare gick att komma åt av obehöriga
Sårbarhet ska dock nu vara fixad

Säkerhetsföretaget Check Point Research upptäckte tidigare i år en säkerhetslucka i mjukvaran till DJI:s drönare vilken gjorde det möjligt för obehöriga att komma över en lång rad av data kopplad till drönaren och dess ägare. Det ska bland annat ha varit möjligt för obehöriga att övervaka vad drönaren filmade i realtid och obehöriga kunde även ladda ner bilder och filmer som lagrats i DJI:s moln. Dessutom gick det att komma åt personuppgifter, inklusive kreditkortsinformation, från den som ägde drönaren. På bilden nedan kan ni kolla in hur attacken gick till och som synes var det en del villkor som var tvungna att uppfyllas för att den skulle lyckas. Bland annat så var drönarägaren tvungen att vara inloggad på DJI:s mjukvara samtidigt som ägaren klickade på en länk som planterats i DJI:s användarforum och som då öppnade upp för attacken. När Check Point Research upptäckte säkerhetsluckan meddelade de DJI detta och nu ska attacker av den här typen inte längre vara möjliga att genomföra. Enligt DJI så har man inte kunnat hitta några tecken som indikerar på att någon obehörig faktiskt genomfört den här typen av attack mot någon av deras kunder. Tumnagel
36.5°
+
Wille Wilhelmsson
0

Googles dörrar hackades av en av deras anställda
Allt går att låsa upp

Att öppna låsta dörrar med hjälp av nyckelbrickor som använder sig av RFID-teknik har blivit allt vanligare men precis som med stort sett alla andra lås så kan man sällan förlita sig till hundra procent på dessa. Detta blev Google medvetna om när en av deras egna anställda lyckades öppna en låst dörr utan att använda sin inpasseringsbricka där RFID-chippet satt. Tekniken som Google använder för den fysiska säkerheten i sina byggnader kommer från Software House och det var när utvecklaren David Tomaschik på Google började studera den krypterade trafiken i systemet som han hittade en sårbarhet i låsen: "Last summer, when Tomaschik looked at the encrypted messages the Software House devices (called iStar Ultra and IP-ACM) were sending across the Google network, he discovered they were non-random; encrypted messages should always look random if theyx27re properly protected. He was intrigued and digging deeper discovered a "hardcoded" encryption key was used by all Software House devices. That meant he could effectively replicate the key and forge commands, such as those asking a door to unlock." Tomaschik kunde även se till så att det han gjorde i systemet inte registrerades och även stänga ute andra användare från systemet så att de inte längre kunde låsa upp några dörrar. Efter säkerhetsluckan upptäcktes så har denna åtgärdats skriver Forbes. Tumnagel
47.7°
+
Wille Wilhelmsson
0

Säkerhetshål hittat i PGP:s kryptering
Sluta använda det tillsvidare

Europeiska säkerhetsforskare har hittat säkerhetsluckor i programmets PGP (Pretty Good Privacy) vilket kan göra att obehöriga ska kunna läsa krypterad epost i klartext. Exakt vad sårbarheten består av finns det än så länge inga uppgifter om. Forskarna som har upptäckt säkerhetsluckan i PGP kommer att publicera en längre rapport om sårbarheten i morgon tisdag. Electronic Frontier Foundation har varit i kontakt med forskarna och rekommenderar nu att man tillsvidare helt slutar använda PGP. De skriver i ett blogginlägg: "Our advice, which mirrors that of the researchers, is to immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email. Until the flaws described in the paper are more widely understood and fixed, users should arrange for the use of alternative end-to-end secure channels, such as Signal, and temporarily stop sending and especially reading PGP-encrypted email." Tumnagel
35.6°
+
Wille Wilhelmsson
0

Smarta assistenten Alexa kunde avlyssna dig
Forskare "hackade" Amazons smarta assistent

Säkerhetsforskare på företaget Checkmarx upptäckte för ett tag sedan att det gick att skapa så kallade "skills" till Amazons smarta assistent Alexa som kunde avlyssna en användare. Tanken bakom Alexas skills är givetvis att de ska kunna höra vad en användare ber dem utföra för uppgifter. Vad Checkmarx upptäckte var dock att man kunde låta en skill ligga kvar och lyssna passivt på vad användaren sa efter uppgiften utförts. Det som avlyssnades kunde sedan skickas i textform till den utvecklat färdigheten. Checkmarx meddelade Amazon om sårbarheten i Alexa och det här säkerhetshålet ska efter det ha täppts till. Ni kan kolla in hur det hela fungerade i klippet ovan. Det ger kanske ännu en tankeställare om man man faktiskt vill ha en smart assistent i sitt hem. Har du en smart assistent aktiverad hemma? Svara gärna på vår enkät nedan. Tumnagel
30.0°
+
Wille Wilhelmsson
0

Hack till Nintendo Switch publicerade
Nu kan man köra egna grejer på Switchen

De senaste månaderna har diverse hacking-grupper hävdat att de lyckats hacka Nintendos senaste spelkonsol Switch. De senaste dagarna har två stycken lösningar för att till exempel fixa in Linux på en Nintendo Switch publicerat rapporterar Ars Technica. Båda hacken verkar utnyttja en sårbarhet i Nvidias Tegra-chip. Sårbarheten finns i Tegra X1 och utnyttjar funktionen som gör att man ska kunna återställa en maskin via USB-porten. Genom att föra in en liten hemmatillverkad mojäng i kontakten där man ansluter Nintendo Switch högra handkontroll kan man få maskinen att boota upp andra grejer än vad Nintendo ursprungligen hade tänkt sig. En av grupperna som nu publicerat instruktioner för att hacka Nintendo Switch är Fail0verflow. De publicerade igår en bild på en Nintendo Switch som ser ut att köra Nintendos spel Legend of Zelda: Wind Waker genom emulatorn Dolphin. Det ska observeras att skulle man försöka sig på att hacka en Switch så får man givetvis säga hejdå till den eventuella garantin för alltid. Fail0verflow varnar även för att man riskerar att förstöra sin konsol om man försöker att hacka den och skriver bland annat: "If your Switch catches fire or turns into an Ouya, itx27s not our fault. Itx27s stupidly easy to blow up embedded platforms like this with bad software (e.g. all voltages are software-controlled). We already caused temporary damage to one LCD panel with bad power sequencing code. Seriously, do not complain if something goes wrong." Tumnagel
44.5°
+
Wille Wilhelmsson
0

Sårbarheter i kryptovalutan Monero hittade
Inte så anonym som man tidigare trott

Kryptovalutan monero är ett alternativ till bitcoin som blivit ett någorlunda populärt det senaste året. Då sades att det var svårare att identifiera personer som handlade med monero än vad det till exempel är med bitcoin. Nu har ett forskarlag från flera amerikanska universitet hittat två sårbarheter i monero som gör att en obehörig eventuellt kan identifiera en person som överför monero till en annan person. Med de båda metoderna ska man dock bara kunna identifiera vem som skickar monero, inte vem mottagaren är. Moneros totala värde ligger på lite över 3,1 miljarder dollar vilket gör det till världens för tillfället elfte största kryptovalua. Valutan har oftast nämnts i samband med så kallad kryptojacking då den utlovade anonymiteten antagligen tilltalar dem som pysslar med sådant. Forskare uppskattar att högst 25 procent av alla monero-transaktioner har koppling till olika former av kriminell verksamhet. Tumnagel
36.6°
+
Wille Wilhelmsson
0

Apple-anställd bakom läckan av iBoot
Ville göra det enklare att jailbreaka iPhone

I veckan så läckte källkoden till den så kallade iBoot-processen i Apples mobila operativsystem iOS ut på nätet och Motherboard har undersökt hur en så viktig del av iOS kunde läcka ut publikt. Läckan av iBoot kallas av många för en av de allvarligaste läckorna Apple råkat ut för då iBoot säkerställer vad som laddas i i en iPhone då den bootar upp. En eventuell sårbarhet i iBoot skulle både kunna leda till säkerhetsproblem för iPhone-användare och att telefonerna enklare kan jailbreakas. Det var just intresset för att jailbreaka iPhones som gjorde att en Apple-anställd för två sedan stal med sig koden till iBoot från Apple och delade denna med en liten skara vänner som var intresserade av att knäcka iPhones säkerhetsfunktioner. Tanken var aldrig att källkoden till iBoot skulle få någon publik spridning men i takt med tiden gick så fick allt fler människor tillgång till den stulna koden. Delar av koden ska ha postats i olika forum under förra året men det var först den här veckan läckan fick någon större uppmärksamhet då koden postades på kodforumet GitHub. En av de som ursprungligen tog del av den stulna källkoden till iOS säger anonymt till Motherboard: "I was really paranoid about it getting leaked immediately by one of us. Having the iBoot source code and not being inside Apple...thatx27s unheard of. I personally never wanted that code to see the light of day. Not out of greed but because of fear of the legal firestorm that would ensue. The Apple internal community is really full of curious kids and teens. I knew one day that if those kids got it they’d be dumb enough to push it to GitHub." Apple vill inte uppge för Motherboard huruvida man kände till iBoot-läckan innan den postades på GitHub men enligt en Apple-anställd som Motherboard varit i kontakt med ska så ha varit fallet. Det är dock oklart hur länge Apple ska ha känt till att koden varit på vift. Apple har efter det att iBoot-koden läckte till GitHub sett till så att denna är borttagen därifrån och även gjort ett uttalande där man uppger att iOS 9-koden till iBoot ska vara föråldrad och den inte anses vara en säkerhetsrisk för dagens iPhones och iPads. Tumnagel
40.0°
+
Wille Wilhelmsson
0

Hackergrupp fixar in Linux på Nintendo Switch
Spelkonsolen hackad för andra gången

I början av året uppgav moddnings-gruppen "Team-Xecutor" att man hade hackat Nintendos senaste spelkonsol Switch och nu uppger en annan hacking/modding-grupp att man har lyckats peta in Linux i den lilla spelmaskinen. Enligt hackinggruppen fail0verflow så har man hittat en säkerhetslucka i Switch som gör att det går att installera Linux på konsolen. Enligt fail0verflow så är detta en säkerhetslucka som inte går att patcha via mjukvara vilket antagligen innebär att man utnyttjar samma eller en liknande sårbarhet i Switch som Team-Xecutor utnyttjade tidigare i år. Enligt fail0verflow handlar det om en sårbarhet i Nvidias Tegra X1-chip på vilket Switch baseras. Sårbarheten ska ligga i chippets boot-sekvens som läser in mjukvara i konsolen så fort den startas. Detta ska varken gå att fixa via mjukvara eller gå att komma runt då mjukvaran börjar läsas in så fort man sätter igång konsolen. fail0verflow har inte släppt någon konkret information om hur de knäckt Switch men skulle de göra det så skulle givetvis det öppna upp möjligheter för hobby-hackare som vill leka med Switch men även för piratkopiering av spel. Tumnagel
47.7°
+
Wille Wilhelmsson
0
Nästa sida