Quantcast
m

Samsungs Android-modifieringar gör mobiler osäkrare
Enligt Google säkerhetsdivision Project Zero

Google säkerhetsteam Project Zero kritiserar nu Samsung för ändringar de gjort i Androids kernel då man anser att detta har gjort åtminstone en av Samsungs modeller mindre skyddad från angrepp. Enligt Google så ska Samsung ha gjort modifieringar i Androids kernel på Galaxy A50 som i vissa fall gjort telefonen enklare att angripa för obehöriga. Enligt Google så ska Samsung bland annat ha lagt in något slags skydd för att inte angripare ska kunna läsa eller modifiera användardata på telefonen men detta ska enligt Google ha öppnat upp telefonen för andra eventuella säkerhetsproblem. Google Project Zeros säkerhetsforskare Jann Honn skriver i ett blogginlägg: "Samsungx27s protection mechanisms wonx27t provide meaningful protection against malicious attackers trying to hack your phone, they only block straightforward rooting tools that havenx27t been customized for Samsung phones." I blogginlägget beskriver Honn ingående problemet och visar även exempel på hur en obehörig skulle kunna utnyttja modifieringarna Samsung gjort för att attackera en telefon. Sammanfattningsvis avråder Honn leverantörer att göra egna modifieringar i Android-kärna och skriver: "I believe that device-specific kernel modifications would be better off either being upstreamed or moved into userspace drivers, where they can be implemented in safer programming languages and/or sandboxed, and at the same time wonx27t complicate updates to newer kernel releases." Tumnagel
36.8°
+
Wille Wilhelmsson
0
2019
2018

Tjäna 2 miljoner kronor på att hitta buggar i processorer
Microsoft pröjsar den som hittar nästa Spectre-bugg

Microsoft har uppdaterat sitt så kallade buggletarprogram och nu kan den eller de som hittar buggar liknande Spectre och Meltdown belönas med upp till 250.000 dollar, motsvarande cirka 2.050.000 kronor, för detta. Både Spectre och Meltdown var buggar som Google Project Zero upptäckte förra året. Dessa bedömdes vara så allvarliga att hårdvaruföretag nu måste designa om sina framtida processorer för att skydda sig mot så kallad "speculative execution" i processorer. Phillip Misner som arbetar med säkerhet på Microsoft skriver: "Speculative execution is truly a new class of vulnerabilities, and we expect that research is already underway exploring new attack methods. This bounty program is intended as a way to foster that research and the coordinated disclosure of vulnerabilities related to these issues." Tumnagel
45.4°
+
Wille Wilhelmsson
0

Intel designar om sina processorer
För att fixa Meltdown och Spectre-buggarna

Intel verkar ha jobbat hårt med att fixa de båda buggarna Spectre och Meltdown och berättade idag lite mer om hur det ser ut på säkerhetsfronten för deras processorer. I ett blogginlägg skriver Intels VD Brian Krzanich att Intel nu har släppt uppdaterad mjukvara som ska fixa "100%" av Spectre 1-varianter på samtliga produkter som Intel har släppt de senaste fem åren. Förutom det så har man designat om processorernas hårdvara vilket ska innebära att kommande Intel-processorer även ska vara skyddade från variant 2 (Spectre) och variant 3 (Meltdown). Spectre och Meltdown var buggar som Google Project Zero upptäckte förra året. Meltdown-buggen drabbar bara Intel-processorer medan Spectre-buggen även ska kunna påverka processorer från AMD och ARM. Intel kommer att släppa omdesignade Core- och Xeon-processorer till sommaren vilket borde innebära att dessa dyker upp i datorer och servrar några månader efter det. Här ovan kan ni kolla in en genomgång från Intel om Spectre och Meltdown-buggarna. Eller Variant 1, 2 och 3 som Intel har valt att kalla dem. Tumnagel
40.2°
+
Wille Wilhelmsson
0

Säkerhetshål hittade i uTorrent
Populär bit torrent-app kan infekteras med malware

Google Project Zero fortsätter sin jakt på buggiga appar och nu har man hittat några säkerhetshål i den populära bit torrent-programvaran uTorrent. uTorrent är världens mest använda program för att ladda hem torrent-filer och buggarna som nu hittats återfinns i både uTorrent Classic och den webbaserade klienten uTorrent Web. Enligt Tavis Ormandy på Google Project Zero så kan båda klienterna smittas av malware och obehöriga ska även kunna komma åt användarens nedladdningshistorik genom de upptäckta buggarna. BitTorrent, företaget som utvecklar uTorrent, är medvetna om buggarna och ska redan ha patchat uTorrent Web. Det finns även en betaversion av uTorrent Classic där buggarna är fixade och denna förväntas rulla ut till alla användare inom kort. Tumnagel
35.0°
+
Wille Wilhelmsson
0

Google rapporterar ännu ett säkerhetshål i Windows 10
Användare kan bli administratörer

Tidigare i veckan rapporterade Googles säkerhetsdivision Project Zero om en säkerhetsbugg i Microsofts webbläsare Edge och nu skriver Neowin om ett säkerhetshål i Windows 10 som inte heller det är tilltäppt än så länge. Säkerhetshålet i Windows 10 innebär att en användare kan göra sig själv till administratör för datorn även om den egentligen inte borde ha tillgång till adminstratörsrättigheter för datorn. Buggen upptäckte Google i november och meddelade då Microsoft om detta. Google Project Zero har som policy att offentliggöra buggar och säkerhetshål de hittar om inte dessa fixas inom 90 dagar efter Google rapporterat om buggarna till de berörda företagen. Detta är något Google gjort flera gånger tidigare och blivit kritiserade för av bland andra Microsoft. Microsoft anser att säkerhetshålet som Google upptäckt i Windows 10 kan kategoriseras som "important" men inte som "critical" då en användare måste ha fysisk tillgång till datorn för att göra sig själv till adminstratör. Säkerhetsluckan går med andra ord inte att utnyttja via nätet. Det finns inga uppgifter om när Microsoft tänker täta säkerhetshålet och i ett uttalande till Neowin säger en talesperson för Microsoft: "Windows has a customer commitment to investigate reported security issues, and proactively update impacted devices as soon as possible." Tumnagel
38.8°
+
Wille Wilhelmsson
0

Google avslöjar säkerhetsbugg i Microsofts webbläsare Edge
Innan Microsoft fixat denna

Googles säkerhetsavdelning "Project Zero" fortsätter att leta efter och rapportera om säkerhetsbuggar i deras egna och andras applikationer och nu har man rapporterat om ett säkerhetshål i Microsofts webbläsare Edge. Det var lite över 90 dagar sedan Google upptäckte buggen i Edge och då Microsoft än så länge inte har fixat den så släpper Google nu uppgifter om säkerhetshålet offentligt. Detta är något som Google Project Zero oftast gör som standard om inte de säkerhetshålen man upptäcker fixas av mjukvaruleverantörerna. Detta var något som Google gjorde även 2016 när man upptäckte en lite allvarligare säkerhetslucka i Microsofts operativsystem Windows 10. Googles policy om att släppa information om säkerhetshål publikt om de inte fixas på 90 dagar är något som retade upp Microsoft ordentligt 2016 då man ansåg att det riskerade att drabba deras kunder om säkerhetsluckorna offentliggjordes innan de var fixade. Jag antar att Microsofts reaktioner på den senaste buggen Google släppt information om kommer att bli liknande. Anledningen till att Microsoft inte har fixat den nu upptäckta säkerhetsluckan i Edge anger man beror på att buggen var mer svårfixad än vad man först trodde. När man tror att hålet kan vara tätat uppger man inte. Tumnagel
44.5°
+
Wille Wilhelmsson
0

Buggar påverkar nästan alla världens processorer
I mobiler, datorer och annat

Igår skrev vi om en säkerhetsbugg som finns i Intel-processorer som tillverkats det senaste decenniet. Nu har säkerhetsforskare hittat en säkerhetsbugg som påverkar processorer som finns i stort sett alla konsumentprodukter. Buggen som enbart drabbade Intel och som gjorde att program kunde komma åt minnesareor i datorn som de inte borde ha tillgång till kallas Meltdown. Buggen som drabbat processorer från Intel, AMD och ARM kallas för Spectre och ska göra så att obehöriga kan lura appar/program att lämna ut hemlig information. Då buggen drabbar processorer från så många leverantörer kan man nog säga att de flesta datorer, mobiltelefoner, tablets och servrar kan påverkas av det här. Buggarna har upptäckts av Googles säkerhetsdivision Google Project Zero tillsammans med säkerhetsforskare från företag och universitet runt om i världen. Säkerhetsforskarna uppger att både Microsoft och Apple har patchar redo att rulla ut för att fixa de här två buggarna men det är inget som företagen än så länge har bekräftat själva. Tumnagel
32.5°
+
Wille Wilhelmsson
0
2017
2016
2015
2014

Google Project Zero
Google anställer hackers för att säkra internet

Google har presenterat en ny avdelning som man kallar för "Project Zero" och denna avdelnings syfte är att undersöka och förhoppningsvis förbättra säkerheten på nätet. Både när det gäller Googles egna produkter men även andra företags appar, webbsidor och annat samt själva internet i största allmänhet. Man skriver på sin blogg att man gör detta för att förhindra att internetanvändare utnyttjas, övervakas eller på andra sätt råkar illa ut på grund av stater, kriminella eller andra organisationer attackerar dem på internet. Googles Chris Evans säger: "You should be able to use the web without fear that a criminal or state-sponsored actor is exploiting software bugs to infect your computer, steal secrets or monitor your communications. Yet in sophisticated attacks, we see the use of “zero-day” vulnerabilities to target, for example, human rights activists or to conduct industrial espionage. This needs to stop. We think more can be done to tackle this problem. Project Zero is our contribution, to start the ball rolling. Our objective is to significantly reduce the number of people harmed by targeted attacks. We’re hiring the best practically-minded security researchers and contributing 100% of their time toward improving security across the Internet." Buggar, säkerhetsluckor och liknande som Google hittar i sina egna eller andras produkter kommer bara att meddelas till berörda parter och ej spridas till tredje part. Åtminstone inte så länge buggarna åtgärdas. Project Zero kommer att ledas av Chris Evans och man förväntar sig att ett tiotal heltidsanställda säkerhetsanalytiker/hackers kommer att arbeta på avdelningen. Tumnagel
50.4°
+
Wille Wilhelmsson
0
2013