m

CDPR varnar om Cyberpunk 2077-moddar
Har upptäckt sårbarheter som kan ge skurkar åtkomst till din dator

Cyberpunk 2077-utvecklarna CD Projekt RED släppte förra veckan officiella verktyg som låter folk skapa moddar till spelet. Utvecklarna har dock nu upptäckt sårbarheter som kan uppstå om man använder moddar som skapats med verktygen som låter skurkar köra igång skadlig kod på användarnas datorer, vilket i sin tur kan leda till att hackare kan ta över datorn i fråga. CD Projekt RED meddelar att det nog är bäst för samtliga användare att inte använda moddar som skapats med verktygen tills säkerhetshålen pluggats igen. Bonusvideo nedan med lite moddsnack från Youtubern JuiceHead. Tumnagel
35.0°
+
André Stray
0

Googles säkerhetsnycklar Titan kan klonas
Är dock rätt så komplicerat

Forskare har hittat ett säkerhetshål i Googles hårdvarunycklar "Titan Security Key" vilket innebär att dessa går att klona, något som potentiellt skulle kunna ge obehöriga tillgång till andras datorer och konton på olika tjänster. Det verkar dock inte som om nycklarna går att klona i en handvändning. I en rapport om det hela skriver forskarna att det krävs att en obehörig behöver tillgång till inloggnings-uppgifter, fysisk tillgång till nyckeln som ska klonas, utrustning för tusentals dollar samt många timmars arbete för att kunna klona en nyckel. Dessutom kan administratören för nyckeln göra den ogiltig i det fallet en användare upptäcker att den försvunnit, något som gör att en obehörig antagligen måste genomföra arbetet förhållandevis snabbt för att den klonade nyckeln ska vara användbar. Sannolikheten att man skulle drabbas av det här är med andra ord låg. Att möjligheten finns är dock givetvis oroande då en av tankarna bakom FIDO U2F-protokollet är att det ska vara omöjligt att göra en kopia av en hårdvarunyckel, något som alltså nu inte längre verkar vara fallet. Förutom Googles Titan-nycklar så ska den här attacken gå att använda på hårdvarunycklar från svensk Yubico, Feitan och NXP enligt forskarna. Ni hittar en lista på nycklar som enligt forskarna är sårbara för attacken i faktarutan här nedanför. Google eller någon av de andra tillverkarna har än så länge inte kommenterat sårbarheten i sina hårdvarunycklar. Tumnagel
33.0°
+
Wille Wilhelmsson
0
2020

Säkerhetshål hittat i manligt kyskhetsbälte
Obehöriga kan låsa in användares penisar för alltid

Det brittiska säkerhetsföretaget Pen Test Partners har hittat en säkerhetslucka i det manliga kyskhetsbältet Cellmate Chastity Cage, något som kan ge obehöriga kontroll över vem som kan låsa in användarens penis. Tanken bakom Cellmate Chastity Cage är att en man ska kunna låta sin partner "låsa in" användarens penis. Detta kanske skulle vara intressant om användaren är notoriskt otrogen eller har andra problem med att kontrollera sin penis. Säkerhetsluckan som nu hittats låter obehöriga ta kontrollen över kyskhets-manicken via den tillhörande appen. Det innebär att en obehörig skulle kunna låsa in användarens penis. Än värre är så finns det inget sätt att åsidosätta det kommandot från tillverkaren, det kinesiska företaget Qiui. Det finns inga uppgifter om att säkerhetsluckan i Cellmate Chastity Cage än så länge har drabbat någon av deras användare. Skulle så bli fallet så måste användare klippa upp låset med en bultsax eller kortsluta batterierna i kuklåset. Två saker som man kanske helst undviker att göra i närheten av sin penis. Vi rekommenderar ingen att använda sig av manicker som Cellmate Chastity Cage. Skulle du trots det vara sugen så kostar de 130 dollar styck. Här nedan går Pen Test Partner igenom säkerhetsluckan i Cellmate Chastity Cage. Tumnagel
50.2°
+
Wille Wilhelmsson
0

Nu kan Github hitta säkerhetshål i din kod
Ny funktion på Microsofts programmeringstjänst

Microsoft meddelade igår att man har utvecklat ett system som på egen hand kan leta upp buggar och andra felaktigheter som kan orsaka säkerhetsproblem i kod som utvecklare laddar upp till Github, Microsofts programmeringstjänst för utvecklare. I ett blogginlägg skriver Microsofts om Githubs nya kod-scannings-system: "It scans code as it’s created and surfaces actionable security reviews within pull requests and other GitHub experiences you use everyday, automating security as a part of your workflow. This helps ensure vulnerabilities never make it to production in the first place." Fram tills nu har systemet scannat av 12.000 programmerings-projekt på Github 1,4 miljoner gånger. Microsoft uppger att systemet redan hittat över 20.000 olika buggar och fel i dessa projekt som skulle kunna leda till framtida säkerhetsproblem. Av dessa ska Githubs användare ha fixat till 72% av de upphittade felaktigheterna inom 30 dagar efter att de hittats. Tumnagel
51.9°
+
Wille Wilhelmsson
0

Över en miljard Android-telefoner i riskzon för dataintrång
Sårbarhet hittad i Snapdragon-chipp

I helgen blev det känt att väldigt många Android-enheter riskerar att utsättas av dataintrång. Under säkerhetsmässan DefCon 2020 levererade säkerhetsfirman Check Point en rapport där de skrev om att de hittat över 400 sårbarheter i Qualcomms Snapdragon-chipp. Mer specifikt handlar det om sårbarheter i signalprocessorn, DSP:n, som kan utnyttjas med en nedladdad video eller annat innehåll som renderas av chippet alternativt att åtkomst kan ges åt skurkar genom elakartade appar som inte kräver några behörigheter på telefonen alls. I ett blogginlägg om sårbarheten, som Check Point valt att kalla Achilles, skriver gänget detta: While DSP chips provide a relatively economical solution that allows mobile phones to provide end users with more functionality and enable innovative features– they do come with a cost. These chips introduce new attack surface and weak points to these mobile devices. DSP chips are much more vulnerable to risks as they are being managed as “Black Boxes” since it can be very complex for anyone other than their manufacturer to review their design, functionality or code. Check Point har inte levererat någon detaljerad information om sårbarheterna och kommer inte göra det förrän mobiltillverkarna släppt uppdateringar som täpper till säkerhetshålen. Qualcomm har dock varit snabba med att släppa en fix på problemet, men denna måste implementeras av tillverkare i sina olika versioner av Android. Tumnagel
42.9°
+
André Stray
0

Sårbarhet hittade i Apples säkerhetschip Secure Enclave
Hackers kan komma åt lösenord och annat

Det har kommit uppgifter om att den kinesiska jailbreaking-gruppen Pangu Team har hittat ett säkerhetshål i Apples Secure Enclave-processor, ett säkerhetshål som potentiellt öppnar upp en massa Apple-prylars lagring av lösenord, kreditkortsuppgifter och biometrisk inloggingsdata till Touch ID och FaceID. Secure Enclave är ett chip som hanterar data som krävs för inloggning och betalningar via datorn. Denna data går inte att komma åt direkt från någon av datorns program. När någon app behöver tillgång till denna data så hanteras detta via Secure Enclave som bara skickar tillbaka resultatet, inte själva datan i sig. Säkerhetshålet ska ha fixats i Secure Enclave-chippet i Apples Bionic A12- och A13-chip men finns kvar i Apples chip A7 till och med A11 Bionic. Då det ska handla om en sårbarhet i själva hårdvaran så ska det inte finnas någon mjukvara som kan rätta till det hela. Det innebär att miljontals lite äldre iPhones, iPads och Mac-datorer har sårbarheten permanent. Det krävs dock att en eventuell hacker har fysisk tillgång till prylen för att de ska kunna komma åt datan som lagras på Secure Enclave, något som gör att man inte riskerar att drabbas så länge man har någorlunda koll på var man har sina Apple-prylar. Apple har själva än så länge inte kommenterat säkerhetshålet i Secure Enclave och det är okänt om någon använt sig av sårbarheten för att få tillgång till data från någon av Apples produkter. Här nedan hittas en schematisk bild som visar hur Secure Enclave fungerar när någon använder en inloggnings-funktion vars lösenord lagrats krypterat i Secure Enclave. Tumnagel
32.7°
+
Wille Wilhelmsson
0

Säkerhetslucka hittad i Sign in with Apple
Redan fixad dock

En person vid namn Bhavuk Jain har lyckats hitta ett säkerhetshål i Apples "Sign in with Apple"-inloggningsgrej som gjort honom 100 000 dollar rikare. Luckan hittades med hjälp av tredjepartsappar som inte hade egna säkerhetsåtgärder och via dem kunde han ta över folks konton om han nu hade velat göra det. Jain hittade detta förra månaden och meddelade Apples säkerhetsteam om det redan då. Därför är det redan fixat och några några bevis på att säkerhetsluckan har används någonstans har inte hittats enligt Apple själva. Du kan spana in hur Jain gick tillväga för att hitta säkerhetsluckan via länken nedan. Tumnagel
40.1°
+
Frode Wikesjö
0

Kritisk säkerhetslucka upptäckt i Windows
Har redan börjat utnyttjas av hackers

Microsoft meddelade igår att man har upptäckt en kritisk säkerhetslucka i Windows som kan låta en obehörig installera malware eller ransomware på den drabbade datorn. Det är när användare förhandsgranskar olika dokument med hjälp av "Adobe Type Manager Library" som en obehörig kan baka in kod i dessa dokument som installerar malware. Adobe Type Manager Library är en hjälpfunktion till Windows som ser till att typsnitt renderas som de ska i olika dokument. Den nu aktuella säkerhetsluckan ska finnas i samtliga Windows-versioner som Microsoft fortfarande stödjer och det finns än så länge ingen buggfix som täpper till säkerhetshålet. Microsoft uppger att säkerhetsluckan redan börjat utnyttjas av "hackers" men än så länge ska det inte ha skett i någon större omfattning enligt företaget. Microsoft lär sannolikt släppa en buggfix inom kort men vill man vara säker på att inte drabbas av säkerhetsluckan så kan man tills vidare stänga av "Preview Pane" och "Details Pane" i Windows Explorer. Hur man stänger av och sätter på det syns i videoklippet här nedanför. Tumnagel
33.4°
+
Wille Wilhelmsson
0

Enkelt att klona bilnycklar till miljontals bilar
Inte bara nyckellösa system som är sårbara för hacking

Säkerhetsforskare på belgiska KU Leuven samt brittiska University of Birmingham har släppt en rapport där man kunnat konstatera att det var förhållandevis enkelt att klona bilnycklarna till ett antal bilmodeller som använder chipförsedda fysiska bilnycklar. Forskarna har upptäckt att några äldre bilmodeller från bland annat Toyota, Hyundai och KIA inte har implementerat ett krypteringssystem som används i nycklarna på ett tillräckligt säkert sätt. På grund av detta skulle en obehörig kunna klona någons bilnyckel med en elektronisk dosa för att sedan använda denna och låsa upp bilen med. För att det hela ska fungera krävs dock att den obehörige har fysisk tillgång till bilnyckeln som ska klonas, något som gör den här typen av attacker lite mer komplicerade att genomföra än dem som sker mot bilar med nyckellösa system. Ni hittar vilka bilmodeller som är sårbara för att få sina nycklar klonade i tabellen här nedanför. Där nämns även Tesla Model S från 2018 men Tesla ska ha täppt till det här säkerhetshålet genom en mjukvaru-uppdatering som man skickade ut förra året. Tumnagel
34.2°
+
Wille Wilhelmsson
0

Philips Hue-lampor kunde ge hackare tillgång till ditt nätverk
Uppdatera lamporna för att hålla dig säker

Säkerhetsfirman Check Point meddelar idag att de upptäckt ett säkerhetshål i Philips Hue-lampor som gjorde att skurkar potentiellt skulle kunna ta över ditt nätverk. Genom att utnyttja ett känt säkerhetshål i Zigbee lyckades Check Point installera skadlig kod i en hubb-enhet som i sin tur kunde öppna användarens lokala nätverk för att ge hackaren fjärråtkomst. Det hela upptäcktes redan 2017 och Signify, företaget bakom Philips Hue-systemet, har redan blivit upplysta om problemet och har släppt en uppdatering som täpper till hålet. Äldre Hue-lampor kan dock fortfarande köra den gamla mjukvaran och användare ombeds att ta en titt på sin uppsättning lampor för att kontrollera att samtliga uppdaterats till version 1935144040. Tumnagel
31.9°
+
André Stray
0
2019

Säkerhetslucka upptäckt hos Voi
Obehörig kunde komma åt information om en miljon Voi-kunder

DI Digital rapporterar att elsparkcykeltjänsten Voi har haft en säkerhetslucka i sitt system som gjort att obehöriga tidigare har kunnat komma åt information från företagets kvittosystem. Säkerhetsluckan ska ha upptäckts av en av Vois egna användare. Användaren upptäckte att det gick att komma åt namn och epost-adresser till över en miljon av Vois användare från flera olika europeiska marknader. När felet upptäcktes ska säkerhetsluckan ha tätats omgående. Det är Voi själva som har anmält säkerhetsluckan i sitt kvittosystem till Datainspektionen. Voi uppger i ett mail till Dagens Industri att man inte tror att någon obehörig ska ha kommit över kvittouppgifter medan säkerhetshålet fortfarande var öppet:. "Vår interna utredning visar att inga kvitton faktiskt läckte ut, men bakgrunden till anmälan var att vi hade en sårbarhet i vårt system som uppmärksammades av en person utanför Voi." Tumnagel
30.4°
+
Wille Wilhelmsson
0

Android-buggar mer lönsamma än iOS-buggar för buggletare
Första gången det händer

ZDNet rapporterar att företaget Zerodium har uppdaterat prislistan för vad man betalar för olika typer av buggar och säkerhetshål som privata utvecklare och buggletare hittar i operativsystem till mobiltelefoner. För första gången någonsin så betalar nu företaget mer för buggar och säkerhetsluckor till Android än vad man gör för motsvarande okända säkerhetsluckor i iOS. Skulle man hitta en bugg som ger en obehörig tillgång till en Android-telefon utan att ha fysisk tillgång till den aktuella telefonen så betalar Zerodium upp till 2,5 miljoner dollar för det. Motsvarande belöning för säkerhetsluckor i iOS som gör samma sak ligger nu på upp till 2 miljon dollar. Det kan nämnas att Apple själva betalar upp till 1 miljon dollar för de okända säkerhetsluckor som Zerodium säger sig betala upp till 2 miljoner dollar för. Zerodiums är ett företag som säljer vidare information om hur man utnyttjar buggar och säkerhetsluckor på datorer och mobiler till statliga myndigheter eller andra statliga intressen som vill ha tillgång till dessa av en eller annan anledning. Här nedanför hittar ni Zerodiums senaste prislista. Tumnagel
39.3°
+
Wille Wilhelmsson
0

Google hittade sex buggar i Apples iMessage
Fem av dem ska vara fixade nu

Googles buggletar-team Project Zero ska ha hittat sex stycken buggar i Apples meddelande-app iMessage varav fem av dem ska ha fixats i iOS 12.4 som släpptes förra veckan. Den sjätte buggen som Google hittade ska dock inte vara fixad enligt Project Zero och de drar därför tillbaka dokumentationen där man beskriver den specifika buggen i iMessage och hur dessa skulle kunna utnyttjas. Seriösa säkerhetsforskare publicerar oftast aldrig information om säkerhetshål innan man gett utvecklarna bakom produkten en angiven tidsperiod att fixa buggarna, något som Apple alltså inte verkar ha gjort för alla buggar/säkerhetshål ännu. Varför Apple inte har fixat alla buggarna i iMessage är oklart och inte heller något som Apple har kommenterat än så länge. Skulle någon utnyttja buggen som än så länge inte fixats så skulle en obehörig kunna köra program (exekvera kod) genom att skicka ett särskilt utformat textmeddelande som aktiverar exekveringen när mottagaren öppna meddelandet. Har ni inte installerat iOS 12.4 ännu så är det läge att göra det nu. Tumnagel
36.5°
+
Wille Wilhelmsson
0

Facebook Messenger Kids lät barn prata med okända
Precis det appen designades för att inte göra

Facebooks chatt-app för barn, Messenger Kids, verkar ha varit försedd med ett slags säkerhetshål som lät användare chatta med okända personer via appen, något som appen specifikt designats för att inte göra. Messenger Kids är en app som låter föräldrar välja ut och godkänna personer som deras barn kan chatta med via appen. Detta ska ha fungerat fint så länge det handlade om samtal en-till-en men när det kom till gruppchattar har det funnits en möjlighet som gjorde att användare även kunde chatta med personer som deras föräldrar inte godkänt. Detta på grund av att godkända användare kunde bjuda in användare som varit godkända från deras håll men inte av föräldrar till andra användare som bjudits in. Säkerhetsluckan, buggen eller vad man ni vill kalla det ska ha lett till att tusentals användare av Messenger Kids ska ha gruppchattat med personer som ej godkänts av deras föräldrar. Efter att Facebooks uppmärksammats om det hela så verkar dock den här möjligheten nu vara avstängd i Messenger Kids. I ett uttalande säger Facebook: "We recently notified some parents of Messenger Kids account users about a technical error that we detected affecting a small number of group chats. We turned off the affected chats and provided parents with additional resources on Messenger Kids and online safety." Tumnagel
25.4°
+
Wille Wilhelmsson
0

Google återkallar Titan Security Key
Hårdvarunycklarna går att hacka via bluetooth

Förra sommaren släppte Google sina egna hårdvarunycklar Titan Security Key men dessa verkar tyvärr ha haft ett säkerhetshål som gjort att obehöriga eventuellt skulle kunna hacka dem. Säkerhetsluckan i Googles hårdvarunycklar handlar om en sårbarhet i bluetooth-implementationen på nycklarna. Den gör att en obehörig som befinner sig inom räckvidd för nyckeln, cirka tio meter, skulle kunna ansluta sin egen maskin till nyckeln när användaren aktiverar den. För att det hela ska fungera krävs dock att den obehörige även har tillgång till användarens inloggningsuppgifter. Har man en köpt en osäker Titan Security Key så kan man byta ut dessa gratis här. Tumnagel
28.3°
+
Wille Wilhelmsson
0

Israeliskt företag installerade spyware på WhatsApp
Pegasus kunde övervaka allt som skedde på telefonen

Financial Times rapporterar att det hemlighetsfulla israeliska säkerhetsföretaget NSO Group har utnyttjat ett säkerhetshål i Facebooks meddelandeapp WhatsApp. Enligt FT så ska NSO Group på det sättet kunnat installera sitt spyware-program Pegasus, ett program vi skrivit om lite tidigare, på ett okänt antal mobiltelefoner via WhatsApp. Enligt FT så kunde NSO Group sprida Pegasus vidare genom samtal som gjordes genom WhatsApp, även om den uppringde inte svarade på samtalet. Därefter var det fritt fram för NSO Group eller den som köpt deras programvara att börja övervaka de infekterade mobiltelefonerna. WhatsApp upptäckte intrånget tidigare den här månaden och har nu skickat ut en uppdaterad version av appen som tätar det aktuella säkerhetshålet. WhatsApp pekar inte direkt ut NSO Group som ansvariga men säger själva om intrånget: "This attack has all the hallmarks of a private company known to work with governments to deliver spyware that reportedly takes over the functions of mobile phone operating systems. We have briefed a number of human rights organisations to share the information we can, and to work with them to notify civil society." NSO Group uttalar sig sällan om sin verksamhet men det bedöms att minst 45 länder eventuellt kan använda Pegasus för att övervaka sina egna och andras medborgare. Exakt vilka dessa länder är finns det ingen komplett lista över men Saudiarabien och andra länder som har en rätt vidrig historia när det gäller mänskliga rättigheter uppges finnas på NSO Groups kundlista. Tumnagel
28.1°
+
Wille Wilhelmsson
0

Hacker kunde spåra tusentals bilar via gps-appar
Lösenordet var 123456

En hacker som går under namnet "L&M" säger till Motherboard att han hackat två stycken gps-appar till bilar som gör att han kunde hålla kontroll på var tusentals bilar befinner sig i realtid. Det ska handla om de båda systemen iTrack och Protrack som både verkar använda "123456" som standardlösenord när systemen levereras. Detta ska givetvis användare byta ut omgående men det funkar som bekant inte riktigt med alla användare. Hacket var förhållandevis simpelt då L&M tog fram ett program som brute force:ade fram en lång rad användarnamn av de båda GPS-apparna. Därefter fick ett annat program försöka logga in dessa användare med standardlösenordet vilket verkar ha fungerar fint på tusentals konton. Sammanlagt uppger L&M att han kunde se var 27.000 bilar som använder systemen befann sig runt om i världen. Bilar som körde långsammare än 20 km/h eller stod helt stilla kunde hackern även stänga av motorn på. L&M säger själv till Motherboard att han inte gjort det här för att han på något sätt vill skada de båda företagens kunder, istället handlar det om att han vill påvisa deras bedrövliga säkerhet: "My target was the company, not the customers. Customers are at risk because of the company. They need to make money, and donx27t want to secure their customers." Det verkar inte som om de båda företagen för tillfället kommer göra något för att täta det här säkerhetshålet. iTrack svarade inte ens på mailet som Motherboard skickade till dem och ProTrack förnekar att någon obehörig tagit sig in i deras systen, fastän L&M visat bevis att så är fallet, bevis som Motherboard har bekräftat. När det gäller ProTracks lösenordsförfarande så anser man att detta är standard inom branschen och säger i en kommentar till Motherboard: "Our system is working very well and change password is normal way for account security like other systems, any problem? What’s more, why you contact our customers for this thing which make them to receive this kind of boring mail. Why hacker contact you?" Tumnagel
31.5°
+
Wille Wilhelmsson
0

Två av tre hotell kan ha läckt data om sina gäster
Enligt undersökning från Symantec

Säkerhetsföretaget Symantec har undersökt hur bra hotell och hotelltjänster är på att skydda sina kunders data och det verkar tyvärr ha funnits stora brister på det området enligt rapporten. Symantec har undersökt hur 1500 hotell i Europa, USA och Kanada hanterar sina hotellbokningar och då upptäckt att 67 procent av dessa skickade ut sina bekräftelsemail på ett osäkert sätt. Säkerhetproblemet som kan leda till läckage av gästernas data består av en länkar i bekräftelsemailen som kan skicka vidare kunden till webbsajter där de kan ändra sina bokningar utan att behöva logga in på tjänsten igen. Det innebär att en obehörig i vissa fall enbart skulle behöva veta en persons namn och epostadress för att automatiskt kunna logga in på en webbsajt där hotellgästens fullständiga adress, bokningar, passnummer och annan känslig information går att hitta, se exempel nedan. De flesta hotellen som Symantec undersökt verkar inte ha varit medvetna om problemet. Symantec uppger nu att de flesta av hotellen som var med i undersökningen täppt till säkerhetshålet men inte alla. Man uppger inte vilka hotell och hotelltjänster man undersökt. Tumnagel
26.5°
+
Wille Wilhelmsson
0

Hundratusentals personuppgifter läckta från Voi
Elsparkcyckelsföretaget skyddade inte sin data

SVT Nyheter rapporterar att personuppgifter om hundratusentals kunder till det svenska elsparkcykel-företaget Voi legat helt öppna på nätet och varit möjliga att komma åt av vem som helst. Det var det tyska företaget Bayerischer rundfunk som avslöjar det hela och uppger att uppgifter som till exempel namn, epostadress och telefonnummer till Voi:s kunder legat öppna på nätet. Caroline Hjelm, presschef på Voi skriver i ett mejl till SVT Nyheter: "Uppgifterna om att 460 000 användare skall ha läckt är felaktiga. Det rör sig om cirka 100 000 emailadresser och i vissa fall även personnamn och telefonnummer enligt våra efterforskningar. Det rör sig således inte om betalkortsuppgifter eller annan känslig data. Jag vill också understryka att uppgifterna alltså inte läckt på internet utan att det bara är ett, av Bayerischer rundfunk, belyst problem." Voi ska själva ha anmält händelsen till Datainspektionen och uppger att säkerhetshålet nu ska vara tilltäppt. Tumnagel
10.7°
+
Wille Wilhelmsson
0

WinRar-bugg ledde till över hundra olika malwares
Uppdatera Winrar om du inte redan gjort det

I februari publicerade säkerhetsföretaget Check Point information om en bugg som legat gömd hela 19 år i komprimeringsprogrammet WinRar till Windows. Nu uppger Check Point att man har kunnat identifiera över hundra stycken så kallade malwares som baseras på det gamla säkerhetshålet och som släppts ut på nätet efter Check Points publicering. Skulle en användare med äldre versioner av WinRar packa upp ett av dessa malwares så riskerar de att ge obehöriga full tillgång till den egna datorn. I WinRar 5.70 som släpptes i slutet av januari är den aktuella säkerhetsluckan tätad. Den måste dock laddas hem och installeras manuellt och använder du WinRar så rekommenderar vi att du gör det om du inte redan gjort det. I videoklippet ovan kan ni se hur malware attackerar en dator som blivit infekterad via den numera tätade WinRar-buggen. Tumnagel
36.1°
+
Wille Wilhelmsson
0
2018

Skrivare hackade för att promotea Pewdiepie
Kriget mot T-Series tog en intressant vändning

Möjligtvis har ni inte missat att Felix Kjellberg, även känd som Pewdiepie, riskerar att förlora titeln som världens största Youtuber mot den indiska kanalen T-series. T-series har växt explosionsartat den senaste tiden och har närmat sig Pewdiepies prenumerationsantal med stormsteg. I hopp om att rädda upp situationen bestämde sig en hackare vid namn TheHackerGiraffe att dra nytta av ett känt säkerhetshål i ett gäng skrivare för att uppmana skrivarens ägare att avprenumerera på T-series och börja prenumerera på Pewdiepie. Meddelandet rullades ut på 50.000 skrivare runt om i världen. I ett uttalande till The Verge skriver TheHackerGiraffe detta: “People underestimate how easy a malicious hacker could have used a vulnerability like this to cause major havoc- Hackers could have stolen files, installed malware, caused physical damage to the printers and even use the printer as a foothold into the inner network. The most horrifying part is: I never considered hacking printers before, the whole learning, downloading and scripting process took no more than 30 minutes.” För övrigt är Felix fortfarande världens största Youtuber och har över 300.000 fler prenumeranter än T-series. Ovan har ni ett avsnitt av Pewdiepies nyhetsprogram Pew News där han pratar om situationen. Tumnagel
48.6°
+
André Stray
0

Uppdaterad Meddelande till PS4 kan krascha konsolen
Ändra så att endast vänner kan skicka meddelanden till dig

Vi har tidigare sett textfraser i meddelande göra livet surt för mobila användare, men det verkar även som att spelkonsoler är känsliga för vissa meddelanden. En ny bugg har hittats som gör att en användares PS4 kan krascha om ett specifikt meddelande öppnas på konsolen. Hur meddelandet påverkar konsolen verkar variera. Vissa användare meddelar att konsolen fungerar igen efter en omstart, medan andra har behövt göra en komplett återställning av enheten. Tror du att du har fått detta lökiga meddelande och är orolig kan du ladda ner Playstation-appen till telefonen och sedan öppna meddelandet på luren och sedan radera det. Vill du skydda dig helt från det elaka meddelandet så kan du ändra inställningarna så att endast vissa, eller ingen, kan skicka meddelande till dig. Detta gör du via sekretessinställningarna för ditt konto på Playstation 4. Vi har kontaktat Sony om händelsen och uppdaterar om gänget levererar svar. Uppdatering: Sony är medvetna om problemet och jobbar för tillfället på en mjukvaruuppdatering för att täta säkerhetshålet. När uppdateringen släpps är okänt, men borde dyka upp inom kort. Tumnagel
35.7°
+
André Stray
0

Hejdå Google+
Google skrotar sin sociala medieplattform efter säkerhetsfuckup

Google meddelade igår att man kommer att stänga ner sin sociala medie-tjänst Google+ som man lanserade som en "facebookdödare" för sju år sedan. Anledningen till att tjänsten stängs ner beror på en säkerhetslucka som upptäcktes tidigare i år som gjorde att obehöriga kunde komma åt vissa användaruppgifter på tjänsten även om dessa var markerade som "privata". Det ska handla om grejer som till exempel användares namn, epost, yrke, kön och ålder. Inga inloggningsuppgifter eller inlägg som postats på tjänsten ska ha läckt ut. Google tätade säkerhetsluckan i mars men meddelade inte de användare som eventuellt hade fått sina privata uppgifter exponerade för obehöriga. Enligt Wall Street Journal kan det ha rört sig om hundratusentals användare som drabbats. Google skriver i ett blogginlägg att man inte har kunnat hittat något som tyder på att någon faktiskt utnyttjat säkerhetshålet eller att någon Google+-användares privata uppgifter har läckt ut. Google+ nedstängning gäller bara konsumentdelen av tjänsten och företagsdelen kommer fortsatt att leva kvar. Google planerar att stänga ner Google+ i sakta takt under 10 månaders tid så att de få som faktiskt använder tjänsten får tid på sig att hitta alternativ. I augusti 2019 planerar Google att stänga ner Google+ för gott. Tumnagel
53.5°
+
Wille Wilhelmsson
0

Tinder börjar kryptera användarnas bilder
På tiden!

Tidigare i år utsattes Tinder för en attack där skurkarna använde sig utav ett säkerhetshål för att lägga vantarna på användares profilbilder i appen. Nu har Tinder styrt upp situationen och har börjat kryptera bilder som skickas mellan appen och Tinder-servrarna, vilket betyder att dina profilbilder är i relativt säkert förvar. Utöver detta har Tinder även lagt till ytterligare en säkerhetsfunktion som handlar om att Tinder nu ser till att data som rensas från servrarna håller samma storlek, vilket gör det svårare för utomstående att differentiera mellan olika handlingar. Tumnagel
41.6°
+
André Stray
0

Ticketmaster har hackats
Användarkonton på drift

Den stora biljett-tjänsten Ticketmaster har råkat ut för ett datorintrång och detta har man meddelat sina kunder via mail. Ticketmaster skriver att det på grund av ett säkerhetshål i en programvara från ett tredjepartsföretag så kan eventuellt kunders användarinformation ha läckt ut. Detta ska gälla användare som köpt biljetter från Ticketmaster mellan september 2017 och 23 juni 2018. Som vanligt när sådant här händer så rekommenderar vi att ni byter era lösenord om ni vet med er att ni har konto hos Ticketmaster. Tumnagel
29.0°
+
Wille Wilhelmsson
0

Säkerhetshål hittat i PGP:s kryptering
Sluta använda det tillsvidare

Europeiska säkerhetsforskare har hittat säkerhetsluckor i programmets PGP (Pretty Good Privacy) vilket kan göra att obehöriga ska kunna läsa krypterad epost i klartext. Exakt vad sårbarheten består av finns det än så länge inga uppgifter om. Forskarna som har upptäckt säkerhetsluckan i PGP kommer att publicera en längre rapport om sårbarheten i morgon tisdag. Electronic Frontier Foundation har varit i kontakt med forskarna och rekommenderar nu att man tillsvidare helt slutar använda PGP. De skriver i ett blogginlägg: "Our advice, which mirrors that of the researchers, is to immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email. Until the flaws described in the paper are more widely understood and fixed, users should arrange for the use of alternative end-to-end secure channels, such as Signal, and temporarily stop sending and especially reading PGP-encrypted email." Tumnagel
35.6°
+
Wille Wilhelmsson
0

Smarta assistenten Alexa kunde avlyssna dig
Forskare "hackade" Amazons smarta assistent

Säkerhetsforskare på företaget Checkmarx upptäckte för ett tag sedan att det gick att skapa så kallade "skills" till Amazons smarta assistent Alexa som kunde avlyssna en användare. Tanken bakom Alexas skills är givetvis att de ska kunna höra vad en användare ber dem utföra för uppgifter. Vad Checkmarx upptäckte var dock att man kunde låta en skill ligga kvar och lyssna passivt på vad användaren sa efter uppgiften utförts. Det som avlyssnades kunde sedan skickas i textform till den utvecklat färdigheten. Checkmarx meddelade Amazon om sårbarheten i Alexa och det här säkerhetshålet ska efter det ha täppts till. Ni kan kolla in hur det hela fungerade i klippet ovan. Det ger kanske ännu en tankeställare om man man faktiskt vill ha en smart assistent i sitt hem. Har du en smart assistent aktiverad hemma? Svara gärna på vår enkät nedan. Tumnagel
30.0°
+
Wille Wilhelmsson
0

Mobiltillverkare fular med säkerhetsuppdateringar
Många ljuger om implementering i uppdateringar

Varje månad släpper Android-utvecklarna säkerhetsuppdateringar till operativsystemet som täpper diverse säkerhetshål. Därefter är det upp till mobiltillverkare att peta in patchen i sin mjukvara och sedan leverera uppdateringen till sina användare. Vissa företag är bättre än andra på detta, men ett tyskt säkerhetsföretag vid namn Security Research Labs har upptäckt att det inte bara slarvas med säkerhetsuppdateringar utan vissa företag rent utav ljuger om implementering. I sin granskning undersökte företaget 1200 mobiltelefoner och varje uppdatering som släppts till enheterna under 2017. Resultatet är rätt trist. Karsten Nohl säger detta till Wired om undersökningen: "We find that therex27s a gap between patching claims and the actual patches installed on a device. It’s small for some devices and pretty significant for others. Sometimes these guys just change the date without installing any patches. Probably for marketing reasons, they just set the patch level to almost an arbitrary date, whatever looks best." Security Research Labs meddelar att mobiltillverkare som Samsung och Sony är bäst på att leverera säkerhetsuppdateringar med en eller färre uppdateringar per telefon. I andra änden har vi HTC, Huawei, LG och Motorola med 3-4 missade säkerhetsuppdateringar per telefon under 2017, vilket känns sådär. I samband med detta har Security Research Labs släppt en app vid namn SnoopSnitch som låter dig själv se om din telefon har den senaste säkerhetsuppdateringen eller ej. Appen hittar ni här: SnoopSnitch på Play Store. Hela Wireds reportage hittar ni via länken här nere till vänster. Tumnagel
21.2°
+
André Stray
0

Cortana är aktivt även om Windows 10 är låst
Kan leda till säkerhetsproblem

Två israeliska säkerhetsexperter hittade för ett tag sedan en säkerhetslucka som gjorde att obehöriga kunde installera oönskad programvara på låsta Windows 10-datorer. Säkerhetsluckan använde sig av Microsofts röststyrda assistent Cortana för att lura Windows 10:s webbläsare att gå till en okrypterad webbsida. Anropet till denna webbsidan kapades sedan och skickade datorn vidare till en annan webbsida där den oönskade programvaran installerades. Microsoft ska nu ha tätat det här hålet men säkerhetsforskarna säger att Cortana fortsätter att lyssna på röstkommandon även om Windows 10 är låst och man försöker nu se om det finns andra säkerhetshål som går att utnyttja med Cortana på Windows 10. Tumnagel
26.5°
+
Wille Wilhelmsson
0

Säkerhetshål hittade i uTorrent
Populär bit torrent-app kan infekteras med malware

Google Project Zero fortsätter sin jakt på buggiga appar och nu har man hittat några säkerhetshål i den populära bit torrent-programvaran uTorrent. uTorrent är världens mest använda program för att ladda hem torrent-filer och buggarna som nu hittats återfinns i både uTorrent Classic och den webbaserade klienten uTorrent Web. Enligt Tavis Ormandy på Google Project Zero så kan båda klienterna smittas av malware och obehöriga ska även kunna komma åt användarens nedladdningshistorik genom de upptäckta buggarna. BitTorrent, företaget som utvecklar uTorrent, är medvetna om buggarna och ska redan ha patchat uTorrent Web. Det finns även en betaversion av uTorrent Classic där buggarna är fixade och denna förväntas rulla ut till alla användare inom kort. Tumnagel
35.0°
+
Wille Wilhelmsson
0
Nästa sida