1.ª Fase! Guely Star VS Papá Doop (Rompimento de Kuduro - 10ª Batalha)
רוב האפליקציות הרגישות לאבטחה, אם לא כולן, משתמשות במה שמכונה 'חיבור TLS' כדי ליצור קישור מוצפן מאובטח בין השרתים והטלפון. זה מבטיח כי כאשר אתה, למשל, עושה את הבנקאות שלך בטלפון, אתה בעצם מתקשרים עם הבנק שלך ולא איזה שרת אקראי, מסוכן.
יש רק בעיה אחת קטנה: על פי מאמר שהוצג ביום רביעי בכנס השנתי של יישומי אבטחת המחשב באורלנדו, חוקרים מאוניברסיטת ברמינגהם מצאו תשעה אפליקציות בנקאיות פופולריות לא נקטו באמצעי זהירות נאותים בעת הגדרת חיבור ה- TLS שלהם. יישומים אלה יש בסיס משתמשים משולב של 10 מיליון אנשים, שכל אישורי הכניסה הבנקאית שלהם יכול להיות בסכנה אם זה ניצל לרעה.
"זה רציני, משתמשים בטוחים כי בנקים אלה יכולים לעשות את פעולות האבטחה שלהם", אומר כריס McMahon סטון, אבטחת המחשב דוקטורט באוניברסיטת בירמינגהם, אומר הפוך. "הפגם הזה הוא קבוע עכשיו, אנחנו לחשוף את זה לכל הבנקים המעורבים. אבל אם תוקף ידע על פגיעות זו ואומר שמשתמש מפעיל אפליקציה מיושנת, זה יהיה די טריוויאלי לנצל. הדרישה היחידה היא שהתוקף יצטרך להיות באותה רשת כמו הקורבן שלהם, כך כמו רשת WiFi ציבורית.
הנה רשימה של אפליקציות מושפעות, לפי הנייר.
חיבור TLS אמור להבטיח שכאשר אתה מקליד את פרטי הכניסה של הבנק שלך, אתה רק שולח אותו אל הבנק שלך ואף אחד אחר. אמצעי זהירות זה הוא תהליך דו-שלבי.
זה מתחיל עם בנקים או ישויות אחרות לשלוח מעל אישור חתום cryptographically, אימות כי הם באמת מי הם טוענים להיות. חתימות אלה ניתנות על ידי רשויות האישור, שהן צדדים שלישיים מהימנים בתהליך זה.
לאחר אישור זה - והאפליקציה מוודאת שזה חוקי - יש לאמת את שם המארח של השרת. זה פשוט רק לבדוק את שם השרת שאתה מנסה להתחבר כדי לוודא שאתה לא יצירת חיבור עם מישהו אחר.
זה השלב השני שבו הבנקים האלה הפילו את הכדור.
"חלק מהאפליקציות האלה שאנחנו מגלים בודקות שהאישור נחתם בצורה נכונה, אבל הן לא בדקו את שם המארח כראוי", אומר סטון. "אז הם היו מצפים כל תעודה תקפה עבור כל שרת."
פירוש הדבר שתוקף יכול לזייף תעודה ולהעלות את התקפתו של אדם באמצע. כאשר התוקף מארח את החיבור בין הבנק לבין המשתמש. זה ייתן להם גישה את כל המידע שנשלח במהלך הקשר.
אמנם זה פגם תוקן, אם אתה משתמש בכל היישומים המפורטים לעיל לך צריך ודא שהאפליקציה שלך מעודכנת כדי לקבל את התיקון. סטון גם קורא מאוד לאנשים לעשות את הבנקאות הסלולארית שלהם בבית, אחד הרשת שלהם, כדי למנוע כל אפשרות של אדם ב-באמצע התקפה.
הישאר בטוח באינטרנט, חברים.
שלום קיטי הוא פרוץ: מידע עבור 3.3 מיליון משתמשים הולך Feral
הלו קיטי - אתה יודע, זה צעצוע חסר חיים, עדיין הבעה, רודף-חתלתול צעצוע - היה מסדי נתונים מקוונים שלה נפרץ, פרוצים, ושוחרר לתוך הטבע. (אפשר לומר כי כל פרטי המשתמש הפרטי לכאורה של Sanrio הלך feral.) המידע כלל רק על כל דבר, מן שמות מלאים של משתמשים ו ...
כיצד לתקן אפל "שורש" פגם, אש אשפה של אבטחה רעה
חוקר אבטחה טורקי חשף פגם גדול במערכת ההפעלה MacOS של אפל High Sierra שתאפשר לכל אחד להגיע לרמות העמוקות ביותר שלו.
פייסבוק "הצג כ" תכונה השמאל פתח פגם אבטחה מסיבי
פייסבוק הודיעה ביום שישי כי כ -30 מיליון חשבונות נפרצו על ידי האקר או קבוצת האקרים. הפרת אבטחה אחרונה זו אפשרה לתוקפים למסוק את פרטי הפרופיל של המשתמשים - כגון שם, מגדר ועיר הולדת - ולקחת על עצמם חשבונות מושפעים.