Știrile săptămânii din cybersecurity (13.08.2020)

2020/08/13
Popularitate 1000

Utilizatorii Xiaomi pot transforma senzorul de amprentă într-o cameră video

Un utilizator Xiaomi a demonstrat cum să acceseze fluxul video din senzorul de amprentă digitală al telefonului. Conform demonstrației publicate pe platforma Reddit, utilizatorul Xiaomi Mi 9T poate accesa fluxul de imagini de la senzorul de amprentă opțional, integrat pe afișajul digital de la Goodix, pe dispozitivul său, după instalarea în prealabil a aplicației Activity Launcher. Aplicația oferă utilizatorilor acces la funcții avansate (utilizate pentru debugging) din dispozitiv, dar și la meniuri de calibrare, teste din fabrică și alte demo-uri.

Utilizatorul Reddit specifică însă faptul că aplicația descărcată este una third-party și nu una preinstalată pe dispozitiv. Cu toate acestea, este îngrijorător faptul că o aplicație third-party poate accesa funcționalități ascunse ale telefonului atât de ușor.

În timp ce calitatea imaginii captate este scăzută, acest lucru ridică o serie de întrebări importante din perspectiva securității datelor utilizatorilor.

Germania a pus bazele unei noi agenții pentru consolidarea securității cibernetice

Germania și-a inaugurat marți o nouă agenție de securitate cibernetică, respectiv un departament însărcinat cu actualizarea datelor privind securitatea informatică, pentru a garanta funcționarea fără interferențe a administratiei și economiei naționale, a anuntat guvernul de la Berlin.

Agenția pentru Inovare în Securitate Cibernetică, cu sediul la Halle (estul Germaniei), va avea într-o primă etapă 100 de noi posturi. Până în anul 2023 va primi un buget de aproximativ 350 de milioane de euro. Germania a fost în ultimii ani ținta mai multor atacuri cibernetice grave, printre care s-a evidentiat incursiunea - atribuită Rusiei - în rețeaua de calculatoare a Bundestagului (camera inferioara a parlamentului) în anul 2015, atac în urma căruia a fost afectat și biroul parlamentar al cancelarului Angela Merkel.

Bitdefender: Încuietoarea August Smart Lock Pro permite atacatorilor accesul informatic la dispozitivele de acasă

O vulnerabilitate de securitate prezentă în încuietorile inteligente August Smart Lock Pro permite atacatorilor aflați în preajma acestora să intercepteze datele de acces la rețeaua wi-fi și astfel să controleze toate dispozitivele conectate din locuință.

Bitdefender a descoperit că dispozitivul comunică cu aplicația de instalare de pe telefon în mod criptat, însă cheia de criptare este stocată tocmai în aplicație! Asta permite unui potențial răufăcător să intercepteze traficul de internet și implicit parola rețelei Wi-Fi.

Încuietorile inteligente au devenit foarte populare și sunt folosite inclusiv pentru locuințe care se pot închiria de turiști. Acest tip de încuietori oferă proprietarilor posibilitatea să permită și să revoce accesul în locuință distribuind un cod PIN în momentul rezervării, ceea ce a eliminat nevoia de a se întâlni fizic cu clientul său.

Ce trebuie să faci dacă ai pierdut sau ți-a fost furat telefonul

Una dintre fricile cele mai puternice pe care un utilizator dependent de tehnologie o poate avea este aceea a pierderii telefonului, mai ales dacă vorbim despre un dispozitiv smart. Smartphone-ul nu este doar un terminal mobil cu funcționalități multiple, ci și un instrument dedicat de mult ori autentificării (prin folosirea 2FA), un dispozitiv de stocare a datelor personale, date de card, a memoriilor individuale sau de familie, un manager de parole, un furnizor de servicii la un click distanță sau chiar un instrument de ghidaj. V-ați imaginat vreodată ce ați face dacă deodată nu mai aveți acces la telefon, cum v-ați descurca fără el? Dar dacă altcineva ar intra în posesia lui?

Ei bine, ANCOM a luat în calcul această posibilitate și a publicat recent pe site o serie de recomandări pentru utilizatorii care ajung în această situație.  

120 de vulnerabilități, dintre care 2 zero-day, rezolvate de Microsoft prin lansarea update-urilor de securitate pentru luna august

Actualizările Microsoft dedicate lunii august 2020 (Microsoft August 2020 Patch Tuesday) au abordat nu mai puțin de 120 de vulnerabilități existente până la acea dată, dintre care două critice, zero-day-uri care au fost chiar exploatate în lansarea de atacuri.

Cele două probleme majore menționate anterior se referă la o eroare de spoofing în Windows (atunci când sistemul de operare validează incorect semnături) și un defect de execuție a codului de la distanță în Internet Explorer. Prima vulnerabilitate critică (CVE-2020-1464) putea fi exploatată de un atacator pentru a ocoli caracteristicile de securitate și a încărca fișierele semnate necorespunzător. Problema afectează multe sisteme de operare Windows, inclusiv Windows 7 și Windows Server 2008, pentru care gigantul IT nu va oferi actualizări de securitate, deoarece s-a ajuns la limta stabilită de suport.

Cea de-a doua (CVE-2020-1380) este o problemă referitoare la execuția codului de la distanță, care afectează motorul de script folosit de Internet Explorer. Defectul este legat de modul în care acesta gestionează obiectele în memorie și ar putea fi exploatat prin păcălirea victimelor să viziteze un site web compromis, prin deschiderea unui document de tip Office malițios sau printr-un atac de tip malvertising.


Vizualizat de 939 ori