Εμφάνιση 1-7 από 7
  1. #1
    Εγγραφή
    22-09-2003
    Μηνύματα
    81.927
    Downloads
    218
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    Wind
    Router
    Technicolor DGA4130
    SNR / Attn
    6(dB) / 2.8(dB)
    Path Level
    Interleaved
    Apple
    Ευπάθειες που παρέμειναν μη εντοπισμένες για μια δεκαετία άφησαν χιλιάδες εφαρμογές macOS και iOS ευάλωτες σε επιθέσεις supply chain. Οι χάκερς θα μπορούσαν να έχουν προσθέσει κακόβουλο κώδικα θέτοντας σε κίνδυνο την ασφάλεια εκατομμυρίων ή δισεκατομμυρίων ανθρώπων που τις εγκατέστησαν, δήλωσαν ερευνητές τη Δευτέρα.

    Οι ευπάθειες, οι οποίες διορθώθηκαν τον περασμένο Οκτώβριο, βρίσκονταν σε έναν διακομιστή "trunk" που χρησιμοποιείται για τη διαχείριση του CocoaPods, ενός αποθετηρίου για έργα ανοιχτού κώδικα Swift και Objective-C από το οποίο εξαρτώνται περίπου 3 εκατομμύρια εφαρμογές macOS και iOS. Όταν οι προγραμματιστές κάνουν αλλαγές σε ένα από τα "pods" τους - η ορολογία των CocoaPods για τα μεμονωμένα πακέτα κώδικα - οι εξαρτώμενες εφαρμογές συνήθως τις ενσωματώνουν αυτόματα μέσω ενημερώσεων εφαρμογών, συνήθως χωρίς να απαιτείται αλληλεπίδραση από τους τελικούς χρήστες.

    "Πολλές εφαρμογές μπορούν να έχουν πρόσβαση στις πιο ευαίσθητες πληροφορίες ενός χρήστη: στοιχεία πιστωτικών καρτών, ιατρικά αρχεία, ιδιωτικό υλικό και πολλά άλλα", έγραψαν ερευνητές της EVA Information Security, της εταιρείας που ανακάλυψε την ευπάθεια. "Η έγχυση κώδικα σε αυτές τις εφαρμογές θα μπορούσε να επιτρέψει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε αυτές τις πληροφορίες για σχεδόν κάθε κακόβουλο σκοπό που μπορεί να φανταστεί κανείς -ransomware, απάτη, εκβιασμός, εταιρική κατασκοπεία... Στην πορεία, θα μπορούσε να εκθέσει τις εταιρείες σε μεγάλες νομικές ευθύνες ".

    Οι τρεις ευπάθειες που ανακάλυψε η EVA προέρχονται από έναν ανασφαλή μηχανισμό ηλεκτρονικού ταχυδρομείου επαλήθευσης που χρησιμοποιείται για τον έλεγχο ταυτότητας των προγραμματιστών μεμονωμένων pods. Ο προγραμματιστής εισάγει τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με το pod του. Ο διακομιστής κορμού απαντούσε στέλνοντας έναν σύνδεσμο στη διεύθυνση. Όταν ένα άτομο έκανε κλικ στο σύνδεσμο, αποκτούσε πρόσβαση στο λογαριασμό.

    Πηγή : ArsTechnica

  2. #2
    Εγγραφή
    27-05-2006
    Περιοχή
    Άγιοι Ανάργυροι
    Ηλικία
    53
    Μηνύματα
    14.581
    Downloads
    21
    Uploads
    1
    Τύπος
    Other / Άλλο
    Ταχύτητα
    300/30,1g/1g,600/120,450/
    ISP
    CosFTTH-5G, Inalan,Vod5G
    DSLAM
    ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
    Router
    UntangleVM on esxi
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    Οι χάκερς θα μπορούσαν να έχουν προσθέσει κακόβουλο κώδικα θέτοντας σε κίνδυνο την ασφάλεια εκατομμυρίων ή δισεκατομμυρίων ανθρώπων που τις εγκατέστησαν, δήλωσαν ερευνητές τη Δευτέρα.
    Για αυτό δηλαδή είναι σίγουροι ε?
    There's no substitute for experience
    CorollaClub

  3. #3
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.081
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από BlueChris Εμφάνιση μηνυμάτων
    Για αυτό δηλαδή είναι σίγουροι ε?
    Ας ξανασκεφτούμε (επιτέλους) τους τρόπους που προγραμματίζουμε.

    Παλαιότερα, στήναμε το περιβάλλον (και εργαζόμουν σε εταιρία με μεγάλο αριθμό devs) και γράφαμε πρακτικά με μόνο τοπικές βιβλιοθήκες.
    Αυτές ενημερωνόταν από κάποιο/ους μετά από ελέγχους μήπως κάνουν break κάτι (και αν).

    Τώρα σε κάθε build πχ στο android studio, από κάποιο απομακρυσμένο repository φέρνει βιβλιοθήκες και κώδικα up-to-date που ένας θεός
    ξέρει τι μπορεί κάποιος που έχει πρόσβαση να προσθέσει. Ένα DNS spoofing σε Η/Υ του τμήματος πληροφορικής κάποιας τράπεζας και
    αντικαθιστάς το AndroidX και τσααακ, στην επόμενη έκδοση του web banking App της, έχεις γεμίσει κωδικούς.

    Μη πούμε κρατικές υπηρεσίες τι παπάδες μπορούν να κάνουν σε συνεργασία με "επίσημους" φορείς.

    Πάει, το Local πέθανε
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

  4. #4
    Εγγραφή
    06-07-2005
    Περιοχή
    Νέα Υόρκη
    Ηλικία
    49
    Μηνύματα
    11.819
    Downloads
    6
    Uploads
    2
    Τύπος
    Cable
    Ταχύτητα
    300 Mbps down/10 Mbps up
    ISP
    Spectrum
    Παράθεση Αρχικό μήνυμα από zardoz Εμφάνιση μηνυμάτων
    Πάει, το Local πέθανε
    Γιατί το λες σαν να είναι κακό; Στο σενάριο που περιγράφεις κάθε εταιρεία που χρησιμοποιεί παρόμοιες βιβλιοθήκες με εσάς ανακαλύπτει ξανά τον τροχό με το να φτιάχνει υλοποιήσεις πολύ παρόμοιες, αν όχι ταυτόσημες, με τις βιβλιοθήκες που φτιάχνατε εσείς. Τώρα απλά χρησιμοποιείς βιβλιοθήκες που έρχονται από αλλού, και οι διάφορες εταιρείες κερδίζουν χρόνο και χρήμα με το κατ' ουσίαν outsourcing.

  5. #5
    Εγγραφή
    19-02-2022
    Μηνύματα
    202
    Downloads
    0
    Uploads
    0
    ISP
    Vodafone
    Αν η επιλογή του local / remote έχει γίνει κατόπιν risk assessment δεν βλέπω κανένα πρόβλημα…

  6. #6
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    55
    Μηνύματα
    2.081
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από tsigarid Εμφάνιση μηνυμάτων
    Γιατί το λες σαν να είναι κακό; Στο σενάριο που περιγράφεις κάθε εταιρεία που χρησιμοποιεί παρόμοιες βιβλιοθήκες με εσάς ανακαλύπτει ξανά τον τροχό με το να φτιάχνει υλοποιήσεις πολύ παρόμοιες, αν όχι ταυτόσημες, με τις βιβλιοθήκες που φτιάχνατε εσείς. Τώρα απλά χρησιμοποιείς βιβλιοθήκες που έρχονται από αλλού, και οι διάφορες εταιρείες κερδίζουν χρόνο και χρήμα με το κατ' ουσίαν outsourcing.
    Ποτέ δεν ξανα-ανακαλύπταμε τον τροχό.

    1. Είχαμε αξιόπιστες βιβλιοθήκες ΤΡΙΤΩΝ τοπικά και κάποιος τις αναβάθμιζε μετά από έλεγχο.
    2. Δεν ανεβάζαμε βιβλιοθήκες (μας) στον αέρα (για ποιο λόγο πρώτιστα)
    3. Ακόμα και ολόκληρο το development enviroment ήταν προκαθορισμένο (συνήθως σε VM) και δεν επιδεχόταν αναβαθμίσεις χωρίς λόγο

    Τώρα, π.χ στο maven repository της Google, υπάρχουν οι androidX compatibility libraries που ουσιαστικά είσαι υποχρεωμένος να
    χρησιμοποιήσεις για να έχεις συμβατότητα σε όλες (όσες επιθυμείς) εκδόσεις του android.

    Αν εγώ, κακόβουλα, χακάρω το DNS είτε εντός είτε εκτός της εταιρίας (με τη βοήθεια του παρόχου ή εκμεταλλευόμενος ευπάθειες της διαδρομής)
    και σου δώσω πειραγμένες βιβλιοθήκες, στην επόμενη έκδοση που θα κάνεις build θα έχει και δικό μου κώδικα.

    Με κυβερνητικές οδηγίες μάλιστα αυτό γίνεται ακόμα πιο εύκολα.
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και κατεβαίνουν
    από εδώ: https://play.google.com/store/apps/d...=Carbon+People

  7. #7
    Εγγραφή
    07-03-2006
    Ηλικία
    42
    Μηνύματα
    522
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    Οι τρεις ευπάθειες που ανακάλυψε η EVA προέρχονται από έναν ανασφαλή μηχανισμό ηλεκτρονικού ταχυδρομείου επαλήθευσης που χρησιμοποιείται για τον έλεγχο ταυτότητας των προγραμματιστών μεμονωμένων pods. Ο προγραμματιστής εισάγει τη διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με το pod του. Ο διακομιστής κορμού απαντούσε στέλνοντας έναν σύνδεσμο στη διεύθυνση. Όταν ένα άτομο έκανε κλικ στο σύνδεσμο, αποκτούσε πρόσβαση στο λογαριασμό.
    Με αυτη την λογικη καθε μηχανισμος "forgot my password", που στελνει λινκ για επαναφορα στην διευθυνση ηλεκτρονικου ταχυδρομιου, οδηγει σε κινδυνο ασφαλειας εκατομμυρίων ή δισεκατομμυριων ανθρωπων;
    Τελευταία επεξεργασία από το μέλος aSMiLoN : 03-07-24 στις 12:31.


Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας