Artykuły dotyczące tematu: ios

dodany: 19.06.2013 | tagi: , , , , , , , ,

Wygodne przechowywanie i synchronizacja haseł – 1password

15
Wygodne przechowywanie i synchronizacja haseł – 1password

Kilka miesięcy temu opisywałem w artykule oprogramowanie Keepass, które umożliwia przechowywanie haseł w bezpieczny sposób chroniący nas przed ich utratą. Program jest darmowy, co jest bardzo dużą zaletą, jednak nie miał dobrej wersji dla platformy Mac OS i iOS. Dodatkowo zależało mi bardzo mocno  na synchronizacji informacji o hasłach pomiędzy platformami. Keepass niestety jest wygodny w sytuacji, gdy mamy wszystkie hasła na jednym komputerze (można co prawda kopiować bazę pomiędzy urządzeniami przy użyciu chociażby usługi typu Dropbox), ale jakoś nie mogłem się przekonać i całe rozwiązanie wydawało mi się zbyt toporne.

(więcej…)

dodany: 04.06.2013 | tagi: , , , , ,

Złośliwa ładowarka dla iPhone’a

2

O ile przyzwyczailiśmy się do możliwości złamania zabezpieczeń naszego iPhone’a, tak nowością jest rozwiązanie sprzętowe w postaci urządzenia z możliwością ładowania. Mowa o wynalazku Mactans stworzonego przez naukowców z Georgia Institute of Technology – jej twórcy mówią o możliwości zhakowania iPhona w przeciągu jednej minuty.

Przeprowadzone testy dotyczą najnowszej wersji mobilnego systemu Apple – każdy użytkownik może zostać ofiarą bez jakiejkolwiek interakcji – wystarczy podłączyć iPhone’a do tego wynalazku.

beagleborad black

Samo urządzenie bazuje na minikomputerze BeagleBone Black. Szczegóły techniczne zostaną przedstawione na nadchodzącej konferencji Black Hat 2013, która odbędzie się pod koniec lipca. Prezentację poprowadzi trzech studentów:  Billy Lau, Yeongjin Jang oraz Chengyu Song. Projektanci zdradzili na razie jedynie, że kompatybilność z USB pozwala na obejście zabezpieczeń systemu Apple, a następnie wstrzyknięcie złośliwego oprogramowania, które jest ukrywane w tle, podobnie jak wbudowane aplikacje systemowe iOS.

Jak mówią twórcy – Mactans został stworzony dla zobligowania programistów iOS do większego przyłożenia się w kwestii bezpieczeństwa. Drugim powodem jest zwrócenie uwagi na to, jak z pozoru niewinne urządzenie może stanowić zagrożenie dla bezpieczeństwa – w końcu ktoś równie dobrze może stworzyć dedykowany układ, zamiast wykorzystywać zminiaturyzowany uniwersalny minikomputer.

dodany: 30.05.2013 | tagi: , , , ,

Dewelopment bezpiecznych aplikacji mobilnych

0
Dewelopment bezpiecznych aplikacji mobilnych

Urządzenia mobilne to bardzo dobra grupa docelowa dla przygotowywania wszelkich możliwych aplikacji, czy to darmowych czy płatnych. Użytkownicy chętnie instalują nowe programy, szczególnie, jeżeli są darmowe, oferują wystarczające funkcje i spełniają oczekiwania. Nie zastanawiamy się wtedy, czy są one bezpieczne i czy zostały przygotowane z dbałością o nasze dane i przechowywane przez nas pliki, dokumenty i zdjęcia. Zakładamy, że skoro pojawiły się w Google Play czy AppStore, to zostały sprawdzone, są oparte o dobre i zaufane frameworki. Czym się zatem stresować?

(więcej…)

dodany: 23.05.2013 | tagi: , , , , , ,

Niebezpieczne WiFi w systemach Apple

1
Niebezpieczne WiFi w systemach Apple

Czytając artykuły na temat bezpieczeństwa natknąłem się na jeden ciekawy, opisujący potencjalnie niebezpieczną funkcjonalność systemu iOS i MacOS X (Link do wspomnianego artykułu). Autor porusza ciekawą sprawę – jest w systemie/systemach funkcjonalność, która jest niewidoczna na pierwszy rzut oka, teoretycznie nie powoduje problemów i w założeniu ma pomagać i ułatwiać życie użytkownikom. Dokładnie jest to możliwość zapamiętania sieci, z którymi łączyliśmy się wcześniej i automatyczne logowanie się do nich bez ingerencji użytkownika.

Jak można wyczytać w artykule, zostały zrobione testy zachowania się urządzeń z systemami Apple, które mają zapamiętane wcześniej używane sieci WiFi bez skonfigurowanego hasła dostępowego (nie wiem czy w innych systemach, jak Linux czy Windows wygląda to i działa podobnie – jeżeli ktoś ma ochotę, może to zweryfikować :-). Jeżeli jest to prawda, to nie jest to dobre. Problem polega na tym, że urządzenie, które kiedyś łączyło się z taką siecią próbuje ją ponownie odnaleźć i wysyła żądania podłączenia, podając nazwę sieci. W tym momencie jeżeli w pobliżu urządzenia znajdzie się inny punkt dostępowy z tym samym SSID i bez hasła (Service Set IDentifier), zostanie on zidentyfikowany jako ten, który był wcześniej używany. Urządzenie podłączy się tak, jak wcześniej, a użytkownik nieświadom niczego (chyba że zauważy podłączenie z jakąś siecią WiFi i zorientuje się, że coś jest nie tak) rozpocznie przesyłać swoje dane przez nieznaną, niezabezpieczoną sieć.

Jest to moim zdaniem dość niebezpieczne zachowanie, jako że ktokolwiek, kto zna ogólnodostępne sieci w danym miejscu, może się podszyć i podstawić swój własny punkt dostępowy, przechwytując wszelkie połączenia i przesyłane dane, co jest dużo łatwiejsze niż włamywanie się do zabezpieczonej strefy. Wspomniane przez autora artykułu próbne sygnały z podaniem jak na tacy poszukiwanej sieci, dodatkowo podpowiada, jakie są pożądane nazwy i jeżeli ktoś chce podstawić fałszywy punkt nazywający się identycznie, ma dodatkowo ułatwione zadanie i nie musi się specjalnie wysilać – może nawet spróbować siedząc w domu zobaczyć, czy okoliczne sprzęty nie poszukują znanych sieci i z tego skorzystać.

Dziś jest sporo miejsc, gdzie można znaleźć WiFi dostępne dla wszystkich bez konieczności wpisywania hasła – kawiarnie, dworce, a nawet całe parki są pokryte takim zasięgiem. Widzi się coraz częściej osoby, które siadają na świeżym powietrzu z laptopem i pracują, korzystając z komunikacji bezprzewodowej, łącząc się z widocznymi i niezabezpieczonymi sieciami (są za darmo, to czemu nie korzystać?). Tacy użytkownicy zwykle nie zorientują się, że podłączyli się nie tu gdzie chcieli, jeśli będzie ta sama nazwa, czasem też nie będą wiedzieć, że wpięli się do specjalnie podstawionej fałszywej sieci, nawet jeśli są zupełnie gdzie indziej – iPhone schowany w kieszeni po cichu się podłączy, bez informowania użytkownika.

Być może opisany powyżej problem jest marginalny, ale jeżeli rzeczywiście można w tak łatwy sposób przechwycić czyjąś komunikację i spokojnie rejestrować cały przechodzący ruch bez żadnych utrudnień, jest to moim zdaniem poważne zagadnienie i argument dla zabezpieczania sieci. Użytkownicy powinni pamiętać, że łącząc się z niezabezpieczonymi sieciami i zapamiętując ich nazwy narażają się na niebezpieczeństwo. Może lepiej wyłączyć zapamiętywanie punktów dostępowych, co zostało przedstawione w artykule powyżej. Pozostawiam to decyzji użytkowników.

dodany: 26.03.2013 | tagi: , , ,

Informowanie o zagrożeniach na przykładzie Apple

0
Informowanie o zagrożeniach na przykładzie Apple

Czytając w ostatnim czasie artykuły na różnych portalach, czy to WebSecurity, Niebezpiecznik, czy innych, zauważyłem pewne nasilenie wiadomości dotyczących Mac OS X, Apple, iOS i tym podobnych słów kluczowych. Będąc użytkownikiem Mac’a oczywiście czytałem je z zaciekawieniem, ale zastanowiła mnie jedna kwestia, a dokładnie tematyka i częstotliwość wypowiedzi.

Śledząc od wielu lat szum wokół bezpieczeństwa systemów operacyjnych, obserwowałem pewne trendy i stereotypy: Windows – wiadomo – dziurawy, pełno wirusów i innych szkodników, a co chwila pojawiają się aktualizacje; Linux – raczej bez zagrożeń w stylu windows, ale za to bardziej narażony na ataki z sieci; Mac OS – tu czarna dziura – bez wirusów, szkodliwego oprogramowania, generalnie było stosunkowo cicho o tym systemie.

(więcej…)

dodany: 15.03.2013 | tagi: , , ,

Blackberry zabezpieczy iOSa i Androida

0

Jak wiemy ani twórcy Androida, ani iOSa nie są w stanie dostarczyć wysokiego poziomu bezpieczeństwa. O ile w przypadku niekomercyjnego użytku fakt ten jest do zniesienia, tak w przypadku firm jest to nieakceptowalne. Dlatego Blackberry postanowiło zaoferować swój produkt o nazwie WorkSpace dla wspomnianych wyżej systemów.

Rozwiązanie to będzie oferować bezpiecznego klienta e-mail, kalendarz, kontakty, organizer, notatki, a także bezpieczne przeglądanie Internetu – wszystko to za sprawą BlackBerry Enterprise Service 10.

Oprócz tego WorkSpace będzie oferował łatwe przełączenie trybu domowego na służbowy – czyli rozwiązanie dobrze znane choćby z biznesowych Nokii, gdzie za pomocą jednego przycisku zmienia się nam tapeta, kalendarz itd.

Lepszą integrację WorkSpace ujrzymy pod Androidem – iOS ma spore ograniczenia, z tego powodu aplikacje te mają być uruchamiane za pomocą ikon z głównego ekranu.

Rozwiązanie to będzie się opłacać firmom, które nie posiadają swojej sieci VPN, a chcą zapewnić bezpieczeństwo.

Na razie nie wiadomo ile ma kosztować nowa usługa – wiadomo jedynie, że ma być dostępna w połowie tego roku. Póki co rozpoczęły się beta testy, ale niestety są one zamknięte. Więcej informacji ma zostać przekazanych na konferencji BlackBerry Live, która odbędzie się 14-15 maja tego roku w Orlando.

dodany: 15.02.2013 | tagi: , ,

Blokada iPhone’a możliwa do ominięcia

4

Co za czasy! Już nawet ekranom blokady nie można ufać!

Luka bezpieczeństwa w iOS 6.1 pozwala każdemu na ominięcie blokady hasłem waszego iPhone’a i bezproblemowy dostęp do całej jego zawartości.

Videosdebarraquito zademonstrował proces ominięcia blokady na YouTube:

Metoda videosdebarraquito polega na wybraniu opcji połączenie alarmowe, przytrzymaniu przycisku zasilania i wybrania anuluj. Później należy wykonać i natychmiast odrzucić połączenie z numerem 112 i przejściu do ekranu blokowania.

W drugiej części należy przytrzymywać przycisk zasilania przez 3 sekundy przed pojawieniem się slidera z opcją wyłączenia telefonu należy ponownie wybrać opcję połączenia alarmowego. Nie zwalniając przycisku zasilania należy nacisnąć przycisk home i gotowe.

To nie pierwszy raz, kiedy takie obejście jest możliwe. W iOS 4.1 znaleziona została podobna luka. Załatano ją dopiero w iOS 4.2.

Apple twierdzi, że zdaje sobie sprawę z problemu, jaki powstał i pracuje nad jego rozwiązaniem. Obiecują nawet, że w następnej aktualizacji luka zostanie załatana. Ciekawe na jak długo – stawiam na iOS 8.1!

 

dodany: 05.10.2012 | tagi: ,

Cisco łata swój system

0

Cisco wydało aktualizację swojego sieciowego systemu operacyjnego IOS. Naprawiono w nim łącznie 9 dziur. Jednia z nich dotyczyła błędów w zabezpieczeniu protokołu SIP (Session Initiation Protocol), który współpracuje z Cisco Unified Communications Manager. Błąd ten dawał atakującemu możliwość na dostanie się do systemu poprzez DoS (denial-of-service). Szczegóły tego problemu oraz inne dane są dostępne na stronie Cisco.

Jednakże, mimo tych poprawek, ekspert FElix „FX” Linder z Recurity Labs zauważa, iż klasyfikacja podatności na ataki systemu IOS wg Cisco to delikatnie mówiąc nieporozumienie – człowiek ten bada ich system od 2007 roku, kiedy to sklasyfikowano problem z stosem IP jako podatność na atak denial-of-service. Dopiero po wyjaśnieniach Lindnera, który przedstawił stosowny pakiet ping na konferencji 25C3, dzięki któremu było możliwe wykonanie kodu i jego późniejsze wstrzyknięcie wraz z wykonaniem. Wobec tego wyjaśnienia Cisco trzeba brać z mocnym przymrużeniem oka.

dodany: 25.09.2012 | tagi: , , , ,

Nadgryzione jabłko coraz bardziej robaczywe

1

Wydaje się, że Apple w ostatnim czasie bardziej skupia się na patentowej walce, zamiast dbać o bezpieczeństwo swoich produktów. Tym razem wydali ważne patche, które dotyczą iTunes, iOS, OS X a nawet Apple TV. Najwięcej dziur zostało naprawionych w tym ostatnim produkcie, bo było ich łącznie aż 21. Najświeższe wydanie Apple TV nosi numer 5.1. Pełna lista poprawek jest dostępna pod tym adresem.

Słabość dotychczasowych wersji polegała na tym, że w przypadku odpowiednio spreparowanego obrazka bądź filmu możliwy był crash oprogramowania, a w gorszym wypadku pozwalało to na wykonanie dowolnego kodu.

Reakcja Apple na zagrożenia jest tragiczna – podatność na tego typu atak zgłoszono jako CVE-2011-1167 dnia 21 marca 2011, gdzie przedstawiono złośliwego TIFF-a. Usterkę tą usunięto dopiero 1 lutego 2012 i to tylko w produkcie OS X Lion 10.7.3.

W ostatnim czasie Apple wydało też 34 poprawki dla systemów OS X Mountain Lion oraz OS X Lion. Jednym z większych błędów w tym wypadku dotyczył sytuacji, w której zalogowany lokalny użytkownik mógł pozwolić innemu na zalogowanie się oraz zdobycie własnych poświadczeń. Drugą poważną usterką była możliwość zdeszyfrowania informacji, nawet jeśli były chronione protokołem SSL.