av Mikael Winterkvist | apr 7, 2024 | Bluesky, Säkerhet
Google betalar, Apple betalar, Microsoft betalar och så finns det mer ljusskygga bolag som betalar för information om buggar och bäst betalar sig de som kallas ”Zero-Day”. Allvarliga, hittills okända buggar som skulle kunna exploateras och användas i attacker.
Generellt så betalar de seriösa bolagen mindre för buggar än vad mindre nogräknade obskyra säkerhetsbolag sägs göra men du tvingas då att ge dig in i en undre värld med allt vad det innebär. Nu har företaget Crowdfense publicerat en prislista. Företaget säger sig köpa in information om buggar och affärsidén är att sedan sälja informationen vidare.
SMS/MMS Full Chain Zero Click: från 7 till 9 M USD
Android Zero Click Full Chain: 5 M USD
iOS Zero Click Full Chain: från 5 till 7 M USD
iOS (RCE + SBX): 3,5 M USD
Krom (RCE + LPE): från 2 till 3 M USD
Krom (SBX): 200 000 USD
Krom (RCE utan SBX): 200 000 USD
Safari (RCE + LPE): från 2,5 till 3,5 M USD
Safari (SBX): från 300 till 400 000 USD
Safari (RCE utan SBX): 200 000 USD
Crowdfense liksom konkurrenten Zerodium säger att informationen säljs vidare till andra organisationer, som uppges vara statliga myndigheter eller statliga entreprenörer. Det hävdas att informationen då används för att uppdatera och utveckla hackningsverktyg för att kunna spåra och spionera på brottslingar.
Prislistor
Det finns även andra prislistor som bygger på utbetalningar som gjorts av lite mer kända bolag:
Google Chrome zero-days: upp till 3 miljoner USD
Safari zero-days: upp till 3,5 miljoner dollar
iMessage zero-days: mellan $3 och $5 miljoner
WhatsApp nolldagar: mellan $3 och $5 miljoner
Oavsett om du väljer att sälja din information till ett mera känt bolag där informationen kommer att användas för att täppa till och åtgärda säkerhetsproblem eller inte så kan du tjäna stora pengar på att jaga buggar.
TechCrunch
av Mikael Winterkvist | mar 26, 2024 | Bluesky, Säkerhet, Threads
Den uppdaterade versionen av ClearVPN tillåter användare över iOS-, macOS-, Android- och Windows-enheter att enkelt ansluta till servrar i 45+ länder, vilket möjliggör privat surfning, sömlös streaming av globala innehållsbibliotek och säker användning av offentliga Wi-Fi-hotspots.
– Vi på MacPaw har en vision där vi vill försöka att se till att datorer och annan elektronik fungerar tillsammans med och för användare. Med den här nya designen så exemplifierar ClearVPN vår visionen genom att erbjuda en privat, säker onlineupplevelse genom en vackert utformad app som fungerar sömlöst på alla enheter, säger Oleksandr Kosovan, VD och grundare av MacPaw.
I ClearVPNs uppdaterade gränssnitt bibehålls enkelheten med en knapp som användarna har haft i MacPaws andra produkter som CleanMyMac och CleanMy®Phone. Med ett enda tryck kan användare öka sin onlinenärvaro och få tillgång till den bästa tillgängliga servern för deras behov. De nya iOS-widgetarna ger omedelbar VPN-anslutning, medan Siri Shortcuts-integration tillåter automatisering av ClearVPN för scenarier som att aktivera det när du går med i offentliga Wi-Fi-nätverk.
”ClearVPN är utformad för att vara en modern VPN-lösning som utökar och skyddar varje användares onlineupplevelse genom elegant, enkel design”, säger Ivan Ablamsky, Lead Product Manager för ClearVPN på MacPaw. ”Vårt mål är att förena MacPaws produktsvit under en sammanhållen, användarvänlig estetik som ger integritet och åtkomst till hands.”
Ukraina
Sedan Rysslands invasion av Ukraina 2022 har ClearVPN tillhandahållit en gratis premiumversion till alla ukrainare globalt och på ryskockuperade territorier, vilket säkerställer deras säker tillgång till pålitliga informationskällor. MacPaw grundades i Kiev och förstår vikten av digital integritet mitt i det pågående kriget. Företagets expertis när det gäller att skydda online integritet visade sig vara avgörande under denna tid.
Nyckelfunktioner i det omgjorda ClearVPN
•Intuitivt gränssnitt med ett tryck för sömlös VPN-anslutning
•”Optimal Location”-algoritm som bestämmer den bästa servern för användarens behov genom att analysera faktorer som plats, närhet till servrar, tjänsttillgänglighet, serverbelastning och avstånd mellan servrar
•Tillgång till blixtsnabba servrar i nästan 45+ länder optimerade för användarnas behov
•Kryptering på toppnivå med avancerade protokoll för att säkerställa integritet
•Branschledande säkerhet med en strikt no-log policy
•iOS- och macOS-widgets för omedelbar VPN-anslutning
•Siri Shortcuts-integration för att automatisera VPN baserat på användarscenarier
•ClearWeb, ett nytt Chrome-tillägg från ClearVPN för att blockera annonser och onlinespårare
Språk som stöds
•engelsk
•ukrainska
•spanska
•franska
•tysk
av Mikael Winterkvist | mar 26, 2024 | Bluesky, Säkerhet
Apple har släppt en uppdatering av iOS 17 till version 17.4.1 och det är en uppdatering som innehåller åtminstone två viktiga säkerhetsuppdateringar. Detsamma gäller iPadOS och macOS. Därför bör du uppdatera dina prylar och du bör göra det nu.
Den senaste veckan så har Apple uppdaterat, iOS, iPadOS och nu senaset även macOS. De nya versionerna innehåller inga nya funktioner men flera viktiga säkerhetsuppdateringar varav några exploateras aktivt ute på nätet.
iOS/iPadOS
CoreMedia
Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
WebRTC
Available for: iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
Båda dessa säkerhetsbuggar kan exploateras för att köra obehörig kod på en sårbar enhet vilket gör buggarna synnerligen allvarliga.
macOS
CoreMedia
Available for: macOS Sonoma
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
WebRTC
Available for: macOS Sonoma
Impact: Processing an image may lead to arbitrary code execution
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2024-1580: Nick Galloway of Google Project Zero
Buggar
Det handlar om samma typ av buggar i iOS/iPadOS och macOS – buggfar som kan exploateras i samband med att du processar bilder i din enhet – vilket inte är detsamma som att redigera bilder. Teoretiskt kan det räcka med att en bild ska visas.
Du uppdaterar snabbast och enklast med den inbyggda funktionen, direkt i din iPhone, iPad och/eller Mac-dator.
av Mikael Winterkvist | mar 20, 2024 | Bluesky, Säkerhet
Bedrägerier, inte sällan riktad mot äldre, där bankkonton plundras och enskilda rånas på sina livs besparingar är en lönsam ”industri” som omsätter enorma belopp – i ett system byggt och utformat av bankerna, med säkerhetsfunktioner utformade av bankerna – där deras kunder blir av med sina pengar. Vem bär ansvaret?
Antalet anmälda brott ökade under 2023. Fram till och med augusti i år, förr året, så hade polisen fått in 5 312 anmälningar — vilket är en ökning 23 procent jämfört med hela 2022. Antalet anmälningar har fördubblats mellan 2020 och 2022, på bara två år.
2020 anmäldes 6 877 bedrägeribrott det första halvåret mot personer över 65 år. 2021 var den siffran 8 874 och 2022 var det hela 12 388 anmälda fall det första halvåret.
Enligt polisen så kan det handla om så enorma summor som upptill 50 miljoner kronor, i månaden, för en enda större liga och det finns uppgifter om åtminstone 5-6 större kluster med kriminella som ägnar sig att ge sig på äldre, enskilda med olika former av funktionsnedsättningar – samhällets svagaste.
Skrupellösa
Uppdrag Granskning har kommit över inspelade konversationer när bedragare lurar äldre och det är en skrämmande inblick i helt skrupellösa kriminella som lurar äldre att de har ringt till bankernas säkerhetsavdelningar.
SVTPlay: Hackaren
Steg för steg luras offren till att tro att deras konton är under attack, att de riskeras att tas över av kriminella – allt medan bankens säkerhetsavdelning ser till att flytta undan deras pengar. Offren duperas till att starta BankID och flytta sina pengar – till bedragarnas konton. Hackaren har kunnat avlyssna allt, telefon, meddelanden och även de kriminellas enheter – samtalen dem emellan.
Det enorma insamlade materialet har lämnats över till Uppdrag Granskning och Polisen vilket lett till flera gripanden och en polsianmälan av hackaren.
Här kan du läsa mer om hur du skyddar mot bedrägerier:
Säkerhetskollen
av Mikael Winterkvist | mar 17, 2024 | Bluesky, Säkerhet
Plötsligt har du bytt adress, du bor inte längre där du bor därför att någon gått in och ändrat din bostadsadress.
En adressändring är också ett vanligt inslag i det som kallas för ID-kapning, någon stjäl din identitet och utger sig för att vara du, försöker ta olika typer av lån, köper saker på kredit och så vidare. Det kan ta tid innan du upptäcker det därför att bedragarna har begärt en adressändring och din post eftersänds – till bedragarna.
Adresslåset
Med adresslåset kan du, utan kostnad, spärra obehörig adressändring, eftersändning och lagring av din post samt bevaka ändringar
på din folkbokföringsadress. Du får en varning via sms och e-post om någon förändring sker hos Skatteverket.
Låset är personligt och kopplat till ditt personnummer. När ditt lås är aktivt måste ändringar av din adress signeras med BankID.
Du aktiverar tjänsten på några minuter, ha ditt BankID tillgängligt, logga in, aktivera sen är det klart.
av Mikael Winterkvist | mar 9, 2024 | Bluesky, Säkerhet
Apples nya dagbok-app, Journal, samlar in olika typer av data när du för förslag vad du kan skriva om. Journal kan även samla in data om kontakter och andra som du kan ha varit i närheten av under en lite längre tid. Det har lett till den felaktiga uppfattningen att Journal delar din position med andra, även främlingar.
Journal ger alltså förslag på vad du kan skriva om – och kan hämta information om var du har varit, vad du har lyssnat på (musik), vilka du har träffat. Har du installerat iOS 17.2 eller senare, så listas dessa förslagstyper under Inställningar > Sekretess och säkerhet > Journalförslag. De inkluderar Aktivitet (dina träningspass och träning), Media (poddar och musik du lyssnat på), Kontakter (personer du skickat meddelanden till och ringt), Foton (bibliotek, minnen och delade bilder) och Viktiga platser (platser där du befunnit dig en lite längre tid). De här fem inställningarna är aktiverade som standard.
Skriver du lite mer privata anteckningar i Journal så kan du också få förslag kopplade till personer som du varit i närheten av under dagen. Två sådana inställningar är Prefer Suggestions with Others, som inkluderar ”ögonblick du delar med dina kontakter eller stora grupper”, och Discoverable by Others, som beskrivs som ”[tillåter] andra att upptäcka att du är i närheten” Dessa två inställningar är också aktiverade som standard.
Varningar
Det är den senare inställningen, Discoverable by Others, som satt fart på felaktiga varningar som fått stor spridning i sociala medier.
Felaktiga
Varningen, om än välmenad, bygger på flera helt felaktiga antaganden. Den första att funktionen på något sätt avslöjar för andra var du befinner dig, geografiskt. Funktionen använder bluetooth för att se vilka enheter som finns i närheten men den kommunicerar inte med enheter i närheten och den avslöjar inte vem du är , eller var du befinner dig, för okända.
Den kan liknas vid den kommunikation som Bluetooth använder när du kopplar upp ett tillbehör – det görs en sökning runt omkring dig för att se om den enhet du vill ansluta finns där. Det är först när du går vidare och försöker att ansluta som det förekommer dubbelriktad kommunikation. Här är Apples egen förklaring:
Journalförslag kan också använda kontextuell information för att avgöra vilka förslag som kan vara mer meningsfulla eller relevanta för dig. Journalförslag använder Bluetooth för att upptäcka antalet enheter och kontakter runt dig utan att lagra vilka av dessa specifika kontakter som fanns i närheten. Denna information används för att förbättra och prioritera dina förslag. Den lagras på enheten och delas inte med Apple. Du kan välja att inte tillåta journalförslag att använda antalet enheter och kontakter runt dig för att prioritera dina förslag genom att gå till Inställningar > Sekretess och säkerhet > Journalförslag och sedan trycka för att stänga av Föredra förslag med andra.
Ingen data skickas till Apple – och som sagt – du kan slå av funktionen.
