av Mikael Winterkvist | jul 1, 2023 | Säkerhet
Utvecklarna av LetMeSpy, ett spionprogram för Android, har hackats och kunddata, de som använt programmet har publicerats på nätet.
Den publicerade informationen avslöjar användarnas e-postadresser, samtalsloggar och meddelanden från de som var hackade och där spionprogrammet installerats. Företaget, från Polen, också känd som LetMeSpy, meddelade i ett uttalande på sin webbplats att en ”säkerhetsincident” upptäckts den 21 juni.
”Som ett resultat av attacken fick brottslingarna tillgång till e-postadresser, telefonnummer och innehållet i meddelanden som samlats in på konton”
Missbrukas
LetMeSpy låter användare spåra inte bara kommunikationsdata utan GPS-platsen för alla Android-enheter som dess app har installerats på. Vanligtvis kallade ”stalkerware”, sådana appar annonseras regelbundet som användbara verktyg för föräldrar att övervaka sina barn. Naturligtvis missbrukas programmen ofta och används av svartsjuka partners och av bedragare och kriminella.
En analys av data att läckan visar att det handlar om en en fullständig phpMyAdmin-databas, dekrypterade samtals- och meddelandeloggar, samt en lista över användarnas e-postadresser och lösenordshaschar. Databasen omfattar drygt 26 000 användare.
Myndigheter
I databasen finns minst minst tre användare som registrerade sig för LetMeSpy med en e-postadress som kan kopplas till statliga domäner. Två tillhör Malaysias regering medan den tredje kom från Jordanien. En annan e-postadress kan kopplas till en patrull vid en polisavdelning i Louisiana och det finns även en e-postadress från ett konkurrerande spionprogram-företag. Det ska sägas att de e-postadresserna inte kan kopplas till ett aktiverat program.
Det kan tyda på att LetMeSpy inte har använts eller att det har installerats och att en annan e-postadress har använts.
Studenter
En genomgång av databasen visar också ett ovanligt högt antal e-postadresser som kan kopplas och knytas till enskilda användare vid en rad olika universitet. Av sammanställningen att döma så ser det ut att vara i första hand enskilda studenter som har använt LetMeSpy. Databasen innehåller data så långt tillbaka som 2013 – och fram till för några år sedan. Appen och spionprogrammet tycks vara skriven för, och bara fungerande med Androidversioner från version 4 till och med version 7. Den nu läckta informationen innehåller drygt 16 000 meddelanden, tillsammans med mycket detaljerad positionsdata, exakt var de avlyssnade offren har befunnit sig.
DDosSecrets
av Mikael Winterkvist | jul 1, 2023 | Säkerhet
Plötsligt fylls skärm med varningar om skadade filer, att din Mac smittats med ett datavirus och uppmaningar om att omgående uppdatera ditt antivirusprogram. Andas lugnt, högst sannolikt så har du inte drabbats av något virus utan du har slagit på notiser på någon av de webbplatser som du har besökt.
macOS är inte immunt mot farliga dataprogram men operativsystemet innehåller inbyggda skydd för att skydda dig och din information ute på nätet. Med det sagt – det är är inte omöjligt eller helt uteslutet att din Mac kan smittats men det är mindre sannolikt.
Det som har hänt här (mera sannolikt) är att det du ser är falska varningar som skickas via Safaris, webbläsaren notiser.
Kolla webbplatserna
Så börja med att kontrollera notiser och de webbplatser som du har besökt – Settings – Websites:
Här bör du hitta en webbplats som har tillåtelse att skicka notiser till dig. Allt du behöver göra är att sätta valet till ”DENY” så ska meddelande försvinna.
Notiser
Du kan också ha installerat ett program som skickar notiser. Det styr du under System Settings – Notifications.
iOS/iPadOS
Dyker notiserna upp i din iPhone eller i din iPad så hittar du inställningarna för notiser under Settings – Notifications.
Så, kolla inställningarna, plocka bort mystiska webbplatser och program så fungerar din Mac som den ska igen.
av Mikael Winterkvist | jun 22, 2023 | Säkerhet
Under onsdagskvällen så släppte Apple viktiga uppdateringar för macOS, iOS, iPadOS och watchOS – viktiga säkerhetsuppdsateringar så nu är det dags att uppdatera dina Apple-prylar.
Apple har åtgärdat tre nya zero-day-sårbarheter som har utnyttjades i attacker för att installerade Triangulation-spionprogram på iPhones via iMessage zero-click exploits.
På mer begriplig svenska så betyder det att Apple åtgärdat tre, nya, säkerhetsbuggar där spionprogramvara har kunnat installeras bara genom att du som användare tar emot ett meddelande.
Kaspersky slår larm om attack mot äldre versioner av iOS – som pågått sedan 2019
De två säkerhetsbristerna hittades och rapporterades av Kasperskys säkerhetsforskare Georgy Kucherin, Leonid Bezvershenko och Boris Larin. Enligt de första rapporterna så skulle dessa säkerhetsbuggar inte beröra de senaste versionerna av Apples operativsystem men uppenbarligen så var så inte fallet.
Så – uppdatera dina prylar, nu!
Apple information
iOS 16.5.1 and iPadOS 16.5.1
Released June 21, 2023
Kernel
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later
Impact: An app may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.7.
Description: An integer overflow was addressed with improved input validation.
CVE-2023-32434: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), and Boris Larin (@oct0xor) of Kaspersky
WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A type confusion issue was addressed with improved checks.
WebKit Bugzilla: 256567
CVE-2023-32439: an anonymous researcher
iOS 15.7.7 and iPadOS 15.7.7
Released June 21, 2023
Kernel
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: An app may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.7.
Description: An integer overflow was addressed with improved input validation.
CVE-2023-32434: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), and Boris Larin (@oct0xor) of Kaspersky
WebKit
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A type confusion issue was addressed with improved checks.
WebKit Bugzilla: 256567
CVE-2023-32439: an anonymous researcher
WebKit
Available for: iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPad Air 2, iPad mini (4th generation), and iPod touch (7th generation)
Impact: Processing web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.7.
Description: A memory corruption issue was addressed with improved state management.
WebKit Bugzilla: 251890
CVE-2023-32435: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), and Boris Larin (@oct0xor) of Kaspersky
av Mikael Winterkvist | jun 17, 2023 | Säkerhet
Amazon har, precis som Google, en serie så kallade smarta produkter med den egna digitala assistenten Alexa. Det är högtalare och andra enheter som kan styras med röstkommandon vilket betyder att de lyssnar, hela tiden, efter aktiveringskommandot. Det betyder också att produkterna kan användas för att spionera på dig – speciellt om det finns flera av Amazons produkter uppkopplade i samma nät.
Amazons Echo-enheter kan lyssna på varandra, om de är uppkopplade på samma lokala nätverk, och speciellt Amazon Fire 7 Kids tablet, en surfplatta anpassad för barn kan användas för att avlyssna det som sägs i ett uppkopplat hem exempelvis.
Missbrukas
Alexa har en valfri drop-in-funktion som gör att du kan lyssna på andra Alexa-enheter i ditt nätverk. Amazon avsåg att detta skulle användas som ett hemintercomsystem men det kan missbrukas. Tanken är att du ska kunna anropa olika rum, prata med andra via olika enheter som placerats ut i ditt hem – ett internt kommunikationssystem. Funktionen kan dock missbrukas och speciellt via en Amazon Fire 7 Kids surfplatta. De surfplattorna har två accessnivåer – en är för sin målgrupp: barn. Den andra är för vuxna att ställa in föräldrakontroll.
Även om surfplattan är avsedda för barn så har den fulla administrationsrättigheter och den kan användas för att lyssna på anslutna enheter.
Säkerhetskonsult
Richard Morell är säkerhetskonsult, grundare av säkerhetsföretaget Smoothwall, och han upptäckte nyligen att han och hans hem avlyssnad med hjälp av amason enheter och anslutna till hans konot, utan att han visste om det.
Morell, en före detta CTO i Gartner och Red Hat Lead Security Evangelist, kan säkerheten lika bra som baksidan av sin hand. När han fann sig själv som måltavla för en sofistikerad stalkingattack via en Amazon Fire 7 Kids-surfplatta som han inte visste var fortfarande kopplad till hans konto, blev han chockad. Någon lyssnade på honom och tittade på hans aktiviteter och inspelningar av det han gjorde i ungefär två år. Detta även efter att han ändrade sitt Amazon-konto, ändrade sin tvåfaktorsautentisering och använde en säker lösenordsgenerator för att skapa ett komplext lösenord. Han antog att han var säker. Det var han inte. Eftersom vuxenkontot på Amazon Fire 7 Kids-surfplattan var hans, gav detta personen som hade surfplattan full tillgång till sina Amazon-konton och data.
Practical Tech
Surfplattor
När Morell kollade sitt konto för att se vilka enheter som var anslutna så syntes inte två Amazon Fire 7 Kids surfplattor då de var anslutna via det Amazon kallar för ”a trusted software token” som kan användas för att koppla upp andra enheter utan att kopplas till en persons konto.
The Amazon Fire 7 Kids tablet acted as a trusted software token — a skeleton key to his Amazon records and devices. With it, this person could obtain access not just to his Alexa devices, but to his Alexa Auto and the Alexa instance on his Android and Apple phones as well.
Practical Tech
Enorma mängder data
När Richard Morell begärda ut all sin information som lagrats hos Amazon kom nästa chock. Det visade sig vara enorma mängder data som sträckte sig ända tillbaka till 2013.
I den information som han fick ut fanns praktiskt taget allting som enheterna hade spelat in:
Morrell added, “When I put a request in for all of my data, I would expect to receive 20 or 30 folders of data, 25 gigabytes of data, right? But what I actually got was several thousand folders of data where they give you absolutely everything down to a level where if you’re a software developer, it’s manna from heaven.”
Varje enskild transaktion, tangenttryckning, knapptryckning och API-funktion för varje Alexa-aktiverad enhet registrerades. Det inkluderade också varje ord som hans Echo-enheter hörde och varje film, tv-program, Kindle-bok, köp och föremål han hade sökt efter.
Morrell fann också att denna information inkluderade alla hans foton som automatiskt lagrades i Amazons fototjänst. Eftersom han satte in bankcheckar på nätet genom att ta bilder, kunde de också ha setts. Dessutom var hans Google-kontakter öppna eftersom han har Alexa på sin Android-telefon. Detta innebar också att hans telefonsamtal och sms-data var tillgängliga. Slutligen var hans e-post också sårbar eftersom han använde ett Amazon-e-postkonto. Angriparen kunde ha sett allt detta.
Naiv
Utifrån mitt eget perspektiv så finner jag det mer än en smula förvånande att en säkerhetskunnig användare, av Richard Morrells, kaliber överhuvudtaget installerar ett system med smarta eneter – speciellt från ett företag där det inte råder minsta tvekan om att en bärande del av det företagets hela affärsidé är att samla in data om sina användare.
När det gäller Amazons surfplattor för ban så har Amazon betalat 30 miljoner dollar i en uppgörelse med den amerikanska tillsynsmyndigheten FTC. Federal Trade Commission, FTC, skrev i sin inlaga att:
”Alexas standardinställningar sparar fortfarande barns (och vuxnas) röstinspelningar och transkriptioner för alltid, även när ett barn inte längre använder sin Alexa-profil och den har varit inaktiv i flera år.” Som ett resultat av detta har Amazon behållit personlig information om tusentals barn som inte ens använder sina Alexa-konton, i strid med Children’s Online Privacy Protection Rule (COPPA).
Ett problem med flera av Amazons enheter, alla surfplattorna som ingår i Fire-serien, bygger på en gammal version av Android (Android 9). Fire OS 7 som används använder Android 9 – den nuvarande versionen av Android är Android 13.
Facit
Med facit i hand, och det är alltid mycket enkelt att vara efterklok, så skulle jag kraftigt avråda från att installera och använda några av Googles eller Amazons enheter – om du är mån om din integritet. Du kan inte kombinera de här bolagens vilja att samla in data om dig med en privat sfär eller en sfär där du inte riskeras att avlyssnas.
av Mikael Winterkvist | jun 17, 2023 | Säkerhet
FBI och flera andra polisorganisationer brukar regelmässigt föreslå att Apple och andra ska installera bakdörrar i sina program, i sin kryptering, för att underlätta brottsutredningar. Lösningen utmålas som en säker lösning och en effektiv lösning för att kunna utreda brott men historien och erfarenheter visar med skrämmande tydlighet vilken farlig idé förslaget är.
Nyligen avslöjades att den taiwanesiska tillverkaren av moderkort, Gigabyte, lagt in en egen bakdörr i mjukvaran för sina moderkort. Tanken med bakdörren var att mjukvaran för moderkorten skulle kunna uppdateras snabbt och enkelt. Problemet var att bakdörren var illa skyddad och den skickades med i moderkort som skeppades till till kunder – utan att berätta för kunderna att bakdörren fanns där. Kunderna satt alltså med ett moderkort som vem som helst kunde ta sig in i och kapa – via företagets egen bakdörr.
Bakdörrens existens avslöjades i en rapport av säkerhetsföretaget Eclypsium.
Microsoft
När Microsoft förlorade en av sina viktigaste nycklar för att läsa upp surfplattor, telefoner och datorer i augusti 2016 så tog det bara några dagar innan det fanns detaljerad information ute på nätet om hur nyckeln kunde användas för att skapa trojaner och andra farliga dataprogram.
Microsofts huvudnyckel läcker ut på nätet
Bankkunder
När den sydafrikanska banken Postbank blev av med en av sina nycklar så tvingades över 12 miljoner bankunder byta bank- och betalkort. En anställd hade lyckats att stjäla nyckeln och kort efter det att nyckeln, 26 siffror, stulits så stals flera miljoner dollar. Banken hade sett till att skydda kopiering digitalt av den aktuella nyckeln med flera metoder men räknade inte med den enklaste och mest logiska – papper och penna. Den anställde skrev av nyckeln, 36 siffror, som skulle göra den ”idiotsäker”.
Tolv miljoner bankkort måste bytas sedan anställd stulit huvudnyckel
Solarwinds
Det stora, omfattande intrånget i Solwarwinds system Solarwinds Orion så lyckades obehöriga plantera egen kod i mjukvaran, som sedan distribuerades av Solarwinds själva. Brottslingarna tog sig in på Solarwinds servrar, la in koden, och väntade sedan på att den nya versionen skulle distribueras ut till kunder – sedan inleddes en serie attacker och intrång. Idén föddes sedan Solarwinds satsat pengar på en reklamkampanj där de berättade hur framgångsrika de varit och vilka kunder de hade.
Solarwinds bevisar att förespråkarna för bakdörrar har fel
Skapa inga bakdörrar
Apples och många andra utvecklare har en tämligen enkel grundregel – det enda sättet att se till att inga obehöriga eller kriminella kan exploatera en bakdörr är att aldrig skapa en bakdörr. Utveckla inga bakdörrar, bygg inte in några bakdörrar – oavsett om de består av krypteringsnycklar eller funktioner som kan anropas mera direkt.
Alla sådana funktioner och information rörande sådana funktioner kommer att läcka ut – förr eller senare. Det visar historien med en skrämmande tydlighet och exemplen ovan är bara några i en lång rad av liknande exempel där enskilda, företag och organisationer har råkat illa ut – på grund av en bakdörr.
Kriminella
Bakdörrar som skapas i akt och mening att se till att rättsvårdande myndigheter ska kunna utreda brott kommer att hittas och användas av kriminella för det är det farliga med bakdörrar – funktionen och mjukvaran gör ingen skillnad på vem användaren är och det är en utopi att tro att bara ”de goda” kommer att kunna ges tillgång till en väg in, en bakdörr.
Det enda säkra sättet att se till att bakdörrar inte kan exploateras av kriminella är att aldrig skapa några bakdörrar.
av Mikael Winterkvist | jun 10, 2023 | Säkerhet
En grupp ukrainska hackare kända som Cyber.Anarchy.Squad hävdar att de genomfört en attack riktad mot ett ryskt telekombolag, Infotel JSC, som bland andra har ryska banker som kund.
Moskva-baserade Infotel erbjuder anslutningstjänster mellan den ryska centralbanken och andra ryska banker, nätbutiker och kreditinstitut vilket betyder att alla dessa funktioner kan ha slagits ut vid attacken. Det finns inga ifficuella bekräftelser på att attacken har lyckats men flera stora ryska banker, över hela Ryssland sin tillgång avstängd från landets banksystem så att de inte längre kan göra onlinebetalningar, skriver den ukrainska nyhetssajten Economichna Pravda.
Bekäftar
Bolaget däremot, Infotel, har bekräftat händelsen och attacken via sina hemsida och skriver att Infotel arbetar med att återställa system som skadades efter i vad de beskrivs som en ”massiv” attack”. Infotel eller deras angripare har ännu inte har delat en tidslinje för attackerna men vGeorgia Techs Internet Outage Detection and Analysis (IODA)-projekt att den ryska centralbankens internetleverantör gick ner den 8 juni, runt 11:00 UTC.
Webbplats
Hackarna lyckades även ta ner Infotels webbplats och visa banners som uttryckte sitt stöd för Ukrainas motoffensiva operation mot ryska trupper i Donbass-regionen. Banderollerna innehöll också en bön om Guds ingripande och skydd mot fienderna, och frasen ”Ära åt Ukraina!”.
Cyberattacken var en av de mest allvarliga som satts in mot Rysslands finansiella system. Det avslöjade också sårbarheten hos Infotel JSC, som ansvarar för att underlätta kommunikationen mellan Rysslands centralbank och olika juridiska personer.
