av Mikael Winterkvist | dec 15, 2022 | Säkerhet
Strax innan Apple gjorde sig redo att lansera iOS 16.2 så kom en uppdatering till version 16.1.2 med mycket knapphändig information om vad uppdateringen innehäll – nu vet vi.
Förutom några mindre korrigeringar av ”crash detention” och inställningar för operatörer så innehöll 16.1.2 en mycket viktig, kritisk uppdatering av WebKit.
iOS 16.1.2
Released November 30, 2022
WebKit
Available for: iPhone 8 and later
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.1.
Description: A type confusion issue was addressed with improved state handling.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne of Google’s Threat Analysis Group
Farligaste
Det här är en typ av bugg som gör det möjligt att exekvera kod, via en hemsida eller en webbplats. Det är ur säkerhetssynpunkt en av de värsta och farligaste buggarna som du kan råka ut för – enbart med kod så kan din enhet kapas. I det här fallet så fanns det också uppgifter om att buggen exploaterades, aktivt ute på nätet.
Det är också ett tydligt och klart argument för varför du ska hålla dina prylar uppdaterade.
av Mikael Winterkvist | dec 14, 2022 | Säkerhet
Under tisdagskvällen så slipper Apple viktiga uppdateringar för alla sina operativsystem och förutom en del helt nya funktioner så innehåller uppdateringarna också synnerligen viktiga säkerhetsuppdateringar – varav några aktivt exploateras ute på nätet.
I den tidigare uppdateringen – till version 16.1.2 fanns en säkerhetsuppdatering som nu utgör en påtaglig säkerhetsrisk.
Apple har bekräftat att en uppdatering för iPhone som släpptes för två veckor sedan åtgärdade en säkerhetsrisk, Zero-Day, som nu utnyttjas aktivt. Uppdateringen, iOS 16.1.2, landade den 30 november och rullades ut till alla iPhones som stöds – inklusive iPhone 8 och senare – med ospecificerade ”viktiga säkerhetsuppdateringar”.
iOS 16.1.2
Released November 30, 2022
WebKit
Available for: iPhone 8 and later
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.1.
Description: A type confusion issue was addressed with improved state handling.
WebKit Bugzilla: 248266
CVE-2022-42856: Clément Lecigne of Google’s Threat Analysis Group
En bug WebKit är detsamma som en bugg i en av de viktigaste delarna av Apples plattform – webbläsaren Safari men också i alla funktioner som använder WebKit – och det är en lång rad funktioner.
Bugfixar
Även iOS 16.2/iPadOS 16.2 tillsammans med övriga uppdateringar av Apples olika operativsystem innehåller viktiga säkerhetsuppdateringar och buggfixar. Exemplet ovan visar tydligt att en åtgärdad bugg kan gå från att vara allvarlig och kritisk till synnerligen kritisk på bara några dagar, veckor. Därför bör du/ska du hålla dina enheter uppdaterade med de Senate uppdateringarna.
av Mikael Winterkvist | dec 8, 2022 | Säkerhet
Apple släpper tre nya funktioner som ska ge ett ännu bättre skydd för användarna och deras information. Lagrade säkerhetskopior i iCloud kan skyddas med ”en-to-end” kryptering och det kommer även funktioner för att säkerställa vem du skickar meddelanden till.
Med iMessage Contact Key Verification kan användare verifiera att de bara kommunicerar med den de avser. Det är ett kontrollsystem som ska säkerställa att kommunikationen inte är med ett falskt konto.
Säkerhetsnycklar för Apple ID kan användare välja att kräva en fysisk säkerhetsnyckel för att logga in på ditt Apple ID-konto. Något som ska skydda ditt viktiga Apple ID-konto ytterligare.
Med Avancerat dataskydd för iCloud så kan lagrad information i Apples moln skyddas med starkt kryptering. Det inkluderar iCloud-säkerhetskopia, foton, anteckningar och mer.
Efterfrågats
Det här är funktioner, speciellt kryptering av data i iCloud, som har efterfrågats.
– På Apple är vi orubbliga i vårt åtagande att ge våra användare den bästa datasäkerheten i världen. Vi identifierar och mildrar ständigt nya hot mot deras personliga data på enheten och i molnet, säger Craig Federighi, Apples senior vice president för Software Engineering.
Apple
Lämna ut
De nya funktionerna innebär också att Apple sannolikt inte kommer att kunna lämna ut data till myndigheterna längre. Väljer användarens tt skydda och kryptera all sin information som lagras i Apples moln så kommer Apple inte att kunna dekryptera och lämna ut några data.
Alla de nya funktionerna kommer att lanseras under 2023.
av Mikael Winterkvist | nov 28, 2022 | Säkerhet
I juli förra året så bjöds drygt 5.4 miljoner konton som stulits från Twitter ut på auktionssajter på The Dark Web. De flesta uppgifterna bestod av offentlig information, såsom Twitter-ID, namn, inloggningsnamn, platser och verifierad status men informationen innehöll även privat information, såsom telefonnummer och e-postadresser.
Informationen bjöds då ut till högstbjudande med ett minimipris på 30 000 dollar. Nu har samma information dykt upp igen, gratis, utlagda, för nedladdning på flera webbplatser. Informationen kunde stjälas via ett säkerhetshål i Twitters eget API och det tros att den bär informationen stals redan i december 2021.
Avstängda användare
Buggen/säkerhetshålen gjorde det möjligt att ”skrapa”, samla in stora mängder data utan begränsningar. Utöver de 5,4 miljoner posterna till försäljning fanns det ytterligare 1,4 miljoner Twitter-profiler för avstängda användare som samlades in med hjälp av ett annat API, vilket gör det totala antalet nästan 7 miljoner Twitter-profiler som innehåller privat information.
Bleeping Computer
av Mikael Winterkvist | nov 23, 2022 | Säkerhet
Webbplatsen för Europaparlamentet har tillfälligt gjorts otillgänglig i en DDoS-attack (Distributed Denial of Service) som genomförts av en pro-ryska grupp som kallar sig Anonymous Russia.
Europaparlamentets ordförande har bekräftat händelsen och sa att parlamentets ”IT experts are pushing back against it & protecting our systems.”
Generaldirektören för kommunikation och talesman för Europaparlamentet, Jaume Dauch, har också kommenterat och sagt att avbrottet orsakades av en pågående DDoS-attack. Webbplatsen var svår eller omöjligt att nå för en kort period. När detta skrivs så är webbplatsen upp igen och fullt ut fungerande.
Europa-Parlamentet
Attacken kom efter att Europaparlamentet pekat ut Ryssland som en statlig sponsor av terrorism och parlamentsledamöter krävde ytterligare internationell isolering av Ryssland. Resolutionen antogs på onsdagen efter den senaste utvecklingen i Rysslands anfallskrig mot Ukraina.
”Parlamentet uppmanar EU att ytterligare isolera Ryssland internationellt, inklusive när det kommer till Rysslands medlemskap i internationella organisationer och organ som FN:s säkerhetsråd”,skriver parlamentet i ett pressmeddelande.
av Mikael Winterkvist | nov 20, 2022 | Säkerhet
Fotbollsfans som besöker Qatar för VM bör inte ladda ner eller installera evenemangets officiella appar till sin iPhone eller andra enheter, säger EU:s dataskyddschef. Anledningen är på grund av den integritetsrisk de utgör för dem som använder dem.
Stora evenemang som fotbolls-VM producerar ofta appar som hjälper besökare och fans att navigera, schemalägga resor och ta reda på andra saker som de kan behöva veta när de är på plats. Även om dessa appar för det mesta är bra, verkar det inte vara fallet för VM 2022.
Varnar
Dataskyddstillsynsmyndigheter i Europa varnar för risker för användardata genom att installera officiella Qatar World Cup-appar på sina smartphones och surfplattor, rapporterar Politico. Varningarna backas upp upp av granskningar gjorda i Tyskland som visar att mer data än vad som uppges samlas in. Apparna ”går mycket längre” än vad deras integritetsmeddelanden anger.
Telefonsamtal
En app samlar in data om telefonsamtal som görs på en enhet, inklusive telefonnumret, enligt den tyska tillsynsmyndigheten, medan en annan app hindrar enheten från att gå ned i vila. ”Det är också uppenbart att data som används av apparna inte bara finns kvar lokalt på enheten utan också överförs till en central server”, tillade tillsynsmyndigheten i ett uttalande på tisdagen.
Tyska myndigheter går så långt som att uppmana besökarna att om det är ”absolut nödvändigt” att använda apparna, att de ska göra det på en annan telefon skild från sin vanliga enhet.
Norge
Norge har gått ut med en liknande varning om apparnas åtkomst. ”Det finns en reell möjlighet att besökare till Qatar, och särskilt utsatta grupper, kommer att övervakas av de qatariska myndigheterna”, heter det.
Myndigheter i Frankrike tillade att fans borde ta ”särskild försiktighet” med foton och videor och att installera apparna precis innan de lämnar landet, och att radera dem när de kommer hem.
