Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security...
12.6K views | +0 today
Follow
Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security...
Everything related to the (in)security of Apple products
Curated by Gust MEES
Your new post is loading...
Your new post is loading...
Rescooped by Gust MEES from 21st Century Learning and Teaching
Scoop.it!

Immune No More: An Apple Story

Immune No More: An Apple Story | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it
For a very long time, Apple and its pseudo-religious user-base prided itself on being a platform free of malware; those days are inarguably and unequivocally over. Its emergence as the early winner...
Gust MEES's insight:

 

A MUST read!!!

 

Learn more:

 

http://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
Scooped by Gust MEES
Scoop.it!

CERTFR-2018-AVI-455 : Multiples vulnérabilités dans Apple macOS (25 septembre 2018) | #CyberSecurity

mardi 25 septembre 2018

CERTFR-2018-AVI-455 : Multiples vulnérabilités dans Apple macOS (25 septembre 2018)
De multiples vulnérabilités ont été découvertes dans Apple macOS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

mardi 25 septembre 2018

CERTFR-2018-AVI-455 : Multiples vulnérabilités dans Apple macOS (25 septembre 2018)
De multiples vulnérabilités ont été découvertes dans Apple macOS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire, un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Nasty piece of CSS code crashes and restarts iPhones | #Vulnerabilities #iPad #iOS #Safari #NobodyIsPerfect #Quality

Nasty piece of CSS code crashes and restarts iPhones | #Vulnerabilities #iPad #iOS #Safari #NobodyIsPerfect #Quality | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

A security researcher has discovered a vulnerability in the WebKit rendering engine used by Safari that crashes and restarts the iOS operating system used by iPhones and iPads.

The vulnerability can be exploited by loading an HTML page that uses specially crafted CSS code. The CSS code isn't very complex and tries to apply a CSS effect known as backdrop-filter to a series of nested page segments (DIVs).

Backdrop-filter is a relative new CSS property and works by blurring or color shifting to the area behind an element. This is a heavy processing task, and some software engineers and web developers have speculated that the rendering of this effect takes a toll on iOS' graphics processing library, eventually leading to a crash of the mobile OS altogether.

Sabri Haddouche, a software engineer and security researcher at encrypted instant messaging app Wire, is the one who discovered the vulnerability, and published proof-of-concept code on Twitter earlier today.

This link will crash your iOS device, while this link will show the source code behind the vulnerability. Haddouche also tweeted a video of the vulnerability crashing his phone:

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

A security researcher has discovered a vulnerability in the WebKit rendering engine used by Safari that crashes and restarts the iOS operating system used by iPhones and iPads.

The vulnerability can be exploited by loading an HTML page that uses specially crafted CSS code. The CSS code isn't very complex and tries to apply a CSS effect known as backdrop-filter to a series of nested page segments (DIVs).

Backdrop-filter is a relative new CSS property and works by blurring or color shifting to the area behind an element. This is a heavy processing task, and some software engineers and web developers have speculated that the rendering of this effect takes a toll on iOS' graphics processing library, eventually leading to a crash of the mobile OS altogether.

Sabri Haddouche, a software engineer and security researcher at encrypted instant messaging app Wire, is the one who discovered the vulnerability, and published proof-of-concept code on Twitter earlier today.

This link will crash your iOS device, while this link will show the source code behind the vulnerability. Haddouche also tweeted a video of the vulnerability crashing his phone:

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Une faille de sécurité sur macOS passe par une option de Safari | #Apple #CyberSecurity #NobodyIsPerfect

Une faille de sécurité sur macOS passe par une option de Safari | #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Le chercheur en sécurité Patrick Wardle a mis en lumière sur son blog une faille dans macOS permettant d'installer à distance des logiciels malveillants.

Selon Wardle, « sur macOS, les applications peuvent prévenir l'utilisateur qu’elles sont capables de prendre en charge (ou gérer) différents types de documents et / ou schémas d’URL personnalisés. Vous avez sûrement déjà rencontré ce comportement sur macOS. Par exemple, lorsque vous double-cliquez sur un document .pdf, Aperçu est lancé pour ouvrir le document. Ou, dans un navigateur, vous cliquez sur un lien vers une application qui se trouve dans le Mac App Store, l'application App Store est lancée pour traiter cette demande. »

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Le chercheur en sécurité Patrick Wardle a mis en lumière sur son blog une faille dans macOS permettant d'installer à distance des logiciels malveillants.

Selon Wardle, « sur macOS, les applications peuvent prévenir l'utilisateur qu’elles sont capables de prendre en charge (ou gérer) différents types de documents et / ou schémas d’URL personnalisés. Vous avez sûrement déjà rencontré ce comportement sur macOS. Par exemple, lorsque vous double-cliquez sur un document .pdf, Aperçu est lancé pour ouvrir le document. Ou, dans un navigateur, vous cliquez sur un lien vers une application qui se trouve dans le Mac App Store, l'application App Store est lancée pour traiter cette demande. »

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Airmail : une faille de sécurité donne accès à l'ensemble des mails d'un compte | #Apple #CyberSecurity #NobodyIsPerfect

Airmail : une faille de sécurité donne accès à l'ensemble des mails d'un compte | #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Les chercheurs en sécurité de Versprite ont identifié plusieurs failles de sécurité touchant Airmail pour Mac. Ces dernières pourraient compromettre la sécurité d'un compte, laissant un accès libre à la totalité des messages.

Sur un blog, Versprite dévoile en détail la méthode mise en place pour tirer partie des vulnérabilités du logiciel. Pour résumer, l'attaque commence par l'envoi d'un mail comprenant un ou plusieurs liens faisant office de piège, et contenant un schéma URL particulier à Airmail.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Les chercheurs en sécurité de Versprite ont identifié plusieurs failles de sécurité touchant Airmail pour Mac. Ces dernières pourraient compromettre la sécurité d'un compte, laissant un accès libre à la totalité des messages.

Sur un blog, Versprite dévoile en détail la méthode mise en place pour tirer partie des vulnérabilités du logiciel. Pour résumer, l'attaque commence par l'envoi d'un mail comprenant un ou plusieurs liens faisant office de piège, et contenant un schéma URL particulier à Airmail.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Apple macOS vulnerability paves the way for system compromise with a single click | #Cybersecurity #NobodyIsPerfect

Apple macOS vulnerability paves the way for system compromise with a single click | #Cybersecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

The researcher says that bypassing Kext protections was "trivial," and the zero-day bug permits unprivileged code usage in order to "post synthetic events and bypass various security mechanisms on a fully patched macOS box."

The problem lies in the approval, or rejection, of synthetic events in the latest version of macOS. When two synthetic "down" events run, High Sierra interprets the attack as a manual approval via one "down" and one "up" click, which gives attackers a path straight to system compromise

Wardle told attendees that the bug was found by accident as he copied and pasted code, setting the script to click a synthetic mouse "down" twice without meaning to.

"Two lines of code completely break this security mechanism," Wardle told the publication. "It is truly mind-boggling that such a trivial attack is successful."

The next version of the OS, Mojave, will block synthetic events entirely, according to the researcher. However, the security community has expressed concerns that this could hamper the functionality of legitimate apps and services.

ZDNet has reached out to Apple and will update if we hear back.

 

Learn more / En savoir plus / Mehr erfahren:


https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

The researcher says that bypassing Kext protections was "trivial," and the zero-day bug permits unprivileged code usage in order to "post synthetic events and bypass various security mechanisms on a fully patched macOS box."

The problem lies in the approval, or rejection, of synthetic events in the latest version of macOS. When two synthetic "down" events run, High Sierra interprets the attack as a manual approval via one "down" and one "up" click, which gives attackers a path straight to system compromise

Wardle told attendees that the bug was found by accident as he copied and pasted code, setting the script to click a synthetic mouse "down" twice without meaning to.

"Two lines of code completely break this security mechanism," Wardle told the publication. "It is truly mind-boggling that such a trivial attack is successful."

The next version of the OS, Mojave, will block synthetic events entirely, according to the researcher. However, the security community has expressed concerns that this could hamper the functionality of legitimate apps and services.

ZDNet has reached out to Apple and will update if we hear back.

 

Learn more / En savoir plus / Mehr erfahren:


https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

New iOS security feature can be defeated by a $39 adapter… sold by Apple | #CyberSecurity #NobodyIsPerfect 

New iOS security feature can be defeated by a $39 adapter… sold by Apple | #CyberSecurity #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Unfortunately for Apple, and customers who like to believe that their phone is private, a workaround has been discovered whereby police could prevent an iPhone or iPad entering USB Restricted Mode if they act quickly enough.

Researchers at Elcomsoft discovered that the one hour countdown timer can be reset simply by connecting the iPhone to an untrusted USB accessory:

“In other words, once the police officer seizes an iPhone, he or she would need to immediately connect that iPhone to a compatible USB accessory to prevent USB Restricted Mode lock after one hour. Importantly, this only helps if the iPhone has still not entered USB Restricted Mode.”

And where might you find such a compatible USB accessory that can prevent USB Restricted Mode from kicking in?

Look no further than Apple’s own online store, where the company will happily sell you a Lightning to USB 3 Camera Adapter for a mere $39. Chances are that there are even cheaper accessories which will do the job just as well.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Unfortunately for Apple, and customers who like to believe that their phone is private, a workaround has been discovered whereby police could prevent an iPhone or iPad entering USB Restricted Mode if they act quickly enough.

Researchers at Elcomsoft discovered that the one hour countdown timer can be reset simply by connecting the iPhone to an untrusted USB accessory:

“In other words, once the police officer seizes an iPhone, he or she would need to immediately connect that iPhone to a compatible USB accessory to prevent USB Restricted Mode lock after one hour. Importantly, this only helps if the iPhone has still not entered USB Restricted Mode.”

And where might you find such a compatible USB accessory that can prevent USB Restricted Mode from kicking in?

Look no further than Apple’s own online store, where the company will happily sell you a Lightning to USB 3 Camera Adapter for a mere $39. Chances are that there are even cheaper accessories which will do the job just as well.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

macOS-Fehler macht verschlüsselte Bilder und Texte zugänglich | #Apple #CyberSecurity #Encryption

macOS-Fehler macht verschlüsselte Bilder und Texte zugänglich | #Apple #CyberSecurity #Encryption | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Ein Bug in der QuickLook-Schnellansicht speichert auch geschützte Dateien im Dateisystem, so Sicherheitsforscher.

In macOS wird ein Sandboxing verwendet, um sensible Daten voneinander zu trennen. Zudem sollte das Betriebssystem auch keine verschlüsselten Dateien zwischenspeichern. Doch genau dieses geschieht aufgrund eines Bugs – und das sogar schon über mehrere Jahre, wie zwei Sicherheitsforscher nun herausgefunden haben.

Der Fehler, so schreiben der Original-Autor Wojciech Regula und sein Kollege Patrick Wardle, liegt in der Schnellansicht QuickLook, die im macOS-Dateimanager Finder bereitsteht und es ermöglicht, mit einem Druck auf die Leertaste Dateiinhalte – etwa Bilder, Tabellen oder Texte – flott durchzusehen.

Automatische Zwischenspeicherung
Wird QuickLook verwendet, werden aufgerufene Bilder und andere Dokumentenarten allerdings automatisch zwischengespeichert – zwar nicht in Form der Originaldatei, jedoch in Form von Icon-Miniaturen (Thumbnails). Dabei unterscheidet macOS nicht zwischen verschlüsselten und unverschlüsselten Dateien. Die Thumbnails lassen sich dann wiederum in einem Cache-Verzeichnis auffinden und anschauen – Zugriff auf das (unverschlüsselte) Hauptmedium des Macs vorausgesetzt.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Encryption

 

Gust MEES's insight:

Ein Bug in der QuickLook-Schnellansicht speichert auch geschützte Dateien im Dateisystem, so Sicherheitsforscher.

In macOS wird ein Sandboxing verwendet, um sensible Daten voneinander zu trennen. Zudem sollte das Betriebssystem auch keine verschlüsselten Dateien zwischenspeichern. Doch genau dieses geschieht aufgrund eines Bugs – und das sogar schon über mehrere Jahre, wie zwei Sicherheitsforscher nun herausgefunden haben.

Der Fehler, so schreiben der Original-Autor Wojciech Regula und sein Kollege Patrick Wardle, liegt in der Schnellansicht QuickLook, die im macOS-Dateimanager Finder bereitsteht und es ermöglicht, mit einem Druck auf die Leertaste Dateiinhalte – etwa Bilder, Tabellen oder Texte – flott durchzusehen.

Automatische Zwischenspeicherung
Wird QuickLook verwendet, werden aufgerufene Bilder und andere Dokumentenarten allerdings automatisch zwischengespeichert – zwar nicht in Form der Originaldatei, jedoch in Form von Icon-Miniaturen (Thumbnails). Dabei unterscheidet macOS nicht zwischen verschlüsselten und unverschlüsselten Dateien. Die Thumbnails lassen sich dann wiederum in einem Cache-Verzeichnis auffinden und anschauen – Zugriff auf das (unverschlüsselte) Hauptmedium des Macs vorausgesetzt.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Encryption

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Apples iPhone 7: Mikrofon kann nach Update auf iOS 11.3 kaputt sein | #Apple #Quality #NobodyIsPerfect

Apples iPhone 7: Mikrofon kann nach Update auf iOS 11.3 kaputt sein | #Apple #Quality #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Mikrofon kann nach Update auf iOS 11.3 kaputt sein


Das Update auf iOS 11.3 macht bei einigen Besitzern eines iPhone 7 oder iPhone 7 Plus Probleme. Das Mikrofon am Smartphone funktioniert dann nicht mehr einwandfrei. In einem solchen Fall kann eine Reparatur notwendig sein.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Mikrofon kann nach Update auf iOS 11.3 kaputt sein


Das Update auf iOS 11.3 macht bei einigen Besitzern eines iPhone 7 oder iPhone 7 Plus Probleme. Das Mikrofon am Smartphone funktioniert dann nicht mehr einwandfrei. In einem solchen Fall kann eine Reparatur notwendig sein.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
Scooped by Gust MEES
Scoop.it!

Apple’s latest updates are out – APFS password leakage bug squashed | #CyberSecurity #CyberHygiene #Updates #NobodyIsPerfect 

Apple’s latest updates are out – APFS password leakage bug squashed | #CyberSecurity #CyberHygiene #Updates #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Apple delivered its latest batch of security updates for iOS and macOS this week.

On iDevices, the update was a full-on point release, bumping the iOS version from 11.3 to 11.3.1 and making it easy to check whether you’ve installed the update correctly: just go to Settings → General → Software Update and see what version number you’re currently on.

For Mac users, the patch is dubbed simply Security Update 2018-001, so your macOS version stays at 10.13.4 after you’ve installed it.

Safari was bumped from 11 to 11.1 in this update – note that if you’re still on El Capitan or Sierra (OS X 10.11.6 and macOS 10.12.6 respectively), where there isn’t a 2018-001 update, you’ll need to update Safari separately.

Just two critical vulnerabilities were patched this time, both of them in the WebKit web rendering code in iOS and macOS.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Apple delivered its latest batch of security updates for iOS and macOS this week.

On iDevices, the update was a full-on point release, bumping the iOS version from 11.3 to 11.3.1 and making it easy to check whether you’ve installed the update correctly: just go to Settings → General → Software Update and see what version number you’re currently on.

For Mac users, the patch is dubbed simply Security Update 2018-001, so your macOS version stays at 10.13.4 after you’ve installed it.

Safari was bumped from 11 to 11.1 in this update – note that if you’re still on El Capitan or Sierra (OS X 10.11.6 and macOS 10.12.6 respectively), where there isn’t a 2018-001 update, you’ll need to update Safari separately.

Just two critical vulnerabilities were patched this time, both of them in the WebKit web rendering code in iOS and macOS.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit | #CyberSecurity #MacOS #NobodyIsPerfect

Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit | #CyberSecurity #MacOS #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Apple loggt APFS-Passwort im Klartext mit


Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden.

Wer externe Datenträger mit Apples Dateisystem APFS (Apple Filesystem) nutzt und diese verschlüsselt, dessen Passwort wird in einigen Versionen von MacOS im Klartext mitgeloggt, wie die Forensik-Expertin Sarah Edwards schreibt. Der Fehler ist von Apple mit der aktuellen Version 10.13.3 bei der Einrichtung neuer Volumes behoben worden, verwundbar waren offenbar Nutzer der Versionen 10.13.1 und 10.13.2. Auch die Version 10.13.2 ist mittlerweile gegen Angriffe abgesichert.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Apple loggt APFS-Passwort im Klartext mit


Wer externe Datenträger mit APFS nutzt und diese verschlüsselt, dessen Passwort wird in einigen MacOS-Versionen im Klartext mitgeloggt. Der Fehler ist bislang nur teilweise behoben worden.

Wer externe Datenträger mit Apples Dateisystem APFS (Apple Filesystem) nutzt und diese verschlüsselt, dessen Passwort wird in einigen Versionen von MacOS im Klartext mitgeloggt, wie die Forensik-Expertin Sarah Edwards schreibt. Der Fehler ist von Apple mit der aktuellen Version 10.13.3 bei der Einrichtung neuer Volumes behoben worden, verwundbar waren offenbar Nutzer der Versionen 10.13.1 und 10.13.2. Auch die Version 10.13.2 ist mittlerweile gegen Angriffe abgesichert.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Hacker-Tool GrayKey: Diese kleine Box knackt iPhones! | #Apple #NobodyIsPerfect

Hacker-Tool GrayKey: Diese kleine Box knackt iPhones! | #Apple #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Einer US-Firma ist es nach Erkenntnissen der IT-Sicherheitsfirma Malwarebytes gelungen, den Passwortschutz von Apples iPhone zu knacken. Ihr Gerät mit dem Namen GrayKey könne den Passcode der Geräte herausfinden, berichtet Malwarebytes. Dem Unternehmen zufolge dauert der Prozess bei sechsstelligen Zahlenfolgen zwischen zwei Stunden und drei Tagen. Malwarebytes geht davon aus, dass GrayKey eine von Apple noch nicht entdeckte Software-Schwachstelle nutzt und nicht mehr funktioniert, wenn der Konzern diese stopft. So lief es vor einigen Jahren bereits bei einem anderen Gerät zum Knacken von iPhones, der IP-Box.

GrayKey: Hacker-Box für Behörden
Die 2016 in Atlanta (US-Bundesstaat Georgia) gegründete Firma Grayshift produziert GrayKey. Sie bietet ihre Dienste ausschließlich Behörden an. Bisher hatten Experten vor allem der Firma Cellebrite aus Israel die Fähigkeit zugeschrieben, den Passwortschutz von iPhones auszuhebeln. Auch in diesem Fall ist unklar, wie genau das funktioniert.

GrayKey: Was kostet die Hacker-Box?


Während Cellebrite laut Medienberichten einen Preis von 5.000 US-Dollar pro Gerät verlangt und man die iPhones der Firma zuschicken muss, gibt Grayshift die Technik laut Malwarebytes direkt seinen Kunden in die Hand. Für 15.000 US-Dollar gibt es eine Version der GrayKey-Box, die nur mit Internet-Anbindung funktioniert und eine bestimmte Anzahl von Telefonen entsperrt. Für 30.000 US-Dollar dagegen erhalten die Behörden ein GrayKey-Gerät ohne Einschränkungen, das auch keinen Internet-Zugang benötigt.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Cellebrite

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Graykey

 

Gust MEES's insight:

Einer US-Firma ist es nach Erkenntnissen der IT-Sicherheitsfirma Malwarebytes gelungen, den Passwortschutz von Apples iPhone zu knacken. Ihr Gerät mit dem Namen GrayKey könne den Passcode der Geräte herausfinden, berichtet Malwarebytes. Dem Unternehmen zufolge dauert der Prozess bei sechsstelligen Zahlenfolgen zwischen zwei Stunden und drei Tagen. Malwarebytes geht davon aus, dass GrayKey eine von Apple noch nicht entdeckte Software-Schwachstelle nutzt und nicht mehr funktioniert, wenn der Konzern diese stopft. So lief es vor einigen Jahren bereits bei einem anderen Gerät zum Knacken von iPhones, der IP-Box.

GrayKey: Hacker-Box für Behörden
Die 2016 in Atlanta (US-Bundesstaat Georgia) gegründete Firma Grayshift produziert GrayKey. Sie bietet ihre Dienste ausschließlich Behörden an. Bisher hatten Experten vor allem der Firma Cellebrite aus Israel die Fähigkeit zugeschrieben, den Passwortschutz von iPhones auszuhebeln. Auch in diesem Fall ist unklar, wie genau das funktioniert.

GrayKey: Was kostet die Hacker-Box?


Während Cellebrite laut Medienberichten einen Preis von 5.000 US-Dollar pro Gerät verlangt und man die iPhones der Firma zuschicken muss, gibt Grayshift die Technik laut Malwarebytes direkt seinen Kunden in die Hand. Für 15.000 US-Dollar gibt es eine Version der GrayKey-Box, die nur mit Internet-Anbindung funktioniert und eine bestimmte Anzahl von Telefonen entsperrt. Für 30.000 US-Dollar dagegen erhalten die Behörden ein GrayKey-Gerät ohne Einschränkungen, das auch keinen Internet-Zugang benötigt.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Cellebrite

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Graykey

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Apple : le nombre de malwares sur Mac a presque triplé en 2017 | #CyberSecurity #NobodyIsPerfect #LEARNing2LEARN

Apple : le nombre de malwares sur Mac a presque triplé en 2017 | #CyberSecurity #NobodyIsPerfect #LEARNing2LEARN | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Déjà quatre nouveaux malwares identifiés en 2018 sur Mac

Malwarebytes dévoile en outre que pas moins de quatre nouveaux malwares ont été identifiés depuis le début de l'année 2018. L'un d'entre eux a été identifié par un utilisateur dont les DNS ont été changés à son insu et qui s'est retrouvé dans l'impossibilité de les remettre à zéro : OSX.MaMi. Outre le changement de DNS, le malware avait également installé un nouveau certificat de sécurité.

Un autre malware serait issu des outils développés par le Liban dans le cadre de l'opération d'espionnage d'Etat DarkCaracal. Ce malware ne serait toutefois qu'en phase de développement, la version identifiée étant la 0.1, d'après Malwarebytes.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Déjà quatre nouveaux malwares identifiés en 2018 sur Mac

Malwarebytes dévoile en outre que pas moins de quatre nouveaux malwares ont été identifiés depuis le début de l'année 2018. L'un d'entre eux a été identifié par un utilisateur dont les DNS ont été changés à son insu et qui s'est retrouvé dans l'impossibilité de les remettre à zéro : OSX.MaMi. Outre le changement de DNS, le malware avait également installé un nouveau certificat de sécurité.

Un autre malware serait issu des outils développés par le Liban dans le cadre de l'opération d'espionnage d'Etat DarkCaracal. Ce malware ne serait toutefois qu'en phase de développement, la version identifiée étant la 0.1, d'après Malwarebytes.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)
De multiples vulnérabilités ont été découvertes dans Apple iOS. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-475/

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

CERTFR-2018-AVI-475 : Multiples vulnérabilités dans Apple iOS (09 octobre 2018)
De multiples vulnérabilités ont été découvertes dans Apple iOS. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-475/

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Rescooped by Gust MEES from 21st Century Learning and Teaching
Scoop.it!

A peine sorti, macOS Mojave est déjà victime d’une grosse faille de sécurité | #CyberSecurity #Apple #NobodyIsPerfect

A peine sorti, macOS Mojave est déjà victime d’une grosse faille de sécurité | #CyberSecurity #Apple #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Les contrôles d’accès censés protéger les données personnelles comme le carnet d’adresses peuvent être contournés, comme vient de le démontrer un chercheur en sécurité.
Depuis hier, 24 septembre, les utilisateurs d’ordinateurs Mac peuvent installer la dernière version du système d’exploitation macOS Mojave. Malheureusement, celle-ci est déjà impacté par une importante faille de sécurité qui met à mal la protection des données personnelles. Avec macOS Mojave, Apple a en effet musclé les contrôles d’accès aux fichiers et aux applications sensibles tels que le carnet d’adresses, l’historique des messages, la base de données d’email, le microphone, la caméra, etc. Mais ces contrôles d’accès peuvent être court-circuités, comme le démontre le chercheur en sécurité Patrick Wardle.

Cet expert a développé une application baptisée « breakMojave » capable de siphonner en douce le carnet d’adresses de l’utilisateur sans rien lui demander. Il a montré le déroulement du hack dans une vidéo Vimeo. Au départ, on constate qu’aucune application tierce n’a accès au carnet d’adresses. Le chercheur ouvre ensuite une fenêtre Terminal et tente d’accéder directement aux données du carnet d’adresses, sans succès. Le lancement de breakMojave provoque enfin l’extraction des données, qui se retrouvent copiées en vrac sur le bureau.     

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

 

 

more...
Gust MEES's curator insight, September 25, 9:13 AM

Les contrôles d’accès censés protéger les données personnelles comme le carnet d’adresses peuvent être contournés, comme vient de le démontrer un chercheur en sécurité.
Depuis hier, 24 septembre, les utilisateurs d’ordinateurs Mac peuvent installer la dernière version du système d’exploitation macOS Mojave. Malheureusement, celle-ci est déjà impacté par une importante faille de sécurité qui met à mal la protection des données personnelles. Avec macOS Mojave, Apple a en effet musclé les contrôles d’accès aux fichiers et aux applications sensibles tels que le carnet d’adresses, l’historique des messages, la base de données d’email, le microphone, la caméra, etc. Mais ces contrôles d’accès peuvent être court-circuités, comme le démontre le chercheur en sécurité Patrick Wardle.

Cet expert a développé une application baptisée « breakMojave » capable de siphonner en douce le carnet d’adresses de l’utilisateur sans rien lui demander. Il a montré le déroulement du hack dans une vidéo Vimeo. Au départ, on constate qu’aucune application tierce n’a accès au carnet d’adresses. Le chercheur ouvre ensuite une fenêtre Terminal et tente d’accéder directement aux données du carnet d’adresses, sans succès. Le lancement de breakMojave provoque enfin l’extraction des données, qui se retrouvent copiées en vrac sur le bureau.     

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Scooped by Gust MEES
Scoop.it!

Une faille de sécurité touche tous les Mac et PC Windows (sauf les Mac avec la puce T2) | #CyberSecurity #ColdBoot

Une faille de sécurité touche tous les Mac et PC Windows (sauf les Mac avec la puce T2) | #CyberSecurity #ColdBoot | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Une nouvelle faille découverte par F-Secure mettrait en danger presque tous les ordinateurs, portables comme de bureau, Mac et Windows, y compris si FileVault est activé.

Selon nos confrères de TechCrunch, la faille du firmware est liée au fait que presque toutes les machines Mac et Windows écrasent les données lorsqu’elles sont désactivées. Cette faille est basée sur une attaque dites « cold boot », où les pirates informatiques tentent de voler des données sur un ordinateur hors tension.

Olle Segerdahl et Pasi Saarinen de F-Secure ont découvert une vulnérabilité au sein du firmware qui permet de désactiver l'effacement des données. Toutefois, les individus malveillant devront avoir un accès physique à la machine convoitée.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Une nouvelle faille découverte par F-Secure mettrait en danger presque tous les ordinateurs, portables comme de bureau, Mac et Windows, y compris si FileVault est activé.

Selon nos confrères de TechCrunch, la faille du firmware est liée au fait que presque toutes les machines Mac et Windows écrasent les données lorsqu’elles sont désactivées. Cette faille est basée sur une attaque dites « cold boot », où les pirates informatiques tentent de voler des données sur un ordinateur hors tension.

Olle Segerdahl et Pasi Saarinen de F-Secure ont découvert une vulnérabilité au sein du firmware qui permet de désactiver l'effacement des données. Toutefois, les individus malveillant devront avoir un accès physique à la machine convoitée.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Apple hacked by 16-year-old who “dreamed” of working for firm | #CyberSecurity #NobodyIsPerfect 

Apple hacked by 16-year-old who “dreamed” of working for firm | #CyberSecurity #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

An Australian teenager has admitted hacking into Apple’s internal network and stealing 90 GB worth of files.

The 16-year-old, who cannot be named for legal reasons, has pleaded guilty to breaking into Apple’s systems on multiple occasions over the course of a year, from his parent’s home in Melbourne’s suburbs.

According to a report in The Age, the young hacker claimed to be a “fan” of the company, who “dreamed” of working for Apple one day.

The teen is thought to have attempted to hide his identity using a variety of tools, such as VPN software. But after Apple eventually spotted the unauthorised access of their internal systems they informed the FBI, who in turn worked with the Australian Federal Police to track down the intruder.

A search of the teenager’s home last year saw law enforcement officers seize two Apple laptops with serial numbers that “matched the serial numbers of devices which accessed the internal systems”, according to a prosecutor.

In addition, a mobile phone and hard drive was also seized.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

An Australian teenager has admitted hacking into Apple’s internal network and stealing 90 GB worth of files.

The 16-year-old, who cannot be named for legal reasons, has pleaded guilty to breaking into Apple’s systems on multiple occasions over the course of a year, from his parent’s home in Melbourne’s suburbs.

According to a report in The Age, the young hacker claimed to be a “fan” of the company, who “dreamed” of working for Apple one day.

The teen is thought to have attempted to hide his identity using a variety of tools, such as VPN software. But after Apple eventually spotted the unauthorised access of their internal systems they informed the FBI, who in turn worked with the Australian Federal Police to track down the intruder.

A search of the teenager’s home last year saw law enforcement officers seize two Apple laptops with serial numbers that “matched the serial numbers of devices which accessed the internal systems”, according to a prosecutor.

In addition, a mobile phone and hard drive was also seized.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Exclusive: HP Leaves Mac Users Vulnerable to Fax Hacks | #Apple #CyberSecurity #NobodyIsPerfect

Exclusive: HP Leaves Mac Users Vulnerable to Fax Hacks | #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

HP Leaves Mac Users Vulnerable to Fax Hacks
Oftentimes when HP releases firmware updates for printers and multifunction devices, the company only makes the firmware available in the form of an EXE file — a Windows application. In spite of the severity of the Faxploit bugs, HP has not made an exception to this unfortunate practice.

Of the more than 150 affected models for which HP released firmware updates, approximately one quarter of them do not have a Mac-compatible firmware update installer available to download through HP's support site. Later in this article is a complete list of devices for which Mac-compatible firmware installation methods are not currently available.

This leaves companies and home users that only use macOS or Linux in a difficult position: unplug your fax line, or remain vulnerable to serious attacks.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

HP Leaves Mac Users Vulnerable to Fax Hacks
Oftentimes when HP releases firmware updates for printers and multifunction devices, the company only makes the firmware available in the form of an EXE file — a Windows application. In spite of the severity of the Faxploit bugs, HP has not made an exception to this unfortunate practice.

Of the more than 150 affected models for which HP released firmware updates, approximately one quarter of them do not have a Mac-compatible firmware update installer available to download through HP's support site. Later in this article is a complete list of devices for which Mac-compatible firmware installation methods are not currently available.

This leaves companies and home users that only use macOS or Linux in a difficult position: unplug your fax line, or remain vulnerable to serious attacks.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

How one man could have hacked every Mac developer (73% of them, anyway) | #Apple #CyberSecurity #NobodyIsPerfect

How one man could have hacked every Mac developer (73% of them, anyway) | #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Longstoryshort, Holmes was able to copy this API token, paste it into his own web requests, and get read-and-write access to much of Homebrew’s GitHub content.

As he explains in his post, he could have hacked pretty much any Homebrew package, thereby infecting any and every Mac user who installed or updated that package – or, of course, any other package that depended on it.

And, as Holmes wryly pointed out, the most downloaded package in the last 30 days at Homebrew is itself all about cybersecurity: openssl, with more than half-a-million installs last month.

That’s a lot of Brew users – and by implication a lot of developers who themselves build software for distribution to other people – whom he could have put on the spot.

What to do?
If you’re a Brew user, there’s no need for alarm and no immediate action you need to take.

Holmes disclosed this responsibly to the Homebrew crew, who fixed the issue right away – within a few hours, in fact – and published a short, frank and informative disclosure notice.

As in the case of Gentoo’s recent supply-chain breach, the disclosure notice is worth reading whether the incident directly affects you or not.

Howebrew included some security precautions that the team is planning to add, and why.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Nobody+is+perfect

 

Gust MEES's insight:

Longstoryshort, Holmes was able to copy this API token, paste it into his own web requests, and get read-and-write access to much of Homebrew’s GitHub content.

As he explains in his post, he could have hacked pretty much any Homebrew package, thereby infecting any and every Mac user who installed or updated that package – or, of course, any other package that depended on it.

And, as Holmes wryly pointed out, the most downloaded package in the last 30 days at Homebrew is itself all about cybersecurity: openssl, with more than half-a-million installs last month.

That’s a lot of Brew users – and by implication a lot of developers who themselves build software for distribution to other people – whom he could have put on the spot.

What to do?
If you’re a Brew user, there’s no need for alarm and no immediate action you need to take.

Holmes disclosed this responsibly to the Homebrew crew, who fixed the issue right away – within a few hours, in fact – and published a short, frank and informative disclosure notice.

As in the case of Gentoo’s recent supply-chain breach, the disclosure notice is worth reading whether the incident directly affects you or not.

Howebrew included some security precautions that the team is planning to add, and why.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Nobody+is+perfect

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

A hacker figured out how to brute force iPhone passcodes | #CyberSecurity #Apple

A hacker figured out how to brute force iPhone passcodes | #CyberSecurity #Apple | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Since iOS 8 rolled out in 2014, all iPhones and iPads have come with device encryption. Often protected by a four- or six-digit passcode, a hardware and software combination has made it nearly impossible to break into an iPhone or iPad without cooperation from the device owner.

And if the wrong passcode is entered too many times, the device gets wiped.

But Matthew Hickey, a security researcher and co-founder of cybersecurity firm Hacker House, found a way to bypass the 10-time limit and enter as many codes as he wants -- even on iOS 11.3.

Normally, iPhones and iPads are limited in how many times a passcode can be entered each minute. Newer Apple devices contain a "secure enclave," a part of the hardware that can't be modified, which protects the device from brute-force attacks, like entering as many passcodes as possible. The secure enclave keeps count of how many incorrect passcode attempts have been entered and gets slower at responding with each failed attempt.

Hickey found a way around that. He explained that when an iPhone or iPad is plugged in and a would-be-hacker sends keyboard inputs, it triggers an interrupt request, which takes priority over anything else on the device.

"Instead of sending passcodes one at a time and waiting, send them all in one go," he said.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Since iOS 8 rolled out in 2014, all iPhones and iPads have come with device encryption. Often protected by a four- or six-digit passcode, a hardware and software combination has made it nearly impossible to break into an iPhone or iPad without cooperation from the device owner.

And if the wrong passcode is entered too many times, the device gets wiped.

But Matthew Hickey, a security researcher and co-founder of cybersecurity firm Hacker House, found a way to bypass the 10-time limit and enter as many codes as he wants -- even on iOS 11.3.

Normally, iPhones and iPads are limited in how many times a passcode can be entered each minute. Newer Apple devices contain a "secure enclave," a part of the hardware that can't be modified, which protects the device from brute-force attacks, like entering as many passcodes as possible. The secure enclave keeps count of how many incorrect passcode attempts have been entered and gets slower at responding with each failed attempt.

Hickey found a way around that. He explained that when an iPhone or iPad is plugged in and a would-be-hacker sends keyboard inputs, it triggers an interrupt request, which takes priority over anything else on the device.

"Instead of sending passcodes one at a time and waiting, send them all in one go," he said.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

A bug in macOS' "Quick Look" feature leaks encrypted data, researchers find | #Apple #CyberSecurity #NobodyIsPerfect #Encryption

A bug in macOS' "Quick Look" feature leaks encrypted data, researchers find | #Apple #CyberSecurity #NobodyIsPerfect #Encryption | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

A bug in macOS can expose the contents of a user's files -- including document text and photo thumbnails -- even if the drive is encrypted.

Security researcher Wojciech Regula found that the "Quick Look" feature in macOS, which takes a snapshot of a file's contents and the full file path without the user having to open each file, stores that snapshot data in an unprotected location on the computer's hard drive.

Regula, a security specialist, wrote up details about the macOS data leak issue earlier this month.

"It means that all photos that you have previewed ... are stored in that directory as a miniature and its path," Regula wrote. They stay there even if you delete the files, he said.

Patrick Wardle, chief research officer at Digita Security, built on Regula's work in his own blog post, published Monday, noting that the bug is triggered every time a user opens a folder.

The bug exposes even encrypted volumes to potential snooping.

"If we unmount the encrypted volume, the thumbnails of the file are ... still stored in the user's temporary directory, and thus can be extracted," said Wardle.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Encryption

 

Gust MEES's insight:

A bug in macOS can expose the contents of a user's files -- including document text and photo thumbnails -- even if the drive is encrypted.

Security researcher Wojciech Regula found that the "Quick Look" feature in macOS, which takes a snapshot of a file's contents and the full file path without the user having to open each file, stores that snapshot data in an unprotected location on the computer's hard drive.

Regula, a security specialist, wrote up details about the macOS data leak issue earlier this month.

"It means that all photos that you have previewed ... are stored in that directory as a miniature and its path," Regula wrote. They stay there even if you delete the files, he said.

Patrick Wardle, chief research officer at Digita Security, built on Regula's work in his own blog post, published Monday, noting that the bug is triggered every time a user opens a folder.

The bug exposes even encrypted volumes to potential snooping.

"If we unmount the encrypted volume, the thumbnails of the file are ... still stored in the user's temporary directory, and thus can be extracted," said Wardle.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Encryption

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

L’installation de macOS High Sierra bloque chez plusieurs utilisateurs | #Apple #Updates #Quality #NobodyIsPerfect

L’installation de macOS High Sierra bloque chez plusieurs utilisateurs | #Apple #Updates #Quality #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Les serveurs d’Apple qui distribuent les fichiers indispensables à l’installation de macOS High Sierra ont peut-être quelques soucis depuis hier. Un lecteur nous a contacté pour nous indiquer qu’il n’arrivait pas à terminer l’installation du système sur son Mac. Un message d’erreur signale que certains « éléments importants […] ne peuvent pas être téléchargés pour le moment. » et la seule solution proposée est de recommencer ultérieurement.

Ce problème est également signalé à plusieurs reprises dans nos forums, trop souvent pour ne pas dire qu’il y a un problème du côté d’Apple. Et ce n’est pas un souci uniquement français, ou même européen, puisque l’on a au moins cet internaute américain qui se plaint du même problème sur les réseaux sociaux.

Pour l’heure, Apple n’a pas communiqué sur un bug lié à ses serveurs de mises à jour. S’agit-il d’un souci de distribution sur le CDN utilisé par la firme ? D’un certificat périmé peut-être ? Quoi qu’il en soit, si vous essayez d’installer macOS High Sierra et que vous voyez ce message d’erreur, sachez que ce n’est a priori pas de la faute de votre connexion ou de votre réseau local. Patienter semble être la seule solution pour le moment.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Les serveurs d’Apple qui distribuent les fichiers indispensables à l’installation de macOS High Sierra ont peut-être quelques soucis depuis hier. Un lecteur nous a contacté pour nous indiquer qu’il n’arrivait pas à terminer l’installation du système sur son Mac. Un message d’erreur signale que certains « éléments importants […] ne peuvent pas être téléchargés pour le moment. » et la seule solution proposée est de recommencer ultérieurement.

Ce problème est également signalé à plusieurs reprises dans nos forums, trop souvent pour ne pas dire qu’il y a un problème du côté d’Apple. Et ce n’est pas un souci uniquement français, ou même européen, puisque l’on a au moins cet internaute américain qui se plaint du même problème sur les réseaux sociaux.

Pour l’heure, Apple n’a pas communiqué sur un bug lié à ses serveurs de mises à jour. S’agit-il d’un souci de distribution sur le CDN utilisé par la firme ? D’un certificat périmé peut-être ? Quoi qu’il en soit, si vous essayez d’installer macOS High Sierra et que vous voyez ce message d’erreur, sachez que ce n’est a priori pas de la faute de votre connexion ou de votre réseau local. Patienter semble être la seule solution pour le moment.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Des mises à jour de sécurité pour macOS Sierra et El Capitan | #Updates #Apple #CyberSecurity #NobodyIsPerfect

Des mises à jour de sécurité pour macOS Sierra et El Capitan | #Updates #Apple #CyberSecurity #NobodyIsPerfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Des mises à jour de sécurité pour macOS Sierra et El Capitan
Florian Innocente | 30/03/2018 à 10:56 (Mis à jour le 30/03/2018 à 14:48)
Les utilisateurs de Sierra et d'El Capitan profitent d'une volée de corrections de failles de sécurité
ADVERTISEMENT

qui ont été offertes en parallèle à High Sierra, au travers de la mise à jour 10.13.4.

Des mises à jour spécifiques estampillées "Security Update 2018-002" à récupérer sur le Mac App Store (Safari 11.1 proposé à ces système contient aussi son lot de bugs supprimés). Elles règlent des lacunes à différents niveaux, que ce soit le kernel, APFS, Mail, Notes, des pilotes graphiques Intel, iCloud Drive, le Terminal, etc.

Parmi ces failles, il y en avait une par exemple permettant à une application d'enregistrer, à l'insu de l'utilisateur, les touches qu'il frappait lorsqu'il tapait du texte dans un autre logiciel. Un keylogger tout à fait discret en somme. Le même défaut était partagé par iOS et il a été corrigé pareillement.

Pas mal de failles, communes à macOS et iOS, avaient été dénichées par Samuel Groß, elles avaient comme point commun d'accorder à une application des droits d'accès indus.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

Des mises à jour de sécurité pour macOS Sierra et El Capitan
Florian Innocente | 30/03/2018 à 10:56 (Mis à jour le 30/03/2018 à 14:48)
Les utilisateurs de Sierra et d'El Capitan profitent d'une volée de corrections de failles de sécurité
ADVERTISEMENT

qui ont été offertes en parallèle à High Sierra, au travers de la mise à jour 10.13.4.

Des mises à jour spécifiques estampillées "Security Update 2018-002" à récupérer sur le Mac App Store (Safari 11.1 proposé à ces système contient aussi son lot de bugs supprimés). Elles règlent des lacunes à différents niveaux, que ce soit le kernel, APFS, Mail, Notes, des pilotes graphiques Intel, iCloud Drive, le Terminal, etc.

Parmi ces failles, il y en avait une par exemple permettant à une application d'enregistrer, à l'insu de l'utilisateur, les touches qu'il frappait lorsqu'il tapait du texte dans un autre logiciel. Un keylogger tout à fait discret en somme. Le même défaut était partagé par iOS et il a été corrigé pareillement.

Pas mal de failles, communes à macOS et iOS, avaient été dénichées par Samuel Groß, elles avaient comme point commun d'accorder à une application des droits d'accès indus.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Pwn2Own 2018: Touch Bar eines MacBook Pro via Safari gehackt | #CyberSecurity #Apple #Browser #Vulnerabilities #NobodyIsPerfect 

Pwn2Own 2018: Touch Bar eines MacBook Pro via Safari gehackt | #CyberSecurity #Apple #Browser #Vulnerabilities #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Über die Ausnutzung von insgesamt drei Fehlern gelang es einem Sicherheitsforscher, aus dem Browser heraus tief in macOS einzugreifen. Auch ein weiterer Safari-Hack verlief erfolgreich.

Auf der diesjährigen Pwn2Own der Zero Day Initiative im Rahmen der CanSecWest-Konferenz im kanadischen Vancouver gelangen Sicherheitsforschern in der letzten Woche zwei erfolgreiche Angriffe auf macOS über den Apple-Browser Safari.

Verkettung von drei Fehlern
Samuel Groß von der Gruppe phoenhex, dem zusammen mit einem Kollegen im vergangenen Jahr ein ähnlicher Angriff gelungen war, zeigte einen aus drei Fehlern bestehenden Angriff, bei dem es über Safari gelang, einen Text auf der eigentlich besonders geschützte Funktionstastenleiste Touch Bar eines MacBook Pro zu platzieren (siehe Bild). In Safari nutzte Groß einen JIT-Optimization-Bug und anschließend einen Logikfehler in macOS, um die Sandbox zu verlassen. Fehler drei war ein Kernel-Overwrite, über den Code mit Hilfe einer Kernel-Erweiterung ausgeführt werden konnte. Groß erhielt 65.000 US-Dollar und 6 "Master of Pwn"-Punkte.

EInem zweiten Team, den MWR Labs um Alex Plaskett, Georgi Geshev und Fabi Beterke, gelang am zweiten Tag der Pwn2Own wiederum ein Sandbox-Escape in Safari. Dabei wurden zwei Fehler ausgenutzt. Die Gruppe erhielt 55.000 Dollar und 5 "Master of Pwn"-Punkte.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Pwn20wn

 

Gust MEES's insight:

Über die Ausnutzung von insgesamt drei Fehlern gelang es einem Sicherheitsforscher, aus dem Browser heraus tief in macOS einzugreifen. Auch ein weiterer Safari-Hack verlief erfolgreich.

Auf der diesjährigen Pwn2Own der Zero Day Initiative im Rahmen der CanSecWest-Konferenz im kanadischen Vancouver gelangen Sicherheitsforschern in der letzten Woche zwei erfolgreiche Angriffe auf macOS über den Apple-Browser Safari.

Verkettung von drei Fehlern
Samuel Groß von der Gruppe phoenhex, dem zusammen mit einem Kollegen im vergangenen Jahr ein ähnlicher Angriff gelungen war, zeigte einen aus drei Fehlern bestehenden Angriff, bei dem es über Safari gelang, einen Text auf der eigentlich besonders geschützte Funktionstastenleiste Touch Bar eines MacBook Pro zu platzieren (siehe Bild). In Safari nutzte Groß einen JIT-Optimization-Bug und anschließend einen Logikfehler in macOS, um die Sandbox zu verlassen. Fehler drei war ein Kernel-Overwrite, über den Code mit Hilfe einer Kernel-Erweiterung ausgeführt werden konnte. Groß erhielt 65.000 US-Dollar und 6 "Master of Pwn"-Punkte.

EInem zweiten Team, den MWR Labs um Alex Plaskett, Georgi Geshev und Fabi Beterke, gelang am zweiten Tag der Pwn2Own wiederum ein Sandbox-Escape in Safari. Dabei wurden zwei Fehler ausgenutzt. Die Gruppe erhielt 55.000 Dollar und 5 "Master of Pwn"-Punkte.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Pwn20wn

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Un boîtier à 15 000$ pour déverrouiller n’importe quel iPhone | #Apple #NobodyIsperfect

Un boîtier à 15 000$ pour déverrouiller n’importe quel iPhone | #Apple #NobodyIsperfect | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

Il n’y a apparemment pas que Cellebrite qui peut s’immiscer dans les smartphones d’Apple. Ce jeudi 15 mars 2018, la société de sécurité Malwarebytes a publié un article sur son blog au sujet d’un mystérieux boîtier baptisé GrayKey, qui serait capable de briser la sécurité et d’absorber les données de n’importe quel iPhone en circulation.

Commercialisé par la petite entreprise américaine Grayshift (moins de 50 employés), ce boîtier semble avoir vocation à intégrer les bureaux des agences gouvernementales, notamment américaines. Toutefois, très peu d’informations sont disponibles à l’heure actuelle. Pour accéder au site de la société, il faut d’abord en faire la demande. Autrement, impossible d’obtenir la moindre information : « GayKey n’est pas pour tout le monde », peut-on lire sur le site.


Deux versions du boîtier
Malwarebytes a mené l’enquête et a tout de même réussi à mettre la main sur quelques éléments intéressants. On apprend notamment que deux variantes du boîtier sont proposées aux clients de Grayshift. La première est vendue 15 000 dollars mais elle comporte des limitations et requiert une connexion à Internet. Par exemple, une fois installé, l’appareil sera « géo-bloqué », il sera donc impossible à déplacer. Le nombre de déverrouillages semble également limité.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Cellebrite

 

Gust MEES's insight:

Il n’y a apparemment pas que Cellebrite qui peut s’immiscer dans les smartphones d’Apple. Ce jeudi 15 mars 2018, la société de sécurité Malwarebytes a publié un article sur son blog au sujet d’un mystérieux boîtier baptisé GrayKey, qui serait capable de briser la sécurité et d’absorber les données de n’importe quel iPhone en circulation.

Commercialisé par la petite entreprise américaine Grayshift (moins de 50 employés), ce boîtier semble avoir vocation à intégrer les bureaux des agences gouvernementales, notamment américaines. Toutefois, très peu d’informations sont disponibles à l’heure actuelle. Pour accéder au site de la société, il faut d’abord en faire la demande. Autrement, impossible d’obtenir la moindre information : « GayKey n’est pas pour tout le monde », peut-on lire sur le site.


Deux versions du boîtier
Malwarebytes a mené l’enquête et a tout de même réussi à mettre la main sur quelques éléments intéressants. On apprend notamment que deux variantes du boîtier sont proposées aux clients de Grayshift. La première est vendue 15 000 dollars mais elle comporte des limitations et requiert une connexion à Internet. Par exemple, une fois installé, l’appareil sera « géo-bloqué », il sera donc impossible à déplacer. Le nombre de déverrouillages semble également limité.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security/?&tag=Cellebrite

 

more...
No comment yet.
Scooped by Gust MEES
Scoop.it!

Cellebrite' Hacking Tool Unlocks Any iOS Devices Including iPhone X | #Apple #NobodyIsPerfect 

Cellebrite' Hacking Tool Unlocks Any iOS Devices Including iPhone X | #Apple #NobodyIsPerfect  | Apple, Mac, MacOS, iOS4, iPad, iPhone and (in)security... | Scoop.it

You must remember the long and tedious battle between Federal Bureau of Investigation and iPhone manufacturer firm Apple over unlocking of an iPhone owned by the terrorist involved in the San Bernardino mass shooting around two years back. In that particular case, Apple flatly refused to provide feds access to the data and the FBI had to pay more than a million dollar to an Israeli mobile forensics firm Cellebrite to unlock the shooter’s iPhone 5c.

It seems like the feds won’t need to plead Apple to unlock its phones anymore because of the breakthrough findings of Cellebrite. As per the Israeli firm, its new hacking tool would unlock just about any iPhone available in the market that runs on iOS 5 to iOS 11 including the newbie iPhone X. It is worth noting that Cellebrite develops digital forensics tools and programs for cell phones and its most popular product is the Universal Forensic Extraction Device or UFED that helps investigators extract all the passwords and data stored in a mobile phone.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

Gust MEES's insight:

You must remember the long and tedious battle between Federal Bureau of Investigation and iPhone manufacturer firm Apple over unlocking of an iPhone owned by the terrorist involved in the San Bernardino mass shooting around two years back. In that particular case, Apple flatly refused to provide feds access to the data and the FBI had to pay more than a million dollar to an Israeli mobile forensics firm Cellebrite to unlock the shooter’s iPhone 5c.

More: Textalyzer Device Tells Police Everything Users Do on Their Smartphone

It seems like the feds won’t need to plead Apple to unlock its phones anymore because of the breakthrough findings of Cellebrite. As per the Israeli firm, its new hacking tool would unlock just about any iPhone available in the market that runs on iOS 5 to iOS 11 including the newbie iPhone X. It is worth noting that Cellebrite develops digital forensics tools and programs for cell phones and its most popular product is the Universal Forensic Extraction Device or UFED that helps investigators extract all the passwords and data stored in a mobile phone.

 

Learn more / En savoir plus / Mehr erfahren:

 

https://www.scoop.it/t/apple-mac-ios4-ipad-iphone-and-in-security

 

more...
No comment yet.