Starbucks använde sitt ”gratis wifi” till att bryta kryptovaluta på användarnas datorer

Okej, det hände bara på en Starbucksrestaurang i Buenos Aires, Argentina, och wifileverantören har nu fått en åthutning av den amerikanska kaffekedjan.

Det var Noah Dinkin som uppmärksammade beteendet i en tweet den 2 december 2017:

Starbucks svarade den 11 december 2017:

Men ändå, händelsen visar hur utsatt man är som användare av gratis wifi.

Vem vet vad som händer på andra Starbucksrestauranger – eller på andra firmors publika trådlösa nätverk för den delen.

Att bryta kryptovaluta på wifianvändarnas datorer måste man säga har en viss nivå av originalitet. Att bara spionera på kundernas trafik är betydligt lättare och säkert vanligt förekommande.

Läs hela historien hos Motherboard: Starbucks Wi-Fi Hijacked People’s Laptops to Mine Cryptocurrency

Apple tätar galen säkerhetsläcka

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

macos_highsierra_hole2

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.

Macanvändare, varning för Proton!

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

USA vill ställa man i Iran inför rätta för att ha hotat lägga ut spoilers till Game of Thrones

En 29-årig man i Iran hackade sig in i amerikanska tevekanalen HBOs nätverk och hittade information om handlingen i teveserier, bland andra ”Game of Thrones” och ”Curb Your Enthusiasm”, som inte sänts klart än. Han krävde företaget på 6 miljoner dollar i bitcoin, annars skulle han lägga ut spoilers på nätet.

Nu drar amerikanska åklagare mannen inför rätta, skriver Techcrunch.

USA kan förstås inte göra vad de vill med utländska medborgare i utlandet, så åtalet ska kanske ses symboliskt. Kanske är det amerikansk frustration som avspeglas i det frodiga språkbruket i åtalet.

FBI uttalar sig så här om 29-åringen:

In the simplest of terms, he lurked in the alleyways of the Internet, identified the vulnerabilities of his victim, and pickpocketed their information from thousands of miles away. After he had successfully identified their proprietary secrets, he held their future for ransom.  Today’s charges show that international cybercriminals are never beyond the reach of U.S. laws.

Och åklagaren säger så här:

Mesri now stands charged with federal crimes, and although not arrested today, he will forever have to look over his shoulder until he is made to face justice.

Åklagaren fortsätter:

American ingenuity and creativity is to be cultivated and celebrated — not hacked, stolen, and held for ransom.  For hackers who test our resolve in protecting our intellectual property — even those hiding behind keyboards in countries far away — eventually, winter will come.

Det kan i sammanhanget vara intressant att veta hur den 29-årige iraniern tog sig in i HBOs system. Det ska ha skett via de anställda på kanalen, vars privata konton iraniern hackade.

Amerikansk ”genialitet och kreativitet” ska givetvis ”odlas och hyllas”, som åklagaren skriver – just ”Curb Your Enthusiasm” (”Simma lugnt, Larry”) tillhör mina egna absoluta favoriter bland teveserier.

Men kanske bör företag som vill behålla sina hemligheter i fred inte bara lita till polis och åklagare (som i åtalet nämner, ”for informational purposes only”, att maxstraffet för överföringsbedrägeri är 20 års fängelse) – utan också se över sina anställdas säkerhetsrutiner.

Uber betalade utpressare 100 000 dollar för att hålla tyst om 57 miljoner läckta användarkonton

I oktober 2016 lyckades hackare få tillgång till uppgifter om 57 miljoner användare av det amerikanska företaget Ubers app för samåkning.

Bland uppgifterna fanns användarnas namn, mejladresser, telefonnummer och i vissa fall även information om körkort och registreringsnummer, eftersom 7 miljoner konton tillhörde förare.

Hackarna kontaktade Uber och begärde 100 000 dollar för att inte läcka uppgifterna.

Nu har det visat sig att Uber gick med på kravet, rapporterar Bloomberg. Dåvarande vd Travis Kalanick lät Ubers säkerhetsavdelning förhandla med hackarna, som företaget nu antar har raderat alla uppgifter.

Nuvarande vd Dara Khosrowshahi skriver i ett uttalande:

I recently learned that in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Den där sista meningen är intressant. Menar Uber alltså att 57 miljoner konton kan läcka utan att företagets infrastruktur anses knäckt? Det är kanske dags att börja inkludera molntjänster från tredje part i begreppet, annars betyder det ju ingenting.

Ubers säkerhetschef Joe Sullivan sparkades när händelsen uppdagades.

FBI kan ha klantat sig i avkrypteringen av Sutherland Springs-skyttens iphone

Enligt obekräftade källor ska den misstänkte gärningsmannen i söndagens skjutning i Sutherland Springs, Texas, USA, ha haft en iphone, och enligt andra källor ska FBI inte ha kontaktat Apple under de första 48 timmarna efter gärningsmannens död för att få hjälp med att låsa upp denna iphone, rapporterar Reuters:

The delay may prove important. If Kelley had used a fingerprint to lock his iPhone, Apple could have told officials they could use the dead man’s finger to unlock his device, so long as it had not been powered off and restarted.

Vem vet, kanske behövde inte FBI Apples hjälp med att förstå att de kunde låsa upp telefonen med den dödes finger.

Men nyheten ska ses mot bakgrund av ”slaget om krypteringen” som utkämpades mellan FBI och Apple efter San Bernardino-skjutningen 2015, då FBI krävde att Apple skulle utveckla verktyg för att avkryptera innehållet i en telefon som använts av en av gärningsmännen. Apple vägrade och företagets vd Tim Cook skrev ett öppet brev till kunderna där han förklarade Apples beslut.

Kan Apple och Google se dina privata porrbilder?

Frågan ställs av Techcrunch med anledning av dessa företags till synes magiska förmåga att tagga användarnas foton med de föremål de innehåller. (Jag verkar inte ha den funktionen på min ipad, men iphoneanvändare kanske vet vad som menas.)

Techcrunch förklarar att inga bilder skickas till företagen för analys – algoritmerna är numera så sofistikerade och optimerade att de arbetar lokalt på våra telefoner.

Men vem vet. Techcrunch lovar återkomma med företagens svar på frågor om hur de behandlar användarnas data.

Vad man också bör vara uppmärksam på är vilka friheter enskilda appar tar sig, efter att man gett dem tillgång till telefonens foton eller rentav dess kamera.

En utvecklare med kopplingar till Google visade nyligen hur en iphoneapp med kamerarättigheter teoretiskt sett kan ta bilder utan att användaren märker det, och direkt ladda upp dessa bilder.

Frågan är dock om en sådan app skulle slinka igenom Apples strikta godkännandeprocess. Samma idé i en androidtelefon är kanske mer realistisk.

Tacka NSA för de senaste utpressningsvirusen

En ny våg av ransomware har svept över världen. Utpressningvirus? Lösensummevirus?

Nu har säkerhetsforskare kommit fram till att den skadliga koden utnyttjar samma säkerhetshål som amerikanska National Security Agency känt till sedan länge, och som läckte via gruppen Shadow Brokers tidigare i år, vilket bland annat möjliggjorde lösensummeviruset Wannacry.

Wccftech skriver:

While Microsoft may have patched up the flaw before they were sold to criminals and/or publicly dumped, the security vulnerabilities that the United States’ National Security Agency likely sat on for years continue to prove devastating. So far a number of major ransomware epidemics have been powered by these SMB-focused flaws leaked from NSA, including WannaCry – one of the most disastrous attacks that crippled entire networks of major hospitals.

Det verkar alltså som att vi återigen kan tacka NSA för de senaste attackerna mot våra datorer.

Krack och Roca – så farliga är veckans säkerhetshål

Amerikanska Electronic Frontier Foundation (EFF) har publicerat en grundlig genomgång av Krack, det vill säga den sårbarhet för trådlösa nätverk som presenterades i måndags.

EFFs slutsats är att Krack inte är så farligt som man kan tro, eftersom:

Note that WPA’s privacy goals were always very limited. It was never intended to provide complete confidentiality of your data all the way to its final destination. Instead, protocols like TLS (and HTTPS) exist which protect your data end-to-end.

EFF har varit en förespråkare av krypterad webbtrafik, HTTPS, just för att komma runt risken för avlyssning i både kabel och trådlösa nät.

Krack möjliggör förvisso avlyssning av trafik, men avlyssnaren måste vara på plats med en antenn, vilket gör att tekniken är olämplig att använda i större skala. EFF menar att den krackfria avlyssning som sker på ISP-nivå är lika allvarlig.

Detta sagt, patcha upp era trådlösa routrar och enheterna som ansluter till dem, avslutar EFF.

Och hur farligt är Roca?

Just som Krack sågs som det värsta hotet presenterade tjeckiska och slovakiska forskare Roca – Return of Coppersmith’s Attack.

Roca gör det möjligt att använda den publika delen av en RSA-nyckel för att lista ut den privata delen. Attacken fungerar bara på nycklar som genererats med ett kodbibliotek utvecklat av det tyska företaget Infineon Technologies AG.

Wccftech beskriver den viktigaste skillnaden mellan Krack och Roca:

While KRACK may have been taking all of the news space, ROCA is an even bigger issue since while KRACK only works for attackers that are within range, ROCA has serious ramifications both in the government and outside.

Forskarna kommer ge närmare detaljer under en säkerhetskonferens i Dallas den 2 november.