Tag Archives: Apple

Mobila kortbetalningar – hur är säkerheten?

Nya mobila lösningar för kortbetalningar har varit på gång under ett antal år. Fantastiskt användbart på mängder av platser och vi har väl alla hört hur det går till i Apples flaggskeppsbutiker där man har rationaliserat bort kassor till förmån för ambulerande expediter med iPhones och små kortläsare. iZettle är en känd svensk lösning, men det finns konkurrenter.

IDG skrev nyligen att mobilbetalningarna är alldeles för osäkra och att de nya teknikerna säkerhetsmässigt är ett steg tillbaka i tiden. Problemet är att kortköpet bekräftas med signatur och inte kod, och att kortet dessutom inte ens behöver finnas närvarande – det räcker med att knappa in kortnumret på telefonen. Debatten pågår fortfarande.

Kortbetalningar har tidigare säkrats i butiker med hjälp av chip och pinkoder och i e-handeln med hjälp av 3D-secure, dvs. bekräftelse av köpet mot banktjänsten. Det här har gjort kortköp ganska oproblematiskt, men nu har vi kanske ett nytt problemområde. Samtidigt görs tusen och åter tusen signaturköp varje dag, så frågan är varför det skulle vara mindre säkert på en smartphone?

Vad jag erfarenhetsmässigt kan säga är att där möjligheterna finns hittar vi snart också personer som vill utnyttja dem, så det dröjer nog inte länge innan vi hör talas om stulna kort som använts för mobila kortbetalningar. Dessutom, demokratiseras kortbetalningarna med den här tekniken så att kortköp blir ännu mer spridda så ökar naturligtvis även bedrägerier i samma skala.

Huge leak of Apple device unique IDs and ASPNs

Recently, I saw a post on pastebin regarding leaked Apple device IDs. The hackers said they got the file from a laptop belonging to an FBI employee:

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of ”NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UUID), user names, name of device,
type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.

The file ”NCFTA_iOS_devices_intel.csv” is said to contain over 12 million unique device identifiers (UUID) and user data for iOS devices. The actual leaked file contains 1 million records. The UUID is a unique number assigned to each device. It’s used for identifying the device, and many app developers use it to identify the device/user.

The list looks something like this:

That in itself doesn’t contain much ”dangerous” information, however, the interesting thing is where the hackers, or the FBI/NCFTA (National Cyber-Forensics & Training Alliance) got it. I’d generally say that this information could be fetched from some hacked app developer, since they usually store that kind of info on their servers. Perhaps they got this from some hacker they arrested? Or some developer handed it over?

Security expert Peter Kruse reported on Twitter that the actual data is correct, he found three of his devices in the list.

The list also contains APNS (Apple Push Notification Service) IDs. This is used for push notifications on the iOS devices. I am uncertain if it’s enough to have the device ID and the APNS ID in order to read the push notifications for any device. If any reader knows, please let me know!

Looking at the data, there seem to be some interesting device names, however, keep in mind that anyone can choose to name their device whatever they like:

carlos.ferreira@govcv.gov.cv
mbarth@utah.gov
USAEO-Aaron.Price@usdoj.gov
Government Official’s iPod
Governor’s iPad
Governor’s iPad
Forensic3GiPad
Forensic iPad
Forensic iPhone
Forensics
TACTICAL FORENSIC SOLUTIONS
A. Castillo Law Office
Chief Excecutive Officer’s iPad
Law Offices of Jannette Mooney’s iPad
Port Moresby Duty Officer iPad
Riot Officer’s iPad
The Law Office of Yariv Katz, P.C.’s iPad

Without more info, it’s very hard to tell where the list originally came from, or what it’s purpose is. Time will tell, and hopefully we’ll get some more info soon. Also, keep in mind that the persons who leaked this also said the original list contained much more info (addresses, phone numbers, etc).

Some report that the data might have been acquired in a raid on Instapaper servers.

There seem to be quite many devices from Asia in the list. The top 10 device names are:

   1140 – PdaTX.Net
1196 – Administrator’s iPhone
1309 – Administrator’s iPad
1414 – 이지윤의 iPhone
1453  – iPhone
1534 – Owner’s iPad
2202 – “Administrator”的 iPhone
3136 – “Administrator”的 iPad
5141 – iPod touch
42790 – iPhone

Since the list also contains the device type, here is how it’s distributed:

iPod touch: 6%
iPhone: 35%
iPad: 59%

So, if this list comes from an app developer, it sure seems like the app is most popular on the iPad.

Update: They say they got the list from using a Java exploit in March, and as ErrataRob points out, this coincides with that exploit being used, and a possible targeted attack on a leaked list of agents and agencies trying to track hackers.

SMS-spam lovar pengar från Apple

Fick nyligen ett SMS som informerade mig om den stora summa pengar jag vunnit från ”Apple iPhone UK”:

APPLE iPHONE UK YOU WON £1.5 Million POUNDS IN THE ONGOING APPLE iPHONE PROMO. FOR CLAIMS EMAIL YOUR NAME, AGE & COUNTRY TO appleiphoneslots@w.cn

Jag antar att folk som svarar på sådana meddelanden gör det oavsett om det är spam i datorn, via något socialt nätverk, eller via SMS. Uppenbarligen så funkar det ju tillräckligt bra för att de ska fortsätta med det.

Passa pappas appar

MacWorld skriver om ett säkerhetshål i iOS, det vill säga det operativsystem som körs i iPhones, iPods och iPads, en nyhet som först dök upp i New York Times. Som många andra nyheter om säkerhetshål i mobila plattformar handlar den här om vad en app ska ha tillgång till i enheten och inte. I det här fallet är det väldigt tydligt, väldigt få appar ska ha tillgång till dina foton och sker det ska du bestämma när och hur.

Här kan Apple helt klart bättra sig. Deras kontroll är hård, men i slutändan måste det till en förändring åt ena eller andra hållet. De får antingen bli ännu hårdare så att de rigorösa kontrollerna inte släpper igenom öppningar som den här, eller så får de bli mer liberala och tydligt berätta vilket ansvar som ligger på användaren.

Varning för säkerhetshål i Apples iOS

Den tyska myndigheten för IT-säkerhet gick igår ut med en varning att operativsystemet iOS har ett allvarligt säkerhetshål som kan utnyttjas för att stjäla data från iPhones, iPads och iPod Touch.

Säkerhetshålet blev känt genom hemsidan ”jailbreakme” där man kan jailbreak:a sin iOS-enhet bara genom att gå in på hemsidan.

Säkerhetshålet består i hur iOS hanterar PDF-filer. Med hjälp av detta så kan man köra valfri programkod på enheten bara genom att en PDF-fil öppnas. Detta säkerhetshål gör att man naturligtvis kan köra skadlig kod lika gärna som en ”snäll” jailbreak. Likaså kan telefoner, iPads och iPod-touch smittas genom att användaren besöker en webbplats där det finns en smittad PDF. På så vis kan kriminella komma åt allt på telefonen, iPaden eller iPoden. Man kan lätt se ett scenario där de kan få åtkomst till lösenord, foton, sms, kalendrar, e-postmeddelanden och till och med avlyssna telefonsamtal. Helt utan att användaren märker något.

Säkerhetsbristen finns på alla maskinvaror med iOS 4.3.3. Det innebär att många är i farozonen eftersom operativsystemet används i iPhone 3GS, iPhone 4, båda versionerna av iPad och iPod Touch. Det kan heller inte uteslutas att andra versioner av iOS har samma luckor i säkerheten. Apple har kommenterat säkerhetsproblemet och sagt att de kommer att släppa en patch, men man vet inte hur lång tid det tar innan den kommer, och innan alla har uppdaterat sina telefoner.

Tills dess att problemet har åtgärdats är det som vanligt bäst att vara försiktig med vilka sidor man besöker från sin i-enhet, och avstå från att öppna okända PDF:er, både i e-post och på webbplatser.

Android tuffar på

Idag kom två artiklar från IDG-nätverket om Android med intressanta siffror från två olika håll.

IT24 rapporterar om siffror från analysfirman Canalys som fastslår att Android på ett år har ökat sin  globala marknadsandel från 10 till 35 procent. Det är imponerande siffror, man undrar om inte lite växtvärk kommer att kännas av snart. De nya siffrorna betyder också att Android har gått om Nokias operativsystem Symbian, som har minskat sin marknadsandel från 45 till 26 procent.

IT24 skriver även att Androidtelefonerna nu har gått om Apples iPhone i total försäljning hos Telia, även om iPhone fortfarande är den mest sålda enskilda telefonen. Det kommer den nog att fortsätta vara ett bra tag till. Siffrorna pekar som väntat på att utvecklingen i Sverige motsvarar den i övriga världen.

Är du Android-användare? Då kan du testa betaversionen av ESET Mobile Security för Android här.

Läs blogginlägget och pressmeddelandet om betaversionen av ESET Mobile Security för Android här.

 

Hotrapport april 2010

Under april månad kunde vi kanske inte helt oväntat konstatera att Conficker fortfarande klassas som det största internationella hotet, med 9,47%. Även INF/Autorun (7,98%) fortsätter härska på den onda sidan, även om det nu är relativt enkelt att inaktivera den felaktiga inställning som gör attacken möjlig. Det har också upptäckts en front av EICAR-testfiler, vilket antyder att någon utför en hel massa tester…

Förutom Win32/Conficker och INF/Autorun ligger Win32/Agent (3,53%) och Win32/PSW.OnLineGames (3,48%) också kvar i toppen.

Överblick topp 10-hoten under april 2010

Den fullständiga hotrapporten för april tar även en titt på ESET-representationen vid årets expo på Earls Court i London, SEO-förgiftning (SEO – Search Engine Optimization) och Apple-säkerhet vid den kommande EICAR-konferensen i Paris.

Om standardkommentaren ”Höhö, skaffa en Mac”

Jag läste lite i kommentarfältet till Aftonbladets artikel om kaoset som uppstod när McAfee skickade ut en uppdatering som gick lite snett. Som på nästan alla platser där man diskuterar skadlig kod och virus stötte jag på uppmaningen om att man bör skaffa en Mac. Då får man tydligen inga virus.

Det är väl frestande på flera sätt att skaffa en Mac, men uppmaningen är tyvärr feltänkt. Orsaken till att Mac har varit relativt förskonade från skadlig kod är inte att plattformen är säkrare, utan helt enkelt att Windows länge har varit det mest spridda systemet. Det har lönat sig bättre för hackers att rikta sina krafter mot ett större system som fler använder; det ger ett större utbyte.

Apple växer dock bland vanliga konsumenter, så antalet attacker med hjälp av skadlig kod kommer troligtvis att öka på plattformen. Ironiskt nog innebär detta att om Macanvändarna vill behålla den låga virusfrekvensen, så bör de alltså försöka hålla antalet användare nere. Det finns redan riktiga virus till Mac, trojaner och botnät, även om det aldrig blivit någon större spridning.

För att tala allvar ett tag så bör man dock tänka på att skadlig kod bara är en av riskerna på nätet – är man inte försiktig med personuppgifter eller faller för nätfiskeförsök så räddas man inte ens om man programmerar sitt eget operativsystem.

Hotrapport Mars

I mars var det fullklottrat i cyberbrottslingarnas kalendrar. Win32/Conficker låg i toppen av varningslistan med 10,32 % – läs mer på hotcentret på Eset.eu. På andraplatsen hittar vi INF/Autorun (8,42 %) som är en hel uppsättning hot som använder autorun.inf för att kompromettera datorer i samband med användning av USB-utrustning. Trea på hotlistan är Win32/PSW.OnLineGames (5,15%), vilket är en trojanfamilj som attackerar online-spelare.

Ett antal andra cyberhot var i omlopp under mars månad. Däribland en hel del Blackhat SEO, som satte igång efter bombningarna i Ryssland då massiv exploatering av onlinebrottslingar ledde till en ökad spridning av falska antivirusprodukter. För Macanvändare kan en del av det som hände på CanSecWest-konferensen i Vancouver vara av intresse, då 20 zero-day-hål avslöjades i Apple-produkter. Exakt hur allvarligt det här hotet är vill inte säkerhetsanalytikern Charlie Miller (mannen som hittade hålen) dela med sig av, eftersom han menar att problemet då patchas och sedan sopas under mattan, istället för att produkternas grundläggande säkerhet förbättras.

På tal om CanSecWest i Vancouver så diskuterade vi för övrigt hackartävlingen Pwn2Own som sker i samband med konferensen i vår podcast från den 29 mars – lyssna här.

Symbian ger inte upp

Det kommer stora uppfräschningar av Symbian under det kommande året, enligt uppgifter från Symbian Foundation. Under 2009 gick ett par mobiltillverkare ut med att de skulle använda Symbian till en mindre andel av sina nya modeller än tidigare, men enligt Symbian Foundation är det alldeles för tidigt att räkna ut operativsystemet från mobilmarknaden. Under 2010 ska både en version 3 och 4 komma ut på marknaden, och för att hänga med i svängarna satsar Symbian även på öppen källkod.

Varje gång något nytt och lovande dyker upp på marknaden finns det en tendens att diskussionen handlar om att detta nya kommer att ta över. Som tur är brukar det inte gå till så, det finns plats för flera system på marknaden. Om man som jag arbetar med antivirus, ser man det som något bra att det finns flera plattformar på marknaden, eftersom ett system som blir väldigt dominerande även utsätts för många angrepp.

Jag väntar mig ingen total dominans av vare sig Apple, Android, Windows Mobile, Symbian eller något av de andra nyare systemen.

Just när det gäller Symbian har ESET en öppen betaversion av antivirusprogrammet ute, och ni med Symbiantelefoner kan se fram emot den färdiga produkten under våren.