Хакер — Страница 251 — Безопасность, разработка, DevOps

Мошенничество по воздуху. Разбираем возможность Cryptogram Replay Attack в Apple Pay

Задача платежной системы — списать нужную сумму в пользу продавца со счета верное число раз. Но атакующий может перехватить платежные данные пользователя во время покупки и позже «повторить» их еще раз, списывая сумму снова, без ведома пользователя. Apple Pay использует ряд методов противодействия таким атакам, но некоторые недостатки ее реализации потенциально оставляют лазейки для злоупотреблений и мошенничества.

Новости

Криптографическая уязвимость ROBOT 19-летней давности угрожает Facebook, PayPal и многим другим сайтам

Новая вариация старого криптографического бага позволяет узнать ключ шифрования, необходимый для расшифровки HTTPS-трафика.

Новости

ESET предупредила о продолжении кибершпионской операции, к которой причастен интернет-провайдер

Специалисты компании ESET предупредили о продолжении кибершпионской операции, в которую, как сообщалось прошлой осенью, вов…

Новости

Защита дисков UHD Blu-ray оказалась под угрозой: в сеть утекли ключи AACS 2.0

В интернете были опубликованы 72 ключа AACS 2.0, которые могут нанести огромный урон Голливуду и компании AACS LA, которая з…

Новости

В даркнете нашли базу данных, содержащую более 1 400 000 000 учетных данных

Аналитики компании 4iQ обнаружили в даркнете огромную базу данных, объединяющую воедино множество различных утечек. База, чь…

Xakep #225

Кодинг

Как сделать игру. Выбираем движок и пишем клон тех самых «танчиков»

С каждым днем игры становятся все сложнее и навороченнее. Быть инди, а точнее соло-разработчиком стало тяжело. В статье мы поговорим, как выжить на этом пути и как разрабатывать клевые игры в жесточайших условиях конкуренции.

Новости

Специалист Google Project Zero опубликовал инструмент, который должен помочь джейлбрейкнуть iOS 11

Специалист Google Project Zero Йен Бир (Ian Beer) опубликовал proof-of-concept эксплоит для уязвимости в iOS и macOS, котора…

Новости

Вредонос Wp-Vcd распространяется через «пиратские» темы для WordPress

Вредоносная кампания, чьей главной мишенью являются сайты на базе WordPress, напрямую связана с распространением «пиратских»…

Новости

Уязвимость позволяла внедрять вредоносный код в подписанные APK

Декабрьский «вторник обновлений» устранил более 45 багов в Android, среди которых была уязвимость, позволявшая модифицироват…

Новости

Microsoft исправила критический баг в Malware Protection Engine, обнаруженный британскими спецслужбами

Разработчики Microsoft устранили критическую уязвимость в движке Malware Protection Engine, который является основной множес…

Новости

Специалисты Group-IB рассказали о деятельности хак-группы MoneyTaker

Исследователи Group-IB представили доклад о деятельности русскоязычной хакерской группировки MoneyTaker. Всего за 1,5 года э…

Xakep #225

Кодинг

Espruino Pico. Учимся программировать USB-микроконтроллер на JavaScript и делаем из него токен авторизации

Несмотря на огромное количество устройств на базе микроконтроллеров, созданных на волне успеха Arduino, считаные единицы из них имеют форм-фактор обычной флешки, подходящий для непосредственного включения в разъем USB компьютера (USB Type-A). Один из наиболее любопытных их представителей — Espruino Pico.

Новости

Инженеры Google передумали запрещать использование Accessibility Service всем приложениям

Недавно компания Google объявила, что запретит использовать Accessibility API всем приложениям, которые не предназначены для…

Новости

В ноутбуках HP обнаружили предустановленный кейлоггер

ИБ-специалист обнаружил кейлоггер в драйвере Synaptics Touchpad, который устанавливается на многие модели ноутбуков компании…

Новости

Новая модификация трояна Quant похищает деньги из криптовалютных кошельков

Специалисты Forcepoint Security Labs обнаружили модификацию малвари Quant, которая ворует деньги из криптовалютных кошельков…

Новости

Мобильные приложения ряда крупных банков уязвимы перед MitM-атаками

Исследователи из университета Бирмингема предупредили, что приложения многих крупных банков, как для iOS, так и для Android,…

Новости

Троян Linux.ProxyM теперь используется для взлома сайтов

Аналитики «Доктор Веб» обнаружили, что троян Linux.ProxyM, поднимающий на зараженных устройствах прокси-серверы, теперь испо…

Новости

Практический курс BLOCKCHAIN WINTER с 15 по 17 декабря в Москве

Высшая школа информационной безопасности HackerU совместно с израильской блокчейн-ассоциацией проведут практический курс по …

Новости

Process Doppelgänging работает для всех версий Windows и позволяет обмануть большинство защитных решений

Специалисты компании enSilo продемонстрировали на конференции Black Hat Europe 2017 новую технику атак, которая позволяет об…

Новости

Внеплановый патч для TeamViewer устраняет опасную уязвимость

Разработчики TeamViewer выпустили экстренный патч, исправивший критическую уязвимость, которая позволяла без разрешение пере…

Новости

Вымогатель StorageCrypt атакует хранилища NAS, эксплуатируя проблему SambaCry

Исследователи предупредили о появлении нового шифровальщика StorageCrypt, который атакует сетевые хранилища, используя RCE-б…

Новости

Крупнейший майнинг-маркет NiceHash взломан, неизвестные похитили более 60 млн долларов

Администрация крупнейшего майнингового маркета NiceHash сообщила о кибератаке. Судя по всему, неизвестным злоумышленникам уд…

Новости

Кейлоггер обнаружен на 5500 сайтов, работающих под управлением WordPress

Специалисты компании Sucuri предупреждают о распространении вредоносных скриптов, ворующих данные пользователей и маскирующи…

Новости

Технический курс «Погружение в блокчейн» 9 и 10 декабря в «Ключе»

Слушатели курса получат фундаментальное понимание технической и юридической базы блокчейн-технологий — криптографический фун…

Xakep #225

Трюки

Облако в штанах. На что способна флешка с Wi-Fi и что у нее внутри

Мы исследовали внутреннее устройство USB-накопителя с поддержкой Wi-Fi и детально изучили особенности его работы. Внешность оказалась обманчива, а результаты тестов изменили первоначальное представление об устройстве. Наш отчет и протокол вскрытия SanDisk Connect приводится ниже без купюр и согласований с производителем. Здесь нет ни грамма маркетинга, а девайс был куплен за свой счет just for fun.

Новости

Сайт LeakBase, продававший доступ к «утекшим» учетным данным, объявил о закрытии

Администрация агрегатора утечек LeakBase объявила о прекращении работы ресурса. Более года сайт предоставлял платный доступ …

Новости

Специалисты обнаружили новый ботнет Satori, насчитывающий более 280 000 активных ботов

ИБ-специалисты обнаружили новую версию известной IoT-малвари Mirai, на базе которой неизвестные создали ботнет Satori.

Новости

Разработчикам приложений для Android угрожает уязвимость ParseDroid

Аналитики компании Check Point предупреждают разработчиков, использующих APKTool, IntelliJ, Eclipse и Android Studio, о проб…

Новости

Виртуальная клавиатура AI.type собирала данные 31 млн пользователей и хранила их в незащищенной БД

Специалисты Kromtech Security Center обнаружили неправильно настроенную базу данных MongoDB, содержавшую более 577 Гб информ…

Новости

Комплекс уязвимостей MailSploit представляет опасность для 33 почтовых клиентов

Независимый исследователь обнаружил целый ряд уязвимостей, получивших совместное название MailSploit. Баги позволяют атакова…

Новости

Правоохранительные органы прекратили работу Andromeda, одного из крупнейших ботнетов в сети

Совместная операция ФБР, Интерпола, Европола, других правоохранителей и специалистов целого ряда компаний увенчалась закрыти…

Xakep #226

Трюки

Android: универсальные прошивки Android 8, современные кликботы, взлом приложений и маленький сетевой пентест

Сегодня в выпуске: универсальные прошивки Android 8, многоголовые трояны и чат-боты, кликботы, эксплуатация уведомлений Android, взлом приложений через доверенные компоненты и, конечно же, маленький сетевой пентест — как заставить приложения доверять нам. Кодинг тоже не забыли: советы, библиотеки и Kotlin, мы любим его.

Corporate

Анастасия Новикова. Интервью с исполнительным директором Wallarm

Многим нашим читателям наверняка знакома компания «Валарм» (Wallarm), ведь один из ее руководителей — бывший главный редактор журнала «Хакер» Степан Ильин. Сегодня мы побеседовали с Анастасией Новиковой, исполнительным директором «Валарм» (Wallarm), которая, например, рассказала о том, что можно вычислить black hat’а при приеме на работу.

Новости

Комиссия по ценным бумагам и биржам обвинила криптовалютный стартап PlexCoin в мошенничестве в ходе ICO

Американская Комиссия по ценным бумагам и биржам обратилась в федеральный суд Нью-Йорка и потребовала немедленно прекратить …

Новости

Хакер взломал сеть тюрьмы, пытаясь освободить своего друга пораньше, но теперь сам окажется за решеткой

Правоохранительные органы США рассказали о почти курьезном случае, произошедшем с 27-летним жителем Мичигана Конрадсом Войтс…

Новости

Google заставит разработчиков приложений предупреждать пользователей о сборе данных

Компания Google намерена пойти на жесткие меры и обязать разработчиков приложений для Android наглядно уведомлять пользовате…

Новости

Дочерняя компания PayPal допустила утечку данных 1 600 000 пользователей

Компания PayPal предупредила пользователей, что ее дочернее предприятие, компания TIO Networks, пострадало от кибератаки и д…

Xakep #226

Взлом

Код Хаффмана. Как распаковать таблицы, сжатые Huffman Encoding, в Intel ME 11.x

Как известно, многие модули Intel ME 11.x хранятся во Flash-памяти в упакованном виде, и для сжатия применяются два алгоритма — LZMA и Huffman Encoding. Для LZMА существует публичная реализация, которую можно использовать для распаковки, но для Huffman все сложнее. Распаковщик Huffman Encoding в ME реализован на аппаратном уровне, и построение эквивалентного программного кода представляет собой сложную и нестандартную задачу.

Новости

Работавший на АНБ хакер признался, что действительно брал домой секретные файлы

Министерство юстиции США официально предъявило обвинения бывшему сотруднику АНБ Нгиа Хоанг Фо (Nghia Hoang Pho), а тот призн…

25 лет «Хакеру»!

Еженедельный дайджест

Партнерам

«Хакер» в соцсетях

Материалы для подписчиков

Из рубрики «Взлом»

Трюки

Последние новости

Критический баг в Nvidia Container Toolkit приводит к полному захвату хоста

Разработчики Tails и Tor Project решили объединить усилия

Google старается сохранить бесплатные сервисы доступными в России

Уязвимости CUPS позволяют выполнить произвольный код в Linux

Автомобили Kia можно было взломать удаленно, зная номерной знак