Gat in Adobe Air: gratis magazines lezen op de iPad

Magazines met een eigen app, zoals Wired Magazine en The New Yorker, gebruiken voor de afhandeling van de in-App aankopen Adobe Air. Nu is gebleken dat daar ,door middel van een simpele aanpassing in een file op de iPad, de tijdschriften gratis kunnen worden gedownload...alsof je ze gekocht hebt.

Weer iTunes en paypal accounts gehacked

Vanavond weer meldingen vanuit de VS dat via gekraakte iTunes accounts gebruikers binnen enkele uren duizenden dollars lichter waren.

Het is nog niet duidelijk of de accounts gecompromitteerd zijn geworden door hacking of door Phishing. De afgelopen dagen krijg ik ook tweets van onbekende gebruikers die mij rechtstreeks tweeten met een link naar een nieuwe app die ze onder de aandacht willen brengen.



Klik nooit op zo'n link, maar meteen op de avatar van de gebruiker en meld deze als spammer. Hier een bericht op Twitter van een man wiens gekoppelde bankrekening werd leeggehaald. Je bent gewaarschuwd...



- Geschreven met BlogPress op mijn iPad

Nu worden ook al auto's gehacked!

Na het hacken van snelwegborden en andere wegbewijzerings- systemen, zijn nu de auto's zelf aan de beurt. Een team van universiteits onderzoekers is er in geslaagd in het waarschuwings- systeem van auto's te komen via de draadloze banden- spanningsmeters. Het tijdvak van de carhackers komt er aan.

Een en ander is nog niet zo makkelijk. Moderne luxe auto's hebben een ingewikkelde electronica. Met ongeveer 4 km aan bedrading en 100 miljoen regels aan software code. Dat is ongeveer 5x zo veel als de F35 Joint Strike Fighter!

De onderzoekers vonden geen groot open systeem, maar zodra ze de geheime klopcode kenden, liet het testsysteem hen gewoon binnen. Het testteam zond fake waarschuwingsmeldingen van 40 meter afstand naar een auto die 90km reed en meldde een platte band.

De auto doet normaal een reset van de waarschuwingen na een stop, maar na een aantal dagen was het ze gelukt om permanent een boodschap te laten zien op het dashboard.

Als je nu denkt 'dat ga ik ook proberen', kom je bedrogen uit. De apparatuur die werd gebruikt kost ongeveer $1500 en het vereist zeer veel ervaring in coderen en security dat dit niet voor iedereen is weggelegd.

Het van afstand openen van een auto is een stuk gemakkelijker en wijder verbreidt. Dat ondervond ook David Beckham. Zijn auto werd al drie keer gestolen met behulp van een laptop.

De code van een draadloos of keyless entry systeem hoeft maar een aantal keren te worden opgevangen, waar, na het decoderen van de sleutel, een eigen signaal kan worden verzonden.

- Geschreven met BlogPress op mijn iPad

Doe het zelf antenne voor onderscheppen GSM berichten

Een security ontwikkelaar heeft een systeem gebouwd dat het mogelijk maakt GSM signalen op te vangen en daarmee gesprekken op te vangen en af te luisteren.

Op zich niet verwonderlijk, maar alles inclusief laptop heeft hem maar $1500 gekost. Met zijn zelfgefabriceerde antenne doet hij een zendmast na. Het signaal is zo sterk dat alle gsm's in de buurt worden opgepikt.

Nu is een gsm signaal beveiligd met encryptie, maar dat wordt door de mast gewoon uitgeschakeld. Voordat het gesprek via Voice over IP wordt doorgezet naar de ontvanger worden alle gegevens opgeslagen.

Dit soort systemen worden al gebruikt door geheime diensten en andere overheden voor het afluisteren, maar kosten een 100 voud van het doe het zelf systeem dat Chris Paget heeft samengesteld.

Het systeem vangt alleen uitgaande 2G GSM gesprekken op en niet die 3G technologie die steeds meer gebruikt wordt. 2G is, blijkt nu, zeer kwetsbaar voor dit soort aanvallen. 3G wordt als zekerder gezien, maar het systeem zendt een stoorsignaal uit voor 3G telefoons, waardoor deze terugschakelen naar 2G en daarmee ook worden opgepikt.

In de standaard zit ingebouwd dat als er verbinding wordt gemaakt met een onbeveiligde mast dat er op je telefoon een bericht wordt getoond, maar dat is bij bijna alle SIM's uitgeschakeld omdat dit nog al eens voor komt. Inkomende gesprekken die tijdens de connectie met de fake antenne binnenkomen worden gewoon doorgestuurd naar de VoiceMail van de gekoppelde telefoon, waardoor de hack onopgemerkt blijft.

Nu zal het wel zo'n vaart niet lopen voordat je buurman $1500 uitgeeft om je saaie GSM gesprekken op te vangen, maar het is een gevoelige klap voor de Telco's en de GSM standaard, want het is niet ondenkbaar dat ook op kosten van anderen gebeld kan worden.

Paget heeft al een telefoontje van de FCC, de autoriteit voor zendmachtigingen in de VS. Zo zou hij zich strafbaar maken door het gebruik van frequenties die hij niet mag gebruiken. Paget had hierin trouwens al voorzien en maakt gebruik van een frequentie die in de VS open is en simuleerde voor zijn demo Europese Telco's om niet in de problemen te komen...

- Geschreven met BlogPress op mijn iPad

Het geheim van Apple opladers

Ken je het probleem? Heb je een oplader of Dock met boxen voor je iPhone, blijkt ineens een nieuwe versie van de iPhone niet meer te werken. Je krijgt een melding dat het accessoire niet bedoeld is voor deze iPhone, of nog sterker, er gebeurt helemaal niets meer.

Dit komt omdat Apple in hun opladers een soort DRM voor hardware heeft ingebouwd, die alleen door Apple gecertificeerde, lees betalende partijen opladers en docks laat maken. De licentiekosten bedragen ca 25% van de verkoopprijs en is daarmee een zware aderlating voor de marge van producenten, die dit weer één op één doorbelasten naar hun klanten.

De makers van MintyBoost, een doe het zelf oplader in een gumdoosje, zijn er nu achter hoe het werkt. Apple apparaten zoals de iPad en iPhone van de laatste generaties vragen een bepaalde weerstand op de lijn van de USB. Deze weerstand wordt gemeten en laat opladers en kabels wel of niet toe.

Mintyboost is nu het eerste niet betalende oplaadapparaat dat gebruik maakt van dezelfde weerstand die iPhones laat denken dat ze aan Apple opladers hangen. Anderen zullen snel volgen.

MintyBoost is verkrijgbaar voor $20, maar er zullen uit Azië gegarandeerd klonen opduiken die via eBay vele malen goedkoper zullen zijn.

- Geschreven met BlogPress op mijn iPad

Location:Av de Moscú,Adeje,Spanje

Hack op iPhone: in 20 seconden je sms-berichten gestolen

Een nieuwe aanvalsmethode laat hackers op afstand alle sms'jes, ook de verwijderde, van de iPhone downloaden.

Twee beveiligingsonderzoekers hebben op een securitycongres in Canada een nieuwe aanvalsmethode gericht op iPhones laten zien. Daarbij slaagden ze erin de complete database met sms-berichten van de gehackte iPhone te downloaden in maar 20 seconden.

De methode werkt met het lokken van iPhone-gebruikers naar een webpagina die automatisch alle sms'jes, inclusief de verwijderde berichten, uploadt naar een server van de hacker. Volgens een van de onderzoekers is het ook mogelijk met deze exploit het adresboek, foto's en iTunes-muziekbestanden op afstand van de iPhone te downloaden.

Het TippingPoint Zero Day Initiative, dat geld uitkeert voor belangrijke beveiligingslekken noemt de iPhone-hack 'indrukwekkend'. De twee onderzoekers wonnen met hun hack 15 duizend dollar.

Nederlander Peter Vreugdenhil won 10 duizend dollar tijdens dezelfde hackwedstrijd in Canada. Hij wist de beveiliging in Internet Explorer 8 onder Windows 7 te omzeilen.