Aller au contenu | Aller au menu | Aller à la recherche
lundi, 16. septembre 2019
Par Arfy le lundi, 16. septembre 2019, 08:45 - Tableau blanc
Pas mal... un système installé directement dans certaines cartes SIM pour répondre à des "ordres" avec des messages SMS spéciaux SIM Toolkit (STK) .
Un peu de série Person of Interest qui n'existe ;)
Ou un peu de " Il-etait-ou-hein-le-youki @ coup-de-vieux.fr " =)
lundi, 9. septembre 2019
Par Arfy le lundi, 9. septembre 2019, 15:04 - Tableau blanc
Proxy ? C'est en gros un serveur par lequel toutes vos requêtes internet, pages, applications vont passer. (update, article décrivant un des types de proxy là: Qu’est-ce qu’un proxy ? Comment l’utiliser de manière optimale ?)
Normalement, votre provider téléphonique n'en mets pas (dans votre smartphone).
Mais il peut (et donc en théorie quelqu'un d'autre aussi) fabriquer un SMS spécial, qui contient des lignes de commandes pour changer la configuration de la DATA de votre téléphone.
Généralement c'est pour dire, "voilà l'adresse du serveur des MMS"... mais dans ces configs il peut aussi y avoir donc un proxy "par lequel passer".
Et si ce proxy est contrôlé par quelqu'un, ben en théorie il peut jouer au "man in the middle", cad tenter de lire tout ce que vous faites en temps réel ou en différé.
Kézako derrière ? OMA CP (Open Mobile Alliance Client Provisioning) un protocole sur SMS (pas trouvé les spécs) qui contient donc les "APN settings" pour les mobiles. Et les chercheurs ont trouvé une vulnérabilité dans l'identification (en gros qui a droit de vous envoyer ces infos). Dixit ce site "Une vulnérabilité est découverte dans OMA CP qui met la sécurité de smartphones Android comme Samsung, Huawei, LG et Sony", les fabricants (oups) travaillent sur des prochaines versions de smartphones qui ne seraient plus vulnérables.
Bon il y aura aussi peut être des patchs...
mercredi, 4. septembre 2019
Par Arfy le mercredi, 4. septembre 2019, 16:25 - Impressionnant
Wow, sacrée application !!!
Un Deepfake "on the fly" tendance super facile à faire sur smartphone.
Reste à rajouter une version "audio" de Deepfake et hop il va falloir inventer un "ceci est une vidéo officielle/validée de XYZ"-flag.
Bon après DT est hors concours ;)
Cha donne:
mercredi, 28. août 2019
Par Arfy le mercredi, 28. août 2019, 10:21 - Mais comment c'est fait ?
La tesla ? Bon c'est une "vieille" mais c'est possible cf Des pirates peuvent voler une Tesla en 30 secondes.
Là on parle de déverrouiller une alarme électronique avec un dongle à 2$ en bombardant la fréquence des 433-MHz =)
Joli hack qui montre que quand on "veut", on "peut". Je suppose, vu les vidéos du gars, que ça n'existe pour d'autres alarmes ...
La vidéo:
mardi, 20. août 2019
Par Arfy le mardi, 20. août 2019, 10:45 - Tableau blanc
Accessoirement (en fait non, pas accessoirement), du côté perso c'est aussi quelque chose qu'il faut faire/vérifier de temps à autre.
Alors OUI c'est chiant. Oui donner son email pour avoir les updates ou demander au programme/matos de prévenir qu'il y a un update ça peut en rebuter mais bon, be up to date == avoir moins de risques de brèches.
Source: Dush (note ça date de 2015 et il y a pas mal de fôteuHⓒ mais c'est indispensable d'avoir ces notions en Ⓔ.
Les suites:
lundi, 19. août 2019
Par Arfy le lundi, 19. août 2019, 09:06 - Mais comment c'est fait ?
Original. En dehors de la connerie du truc pour "appelle ce numéro et je vais te pomper ton fric" j'Aime l'astuce de tenter de marquer la vraie souris pour en afficher une autre ce qui fait qu'on a du mal à s'en sortir.
Le mail reçu ressemble à ça
Note: n'ouvrez pas ce genre de mail !!! De base considérez ça comme une arnaque. Au pire passez un coup de fil à un GENTIL ami informaticien patient avant de cliquer/aller plus loin (pas ceux qui envoient bouler ou se foutent de votre gueule).
Moi je le fais en connaissance de cause dans des sandbox (cad zones protégée pour pas casser mon ordi).
Et donc ça ouvre une page web, avec un vrais/faux pop-up. Mais la souris affichée ① n'est pas la bonne.
Mouarf. En fait la vraie souris est en ②. J'adore =)
À force de cliquer et passage en plein écran. Au bout d'un moment j'ai vu la vraie souris s'afficher en mode "je clignote".
Rappel: sous Windows, entrer/sortir du mode plein écran c'est la touche F11. Et là en théorie on peut fermer la page (la page/onglet et pas le browser, sinon elle risque de revenir au prochain lancement).
Et au pire, les touches CRTL-ALT-SUPR pour fermer la session et/ou ouvrir le gestionnaire de tâches mais là attention à ce que vous faites.
jeudi, 15. août 2019
Par Arfy le jeudi, 15. août 2019, 10:12 - Tableau blanc
Pac pac pac, Pacman attaque ! --- via IoT
Un petit truc de rien du tout pratique, G33K et oublié dans un coin ... et hop, une porte d'entrée dans votre réseau.
Accessoirement "Windows Defender" inclus dans W10 se classe pas mal ces derniers mois. Cf par ex "Windows Defender rivalise avec les meilleures solutions antivirus payantes selon AV Test"
mercredi, 14. août 2019
Par Arfy le mercredi, 14. août 2019, 17:16 - General
Qui cherche trouve ...
Ça touche ceux qui hébergent des sites et services, pas le commun des Internautes.
Mais vu que "Apache, Microsoft's IIS, et NGINX" sont touchés, ça va chauffer dans les correctifs à installer:
According to CERT, affected vendors include NGINX, Apache, H2O, Nghttp2, Microsoft (IIS), Cloudflare, Akamai, Apple (SwiftNIO), Amazon, Facebook (Proxygen), Node.js, and Envoy proxy, many of which have already released security patches and advisories.
mardi, 13. août 2019
Par Arfy le mardi, 13. août 2019, 10:45 - Tableau blanc
Attention, ça ne permet pas de se faire passer pour vous (sauf su votre carte est enregistrée comme moyen de payement dans GPay par ex sur un smartphone utilisé comme "carte" et que quelqu'un a pris possession de votre carte ou smartphone) mais "juste" de bypasser la limite de 30£ en Angleterre et accessoirement ça devrait aussi marcher chez nous.
Perso, j'ai déjà entendu que certaines cartes étrangères pouvaient payer plus de 150€ en sans contact. Mais c'était voulu ;)
J'imagine le gars qui essaye de s'acheter un truc de luxe en "sans contact" ;)
Source: Zataz
Source img le tweet de Leigh-Anne Galloway
mercredi, 7. août 2019
« billets précédents - page 1 de 16
