#mobilesec — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #mobilesec, aggregated by home.social.
-
Since I haven't been getting much in the way of viewpoints, so I'm curious what people might say in the poll. What's your thought on the security implications of jailbreaking your primary iPhone?
#iPhone #Apple #security #infosec #mobileSec #mobileSecurity -
Since I haven't been getting much in the way of viewpoints, so I'm curious what people might say in the poll. What's your thought on the security implications of jailbreaking your primary iPhone?
#iPhone #Apple #security #infosec #mobileSec #mobileSecurity -
While I feel this article could be be more explicit in places, it seems to be written by a security firm but take a fairly nuanced view of the risks and benefits of #Apple #iPhone jailbreaking. My takeaway would be that it's probably not a great idea for a primary phone; maybe acceptable if it buys you something you need and you're really going to take the time to study up on a keep on top of mitigating #security measures. I'm still interested in other views or references Fedi people might have. #mobileSecurity #mobileSec #infosec
https://www.eset.com/blog/en/home-topics/device-protection/jailbreaking-rooting-risks/
-
While I feel this article could be be more explicit in places, it seems to be written by a security firm but take a fairly nuanced view of the risks and benefits of #Apple #iPhone jailbreaking. My takeaway would be that it's probably not a great idea for a primary phone; maybe acceptable if it buys you something you need and you're really going to take the time to study up on a keep on top of mitigating #security measures. I'm still interested in other views or references Fedi people might have. #mobileSecurity #mobileSec #infosec
https://www.eset.com/blog/en/home-topics/device-protection/jailbreaking-rooting-risks/
-
An acquaintance is thinking about jailbreaking their iPhone. Not being an Apple user, I haven't followed the topic closely, but I thought this was generally believed to be a bad idea from a security perspective (at least for a primary device).
Unfortunately what I can easily find online are people with no obvious credentials saying it's fine and security companies (who often overblow risks, like the infamous "juicejacking") saying it's bad. I'm hoping the Fediverse might be able to give me a more nuanced or fact-based perspective.
-
An acquaintance is thinking about jailbreaking their iPhone. Not being an Apple user, I haven't followed the topic closely, but I thought this was generally believed to be a bad idea from a security perspective (at least for a primary device).
Unfortunately what I can easily find online are people with no obvious credentials saying it's fine and security companies (who often overblow risks, like the infamous "juicejacking") saying it's bad. I'm hoping the Fediverse might be able to give me a more nuanced or fact-based perspective.
-
In case you missed it, Android apps including Facebook, Instagram, and several Yandex apps including Maps and Browser have been silently listen on fixed local ports for tracking purposes
Disclosure and findings can be found below:
https://localmess.github.io -
In case you missed it, Android apps including Facebook, Instagram, and several Yandex apps including Maps and Browser have been silently listen on fixed local ports for tracking purposes
Disclosure and findings can be found below:
https://localmess.github.io -
AndroidX Security Crypto got an update yesterday!
Bad news, it's just a version bump to take it out of alpha (and nothing else)
Still totally deprecated 😅 Sorry!
-
AndroidX Security Crypto got an update yesterday!
Bad news, it's just a version bump to take it out of alpha (and nothing else)
Still totally deprecated 😅 Sorry!
-
Day 1 of #BlackHatUSA2024
I am around the BlackHat area connecting with old friends and making new friends.
feel free to connect, highly interested in discussions around mobile, cloud, and supply chain security.
-
Day 1 of #BlackHatUSA2024
I am around the BlackHat area connecting with old friends and making new friends.
feel free to connect, highly interested in discussions around mobile, cloud, and supply chain security.
-
Цікава стаття вийшла тиждень тому на The Economist - "Зламати телефони в усьому світі небезпечно легко" (англ. "It is dangerously easy to hack the world’s phones").
Суть полягає у вразливості SS7, про яку я вже неодноразово згадував у своїх статтях та дописах.
SS7 - це протокол Signaling System 7, розроблений ще в далеких 1970-х роках, коли цифрова безпека тільки починала розвиватися, а мати мобільний пристрій міг лише крутий бізнесмен або військовий. SS7 дозволяє мобільним операторам обмінюватися даними для встановлення та керування викликами. Сьогодні, коли мобільними користуються мільйони, SS7 являє собою великий ризик.
Як пише Міністерство внутрішньої безпеки США: "оскільки існують десятки тисяч точок входу по всьому світу, багато з яких контролюються державами, які підтримують тероризм або шпигунство».
Іншими словами, кожен може зареєструвати свій мобільний оператор і використовувати вразливості SS7.
Експерти з безпеки, а також різноманітні шпигунські компанії і спецслужби знали про цю вразливість більше 15 років. Багато-хто цим "по тихому" користався.
У 2008 році Тобіас Енгель, дослідник безпеки, показав, що SS 7 можна використовувати для визначення місцезнаходження користувача. У 2014 році німецькі дослідники пішли далі, продемонструвавши, що його також можна використовувати для прослуховування дзвінків або запису та зберігання голосових і текстових даних. Зловмисники могли переслати дані собі, а також отримати ключ розшифрування.
У квітні 2014 року російські хакери використовували SS 7, щоб знайти та шпигувати за українськими активістами і політичними діячами. У 2017 році німецька телекомунікаційна компанія визнала, що зловмисники викрадали гроші клієнтів, перехоплюючи sms-коди автентифікації, надіслані з банків.
У 2022 році Катал МакДейд зі шведської компанії з телекомунікацій та кібербезпеки ENEA, оцінив, що російські хакери вже давно вели стеження та прослуховування російських дисидентів, які перебувають за кордоном, з допомогою SS7.
Починаючи з 2014 року китайські хакери викрали величезні обсяги даних з Управління персоналом, урядового агентства, яке керує федеральною державною службою Сполучених Штатів Америки. Найбільш конфіденційними даними були записи перевірки безпеки, які містять особисті конфіденційні дані. пов’язаний із зломом.
Американські оператори мобільного зв’язку розумно видаляють SS 7 зі своїх мереж, але певною мірою всі вони все ще мають з’єднання в роумінгу з рештою світу, де цей протокол залишається всюдисущим.
Що цікаво, новий протокол DIAMETER все ще має багато тих самих вразливостей, що й SS7. А в деяких аспектах навіть гірший.
Однією з причин, чому телекомунікаційні фірми нехтують вирішенням цієї проблеми, є те, що більшість нападників нібито мають суто політичні, а не комерційні мотиви. Спостереження, як правило, зосереджується на дуже невеликій кількості осіб. Мовляв, "простих смертних" це не стосується, а пошкодити цим мережі вони не зможуть. З чим я кардинально не погоджуюся. Прошу переглянути виступ одного харківського хакера про вразливості SS7 - кожен бандит за його словами може підняти свою станцію і зловживати цим протоколом: https://vimeo.com/manage/videos/821717097
Як захиститися від вразливості SS7? Ніяк. Мобільні оператори мають просто заборонити цей протокол, хоча знову ж таки новий Diameter має ті ж самі недоліки. Отже, треба розробляти щось нове.
Месенджери з наскрізним шифрування теж не врятують, тому що існує надпотужне шпигунське програмне забезпечення, таке як Pegasus і Predator, яке навіть не потребує взаємодії користувача зі смартфоном і встановлюється через zero-click.
1 травня Amnesty International опублікувала звіт, у якому показано, як «туманна екосистема постачальників, брокерів і торгових посередників» із Ізраїлю, Греції, Сінгапуру та Малайзії передала потужне шпигунське програмне забезпечення в руки кількох державних установ в Індонезії.
#ss7 #mobilesec #security #cybersecurity #infosec #intelligence #mobilesecurity #кібербезпека #мобільні #безпека #hackers #хакери #spyware #spy #vulnerabilities #mobile
-
⚠️ EncryptedSharedPreferences is now deprecated
I wrote a blog post about what this means for you and the security of your app
-
⚠️ EncryptedSharedPreferences is now deprecated
I wrote a blog post about what this means for you and the security of your app
-
🚨 New Blog Post Alert 🚨
An overview of the significant changes to the OWASP Mobile Top 10 for 2024
Find out what are now considered the greatest threats to Mobile Security 🔐📲
-
🚨 New Blog Post Alert 🚨
An overview of the significant changes to the OWASP Mobile Top 10 for 2024
Find out what are now considered the greatest threats to Mobile Security 🔐📲
-
🚨 New blog post alert 🚨
Part 4 of my series on the OWASP Mobile Top 10: Insecure Authentication
-
🚨 New blog post alert 🚨
Part 4 of my series on the OWASP Mobile Top 10: Insecure Authentication
-
Some light reading 🥲🔐 This will keep me busy for a while...
-
Some light reading 🥲🔐 This will keep me busy for a while...
-
🔐 Managed to completely miss this JetSec release last week, but 1.1.0-alpha05 brings some more stability to the library through a couple of bugfixes
Check out the release notes here:
https://developer.android.com/jetpack/androidx/releases/security#1.1.0-alpha05 -
🔐 Managed to completely miss this JetSec release last week, but 1.1.0-alpha05 brings some more stability to the library through a couple of bugfixes
Check out the release notes here:
https://developer.android.com/jetpack/androidx/releases/security#1.1.0-alpha05 -
📽 My Droidcon London talk "How to become your app's security champion" is now available to view
https://www.droidcon.com/2022/11/15/how-to-become-your-apps-security-champion/
Check it out 🔐 #AndroidDev #MobileSec
-
📽 My Droidcon London talk "How to become your app's security champion" is now available to view
https://www.droidcon.com/2022/11/15/how-to-become-your-apps-security-champion/
Check it out 🔐 #AndroidDev #MobileSec
-
#brakesec spent time discussing #JAMBOREE with @operat0r Part 1 was last week, this is Part 2, where we continue the demo. http://brakeingsecurity.com/jamboree-an-android-app-testing-platform-from-operat0r-part2
Part 1 on #Youtube: https://www.youtube.com/watch?v=U5SFav9h1L4
Part 2 on youtube: https://youtu.be/RXgwUWpRuYA
#mobile #Android #podcast #infosec #twitchStreamer #Mobilesec