Új tech trendek és egyebek...

ÚJTECHKOR...

ÚJTECHKOR...

Fertőzést egyenesen a gyártótól

2019. március 27. - GABOR2

Jaj, azok a mainstreamben örökké ismételt "remek" ajánlások arra, hogy "Én, hogyan tehetem biztonságossá az otthoni gépemet"...

Csak az eredeti gyártótól vedd meg, mert az úgy biztonságos; mindig frissíts úgy biztonságban leszel, víruskergetőt használj és akkor biztonságban leszel, ne látogass gyanus oldalakat akkor biztonságban leszel.

Nos... ezek a tanácsok a mostani eseteknél se érnek semmit... Ja, és akkor se érnének kb. semmit, ha nem ez lenne a szituáció.

Nos, egyenesen a gyártótól...

"Személyes adatokat küldtek Kínába egyes Nokia mobilok"

"A felhasználók, illetve azok tartózkodási helyének azonosítására alkalmas adatokat küldtek egyes Nokia okostelefonok egy kínai szerverre - az eset miatt azonnali hatállyal vizsgálatot indított a norvég adatvédelmi ombudsman."

Hát úgy tűnik hibába van az eredeti gyártótól és hiába voltál óvatos internetezésnél. A mobil víruskergető se jelzet be és a frissítés se védett meg.

"Több hónapon keresztül küldhettek egyes Nokia okostelefonok szenzitív, a felhasználó azonosítására alkalmas személyes adatokat Kínába, írja mai beszámolójában a norvég közszolgálati média. Az esetről februárban szerzett tudomást a sajtó, amikor egy norvég felhasználó azzal kereste meg az NRK-t, hogy a Nokia 7 Plus típusú telefonján lefuttatott egyszerű ellenőrzőrutin szerint a készüléke időről-időre egy kínai szerverhez csatlakozik, ahová adatcsomagokat továbbít. A csomagok elemzése után kiderült, hogy azok több személyes információt is tartalmaznak, melyek ráadásul egy titkosítatlan csatornán keresztül jutnak el Kínába. A norvég adatvédelmi ombudsman a sajtóbeszámolók alapján azonnali vizsgálatot rendelt el az ügyben."

"Az analízis alapján a szóban forgó készülék minden bekapcsoláskor valamint kijelzőfeloldáskor elküldte az IMEI-számát, a földrajzi koordinátáit és a SIM-kártya telefonszámát az ominózus kínai célszerverre, melynek doménje az NRK szerint a China Telecomhoz tartozik."

Hiába a mai program írók rengeteg bugot csinálnak, de egy valamiben verhetetlen profik... ha el is rontanak valamit, attól nem összeomlik mondjuk a program, hanem a felhasználó privát adatait küldözgeti el; ezek zsenik, micsoda hibázás, egy komplett megfigyelő rendszert összerittyentenek véletlen. Az se tűnik fel senkinek, hogy folyamatosan megy a szerverre több millió felhasználói adat.

"A társaság azt is hozzátette, hogy a szoftverhibát azóta javították, az érintett készülékekre februárban elérhetővé vált a patch, amit a felhasználók "nagy többsége" mostanra már telepített. A vállalat nem részletezte, hogy nagyságrendileg hány készülék lehetett érintett az incidensben."

Igen, merthogy ez egy kis hiba, ami egy bonyolult megfigyelő rendszerré változott valahogy... már megint. Huncut programozók, így élik ki a zsenijüket.

Becsszó jó fiúk voltunk, de ha nem, hát az se derül ki:

" az elküldött adatokat nem dolgozták fel, azok nem kerültek harmadik fél, legfőképpen bármilyen kínai állami szervezet birtokába."

Minek is felhasználói óvintézkedés ha már eleve a legális programok jobban kémkednek mint a múlt, valódi kémprogramjai.

Á, de ez mobil és Nokia... a PC az már... az már kiforrot... Ja:

"Fertőzött szoftver kerülhetett félmillió ASUS PC-re"

és

"Elismerte az ASUS, hogy feltörték a Live Update rendszerét"

"Több százezer ASUS számítógépre továbbíthatott kompromittált szoftvert a tajvani cég automatikus frissítőszolgáltatása tavaly - a kártékony kód az ASUS digitális tanusítványaival aláírva, legitim frissítésnek álcázva került a kliensekre, "

Szóval megintcsak jó fiú voltál és...

1, a gyártótól vetted a cuccot... hát az itt nem ér semmit

2. szorgalmasan frissítettél a gyártótól származó frissítéseket... hát ezzel szépen megfertőzted a géped

3. nem interneteztél felelőtlenül... hát az se ért itt semmit

4. anti-virust használtál... nos ez firmware, eggyel mélyebb réteg, amit a vírusírtó nem figyel és itt írtani pláne nem tud (Bár UEFI scannelés már lehetséges, de látjuk hogy a gyakorlatban hónapokig nem vették észre)

Szóval egyik hagyományos mainstream jótanács se védett meg ezektől.

Ráadásul még:

"A támadás tényéről a Kaspersky januárban értesítette a tajvani gyártót, majd februárban személyes találkozó keretében is egyeztettek a cég munkatársai. Az orosz szoftvercég szerint ugyanakkor az ASUS azóta sem tájékoztatta az érintett felhasználókat az esetről, ráadásul a tudomásszerzést követően legalább egy hónapig használta a kompromittált digitális tanúsítványokat illetve azokat azóta sem érvénytelenítette, ami a gyakorlatban azt jelenti, hogy rosszindulatú támadók továbbra is álcázni tudják a kódjukat vele."

Teremburáját még a felhővel is mostohán bánnak:

"az amerikai Szövetségi Kereskedelmi Bizottság (FTC) 2016-ban már büntette a céget. A vállalatot akkor a különböző hálózati eszközeit, felhős tárhelyeit és szoftverfrissítő algoritmusait érintő potenciális sebezhetőségek kezelése kapcsán tanúsított gyakorlata miatt bírságolták meg. Az FTC szerint az ASUS legalább egy évig kezeletlenül hagyott súlyos sebezhetőségeket egyes routereiben, illetve semminemű tájékoztatást nem adott a potenciális veszélyről felhasználóinak."

Eladni még oké, de vesződni vele... áhh. Meg betömnek egy lyukat, mit ér az ott van még pár ezer.

Az ügy azzal végződik, hogy próbálnak trükközni a számokkal, de elég átlátszóan teszik, de szinte már mindegy is ezek után.

A bejegyzés trackback címe:

https://ujtechkor.blog.hu/api/trackback/id/tr7514719793

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

pobeda 2019.03.27. 17:36:01

Gondolom a Nokiánál mostantól még nehezebb lesz észrevenni a szivárogtatást.

GABOR2 2019.03.27. 20:08:44

@pobeda: Ma már a többi techcég kitaposta az utat és bátran és rutinosan élnek vissza a felhasználók privát dolgaival folyamatosan. Szóval lehet ma már nem vennék ehhez se a fáradságot.

ujtechkor.blog.hu/2019/03/12/a_nagy_tech_cegek_ma_mar_batran_es_rutinosan_elnek_vissza_a_felhasznalok_privat_dolgaival
süti beállítások módosítása