Новый сервис Firefox Monitor сообщит об утечках и взломах аккаунтов

Новый сервис Firefox Monitor сообщит об утечках и взломах аккаунтов

Трой Хант, создатель Have I Been Pwned, в своем блоге сообщил, что его сервис будет использоваться компанией Mozilla, разрабатывающей популярный браузер Firefox. Для этих целей создан специальный веб-сайт Firefox Monitor.

Firefox Monitor поможет пользователям браузера узнать, были ли скомпрометированы их учетные данные в результате утечки или взлома. Для этого надо будет просто ввести информацию аккаунта на этом сайте.

«Это важный шаг, так как Firefox установлен у сотен миллионов людей. Это значительно расширит аудиторию сервиса Have I Been Pwned», — пишет Хант в свое блоге.

В настоящее время Mozilla тестирует эту функцию, пользователям будет предложено опробовать ее на следующей неделе. Для Mozilla это станет еще одним шагом в сторону создания наиболее безопасного для пользователей браузера, а Хант сможет привлечь новых людей для тестирования своего сервиса.

Базу данных Have I Been Pwned уже используют такие компании, как 1Password и Okta.

«Создавая Firefox Monitor, мы удовлетворяем потребность в безопасности учетной записи. Этот инструмент будет доступен всем, однако лишь пользователи Firefox получат дополнительные функции безопасности», — говорят в Mozilla.

Mozilla на следующей неделе планирует пригласить около 250 000 пользователей опробовать этот сервис. Нужно будет ввести свой адрес электронной почты, чтобы узнать, были ли скомпрометированы какие-либо учетные данные с этим адресом.

Mozilla также планирует реализовать систему уведомлений об утечках для зарегистрировавшихся в сервисе пользователей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры проникают в смартфоны Xiaomi и подделывают платежи

В моделях Xiaomi Redmi Note 9T и Redmi Note 11 обнаружены уязвимости, с помощью которых можно “вырубить” мобильные платежи и подделать транзакции. В устройство аферисты проникают через мошенническое приложение для Android.

О недостатках в телефонах на базе MediaTek сообщили в отчете специалисты Check Point. По версии компании, “дыру” нашли в надежной среде выполнения (TEE) китайского производителя телефонов.

TEE относится к безопасной области внутри главного процессора. Она гарантирует, что код и загруженные данные будут защищены с точки зрения конфиденциальности и целостности.

Израильская компания обнаружила, что приложение на устройстве Xiaomi может быть скомпрометировано. Это позволяет злоумышленнику заменить новую безопасную версию приложения старой уязвимой (даунгрейд).

“Злоумышленник может обойти обновления безопасности Xiaomi или MediaTek для проверенных приложений, понизив их до непропатченных версий”, — говорит исследователь из Check Point Слава Маккавеев.

 

Уязвимости нашли и в “thhadmin”, легитимном приложении, отвечающим за управление безопасностью. С их помощью вредоносная программа собирает сохраненные ключи и может сама управлять приложением.

“Мы обнаружили уязвимости, которые позволяют подделывать платежи или отключать платежную систему напрямую из приложения для Android”, — уточняет Маккавеев.

Цель хакеров — проникнуть в разработки Xiaomi и управлять сервисом Tencent Soter, который служит базой при авторизации транзакций для WeChat и Alipay.

Это еще не все. Check Point обнаружили, что вредоносный код может извлекать закрытые ключи для подписи платежных поручений. Уязвимость полностью компрометирует платформу Tencent Soter, говорят исследователи.

Xiaomi в июне выпустила патчи для устранения уязвимости CVE-2020-14125. Загруженные обновления должны закрывать “дыру”, добавляют в Check Point.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru