Wtorek z UltraSamoukiem – Bezpieczeństwo

Sekurak informuje o kolejnej łatce dla podatności Log4j o której opowiadałem w 23 USPP. Pojawiła się wersja 2.17 biblioteki, m.in. chroniąca przed przed niekontrolowaną rekurencją w wyszukiwaniach autoreferencyjnych. Więcej informacji na stronie: cve.mitre.org.

Instalki.pl donoszą, że popularna aplikacja . Firma Pradeo na swoim blogu podała informację, że w aplikacji Color Message z Google Play znajduje się fleeceware Joker, które  zainfekowała ponad pół miliona użytkowników. Malware symuluje kliknięcia, by generować przychody ze złośliwych reklam, aktywuje subskrypcje usług premium oraz przesyła kontakty użytkowników. Zalecane jest natychmiastowe odinstalowanie aplikacji.

In4.pl podaje, że w sieci pojawił się nowy sposób na phishing: „na Spidermana”. Chodzi o niedawną premierę filmu Spiderman: Bez drogi do domu: oszuści oferowali możliwość obejrzenia przed premierą, a nawet ściągnięcia produkcji wcześniej za niewielką opłatą. Przestępcy, zdobywszy w ten sposób dane, przesyłali dodatkowo ofierze szkodliwe oprogramowanie.

Dodatkowo:

Mozilla naprawiła błąd wycieku haseł w Firefoksie – PC Format

Zabezpieczenia PlayStation 4 złamane. Fani Elden Ring – uwaga na spoilery! – WhatNext

Kto czyta Sekuraka…? – Sekurak

Instagram próbował zawłaszczyć słowo metaverse. Teraz przeprasza – SpidersWeb

Komentarz:

Łatwowierność – mimo tego, że słyszy się wciąż o różnych atakach, złośliwościach itp – ma poziom wciąż przerażający. O ile nie rozumiem konieczności personalizowania SMSów, jestem w stanie (ostatecznie) wejść w skórę fana, który czeka na film. Tym niemniej – wciąż istnieją pewne granice nieprawdopodobieństwa świetności oferty. Jeśli coś wygląda bardzo atrakcyjnie, należy ofertę sprawdzić wielokrotnie przed skorzystaniem. Kiedyś (oczywiście linku nie podam) znalazłem netbooka, śliczny był, świetne parametry, co mi nie pasowało to podejrzana taniość i nazwa sklepu, którą widziałem pierwszy raz. Oczywiście, są okazje, wynikające z błędów cenowych (np. przy przewalutowaniu) – najczęściej są krótkie, bo w interesie sklepu jest je uchwycić. Tu jednak wysłałem do sklepu zapytanie z jednego z moich przeznaczonych do takich właśnie kontaktów konta o płatność przy odbiorze. Otrzymałem odpowiedź, że powinienem ich zrozumieć, bo nie stać ich na wysłanie mi towaru, za który nie zapłacę. Pomijając fakt, że takie podejście jest co najmniej dziwne (w końcu o klienta trzeba dbać) – sprawdziłem sobie stronę w wyszukiwarce w międzyczasie, po prostu dopisując słowo „opinie”. I dobrze że nie zapłaciłem. Tak więc, jeśli podoba Ci się aplikacja za którą trzeba zapłacić – to zwykle warto te parę złotych wydać, zamiast kombinować z  darmowym zamiennikiem. Zwykle, bo to też nie zasada. Jak mawiają w „Prawdziwych przekrętach” – jeśli coś jest zbyt piękne, żeby było prawdziwe, zapewne takie nie jest. Z drugiej strony, podobno złodzieja niełatwo okraść. A obejrzenie filmu bez płacenia za kino… to nie kradzież?

English version:

Sekurak informs about another patch for the Log4j vulnerability, which I talked about in USPP 23. The version 2.17 of the library has appeared, incl. protecting against uncontrolled recursion in self-reference searches. More information at: cve.mitre.org. Instalki.pl report that a popular application. The Pradeo company on its blog announced that fleeceware Joker, which has infected over half a million users, is in the Color Message application from Google Play. Malware simulates clicks to generate revenue from malicious ads, activates subscriptions for premium services, and transmits user contacts. It is recommended that you uninstall the application immediately. In4.pl reports that a new method of phishing has appeared on the web: „on Spiderman”. It is about the recent premiere of the movie Spiderman: No Way Home: the scammers offered to watch before the premiere and even download the production earlier for a small fee. Having obtained data in this way, the criminals additionally sent malware to the victim.

Additionally:

Mozilla has fixed a password leak in Firefox – PC Format

PlayStation 4 security broken. Elden Ring fans – beware of spoilers! – WhatNext

Who is reading Sekurak…? – Sekurak

Comment:

Gullibility – even though you hear about attacks, malice etc – is still frightening. Unless I understand the need to personalize text messages, I am (eventually) able to get into the skin of a fan waiting for a movie. Nevertheless – there are still some limits to the improbability of the splendor of the offer. If something looks very attractive, you should check the offer several times before using it. Once (of course I will not provide the link) I found a netbook, it was beautiful, great parameters, what I did not like was the suspicious cheapness and the name of the store, which I saw for the first time. Of course, there are opportunities resulting from pricing errors (e.g. currency conversion) – most often they are short, because it is in the best interest of the store to capture them. Here, however, I sent a request to the store from one of my accounts for such contacts for payment on delivery. I received a reply that I should understand them, because they cannot afford to send me goods for which I will not pay. Apart from the fact that this approach is at least strange (after all, you have to take care of the customer) – I checked the page in the search engine in the meantime, just adding the word „reviews”. And it’s good that I didn’t pay. So, if you like an application that you have to pay for – it’s usually worth spending a few zlotys instead of combining with a free replacement. Usually, because that’s not a rule either. As they say in The True Scams, if something is too good to be true, it probably isn’t. On the other hand, it is said that a thief is not easy to rob. And watching a movie without paying for the cinema … isn’t it stealing?

One thought on “Wtorek z UltraSamoukiem – Bezpieczeństwo

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.