Een Russische hacker heeft een man-in-the-middle aanval gemaakt om de betaling van in-app aankopen na te maken. Daardoor lijkt het alsof de gebruiker betaalt, maar in feite gaat er niets van zijn iTunes-saldo af. De hack werkt zonder jailbreak. De hack werkt niet in alle apps met in-app aankopen, constateert 9to5 Mac. Sommige apps gebruiken een validatie voor in-app aankopen, waardoor de fraude niet kan plaatsvinden. De hack, die is ontdekt door een Russische ontwikkelaar, vereist dat de gebruiker enkele profielen installeert en dns-instellingen wijzigt in de verbindingsinstellingen.

Een jailbreak is niet vereist; de ontwikkelaar toont de hack op een iPhone 4S met iOS 6, waarvoor nog geen jailbreak publiekelijk beschikbaar is. De hack zou ook moeten werken op een iPad of iPod touch, met iOS-versies 3.x tot 6.0.

De Russische ontwikkelaar heeft het proces van in-app betalingen reverse engineeredom de hack mogelijk te maken. In de interface is te zien dat bij een in-app aankoop een popup verschijnt van de ontwikkelaar, waarbij op Like gedrukt moet worden om de aankoop te bevestigen.

Apple heeft nog niet gereageerd op deze kraak van zijn in-app aankoopproces. Het lijkt erop dat in-app aankopen bewaard blijven als de hack van het toestel wordt gehaald of aankopen op een ander iOS-toestel opnieuw gedownload worden. Het is niet aan te raden om de hack zelf uit te voeren: het gaat om een man-in-the-middle-proces en het is onduidelijk of de ontwikkelaar kwade bijbedoelingen heeft en op deze manier Apple ID-wachtwoorden van gebruikers kan onderscheppen.

Bron: tweakers.net

De RFID-chip in het nieuwe Nederlandse paspoort is via gratis verkrijgbare software eenvoudig te kraken. Dat liet de Nederlandse beveiligingsonderzoeker Jeroen van Beek gisteren in De Telegraaf weten.

De paspoortchip bevat onder meer de naam, geboortedatum, burgerservicenummer, foto en vingerafdrukken van de houder. Volgens Van Beek is de chip van korte afstand uit te lezen en te kopiëren. 
Met deze gegevens zouden criminelen kunnen frauderen en zelfs de rekening van de pashouders kunnen leeghalen. Voor het kraken van de beveiliging van de chip is gratis software op internet te vinden, aldus de onderzoeker.

Van Beek kraakte eerder al het Britse elektronische paspoort en ontwikkelde een tool om paspoortchips te klonen.

Bron: www.security.nl

Hackerscollectief D33Ds Company heeft namen en wachtwoorden van 453.000 accounts van Yahoo-diensten gepubliceerd. Waarschijnlijk zijn de hackers via een sql-injectie bij Yahoo Voice binnengekomen. De gegevens waren niet versleuteld.

Een collectief van hackers dat zich de D33Ds Company noemt, heeft de gebruikersnamen en wachtwoorden van in totaal 453.492 Yahoo-accounts op zijn site geplaatst. Bij de gebruikersnamen gaat het niet alleen om Yahoo-e-mailadressen, maar ook om Gmail-, Live- en AOL-adressen. De hackers zijn binnengekomen via een sql-injectie bij een subdomein van Yahoo. Het collectief meldt niet om welke kwetsbaarheid en welk domein het gaat 'om verdere schade te voorkomen'.

Uit de eveneens bij de publicatie vrijgegeven hostname 'dbb1.ac.bf1.yahoo.com' maakt beveiligingsbedrijf Trusted Sec echter op dat het waarschijnlijk om Yahoo Voice gaat. De accountnamen en wachtwoorden zouden onversleuteld opgeslagen zijn geweest. Naast de accountgegevens zijn ook meer dan 2700 table- en column-namen, en 298 MySQL-variabelen uit de gehackte database gepubliceerd. De authenticiteit van de hack is nog niet geverifieerd en Yahoo heeft nog niet gereageerd op de publicatie.

Een beveiligingsonderzoeker zal binnenkort demonstreren hoe hij via SQL Injection Netgear WiFi-routers kan overnemen. Zachary Cutlip van Tactical Network Solutions ontdekte tal van problemen met WiFi-routers die via SQL Injection zijn te misbruiken. In sommige gevallen blijken de apparaten de inloggegevens in een SQL Lite database op te slaan. Een aanvaller zou via SQL Injection zodoende zonder inloggegevens kunnen inloggen. Ook is het mogelijk om wachtwoorden in platte tekst te achterhalen en verborgen buffer overflows te misbruiken om root-level toegang te krijgen.