Google ha contattato i vincitori del "primo giro di boa" del concorso per sviluppatori "Android Developer Challenge" La lista comprende 46 progetti perché i restanti quattro non hanno voluto rendere pubblici i dati relativi al loro software.

1. AndroidScan - Usare il telefono pre prendere informazioni su un prodotto attraverso il codice a barre per evitare di fare acquisti sbagliati (by Jeffrey Sharkey)
2. Beetaun - Social network geografico creato dalle persone per le persone. By Sergey Gritsyuk and Dmitri Shipilov
3. BioWallet - Autenticazione biometrica per Android. Jose Luis Huertas Fernandez
4. BreadCrumbz - By Amos Yoffe
5. CallACab - Konrad Huebner and Henning Boeger
6. City Slikkers - By PoroCity Media and Virtual Logic Systems.
7. Commandro - By Alex Pisarev, Andrey Tapekha.
8. Cooking Capsules - By Mary Ann Cotter and Muthuselvam Ramadoss
9. Diggin - Daniel Johansson, Aramis Waernbaum, Andreas Hedin
10. Dyno - Virachat Boondharigaputra
11. e-ventr - By Michael Zitzelsberger.
12. Eco2go - By Taneem Talukdar, Gary Pong, Jeff Kao and Robert Lam
13. Em-Radar - Em-Radar è un rivoluzionario servizio mobile che ti avvisa ogni volta che sono previste emergenze o maltempo in qualsiasi momento. By Jack Kwok.
14. fingerprint - Robert Mickle
15. FreeFamilyWatch - Navee Technologies LLC
16. goCart - Rylan Barnes
17. GolfPlay - By Inizziativa Networks
18. gWalk - Prof. Dr.-Ing. Klaus ten Hagen, Christian Klinger, Marko Modsching, Rene Scholze
19. HandWx - By Weathertop Consulting LLC.
20. IMEasy - Yan Shi
21. Jigsaw - Mikhail Ksenzov
22. JOYity - Coming soon. By Zelfi AG.
23. LifeAware - Permette di sapere dove sono localizzati i vostri familiari. Gregory Moore, Aaron L. Obrien, Jawad Akhtar
24. Locale - Una delle sette applicazioni inviate da studenti del MIT. Clare Bayley, Christina Wright, Jasper Lin, Carter Jernigan.
25. LReady Emergency Manager - Un veloce Whois Lookup By Chris Hulls, Dilpreet Singh, Luis Carvalho, Phuong Nguyen.
26. Marvin - Marvin permette di pubblciare e visualizzare tutti gli oggetti che ti circondano. Gli oggetti possono essere statici o seguirti. By Pontier Laurent.
27. Mobeedo - Mobile Search. By Sengaro GmbH.
28. Multiple Facets Instant Messenger - A Whois Lookup By Virgil Dobjanschi.
29. MyCloset - Mamoru Tokashiki
30. PedNav - By RouteMe2 Technologies Inc.
31. Phonebook 2.0 - Coming soon. By Voxmobili.
32. PicSay - Eric Wijngaard
33. PiggyBack - Christophe Petit and Sebastien Petit
34. Pocket Journey - By Anthony Stevens and Rosie Pongracz.
35. Rayfarla - Trasforma il tuo cellulare in uno strumento musicale. By Stephen Oldmeadow.
36. Safety Net - Michael DeJadon
37. SocialMonster - Ben Siu-Lung Hui and Tommy Ng
38. SplashPlay - Imparare la musica divertendosi.
39. Sustain- Mantieni vivo il tuo social network - Niraj Swami
40. SynchroSpot - Shaun Terry
41. Talkplay - Sung Suh Park
42. Teradesk - José Augusto Athayde Ferrarini
43. The Weather Channel for Android - Il canale meteo di Android Interactive Inc.
44. TuneWiki - Avere i testi delle canzoni sempre presenti e sincronizzati con la musica. By TuneWiki Inc.
45. Wikitude-the Mobile Travel Guide - Trova punti di interesse in base alla tua posizione. By Philipp Breuss.
46. Writing Pad - Nuovo e divertente modo di scrivere del testo usando il touchscreen con sistema di riconoscimento. By ShapeWriter Inc.
47. ?
48. ?
49. ?
50. ?

Il mistero sugli ultimi quattro resta.

Ancora una volta esprimo il mio dissenso verso Google per l'esclusione dell'Italia da questo concorso. Quì i criteri di valutazione utilizzati da Google. Via AD Google Blog

Nel sottobosco della sicurezza internazionale è esplosa da poco questa "bomba pericolosa" che colpisce Google e il browser Firefox. Dopo l'articolo sul DOS di Firefox 2.0.0.9 la situazione sembra complicarsi. La vulnerabilità critica riscontrata in google potrebbe permettere di eseguire codice malizioso all'interno dell'url relativa al re dei motori di ricerca. Uno dei POC è il seguente:

PoC

In questo caso verrete dirottati nuovamente su questo blog. Questa vulnerabilità unita alla vulnerabilità che colpisce Firefox dovuta al protocollo jar potrebbe risultare davvero devastante, almeno fino a che non vengano presi provvedimenti al riguardo. Questo problema è stato reso pubblico per far in modo che Google chiuda tutti i suoi open redirects che non sono pochi e per far in modo che venga rilasciata una versione aggiornata di firefox adesso. L'unico modo a mio avviso per tamponare questo genere di attacchi XSS al momento. Un plugin scritto dall'amico Gianni Amato, XSS warning è stato aggiornato,invece, per limitare i danni dovuti al fatto che Firefox non "filtra" il protocollo jar e quindi relativi attacchi del tipo :

jar:[url to archive]![path to file]

Come giustamente ha commentato Giorgio, XSS warning non difende da attacchi tipo il PoC relativo ai bug presenti negli open redirects di Google di cui il PoC sopra, ma a tamponare la vulnerabilità di firefox nell'interpretare il protocollo jar. Mi scuso se ho dimenticato questa precisazione e ringrazio per questo Giorgio

Negli ultimi giorni molti profili su myspace sono stati attaccati. Niente di nuovo -penserete- comunque questo nuovo approccio risulta differente. Il perché risiede nel fatto che gli "attackers" sembrano colpire solo le pagine di varie rock bands, sovrapponendole con una immagine di background che copre una parte della pagina che prova a redirezionarvi su una fasulla installazione di alcuni Media Codec, oppure come scritto nei vari Myspace Bulletins attraverso attacchi di phishing rubano le varie credenziali di accesso. Date uno sguardo a questa immagine:

 

Clicca quì per ingrandire

Ingrandendo l'immagine vi accorgerete che alla fine dello schermo c'é un .cn URL - da quì parte l'attacco. Esaminando il codice viene fuori

 

Scomponendo in sequenze di passi l'hijacking si noterà:

 

http://co8vd.cn/s/ (16:57:08)

 

http://co8vd.cn/su/in.cgi? (16:57:09)

 

http://filcu.cn/s/g.html (16:57:10)

 

Arrivati su quest'ultimo passo vi verrà richiesto di installare dei Media Codec.

Se proseguirete nell'installazione (evitate NdA) vi verrà installato nel browser una FAKE security toolbar capace di rubare password e credenziali di accesso.

 

L'allarme potrebbe derivare dal fatto che sembra che alcuni computer siano stati contagiati semplicemente visitando le pagine infette, cosa che dopo aver testato personalmente posso ritenere infondata.

 

Cascare nel tranello è molto facile soprattutto per quegli utenti che non hanno tanta dimestichezza nel riconoscere questo genere di attacchi, ma la particolarità di questo è che va a colpire le band musicali che naturalmente richiamano sempre un bel pò di utenti e quindi potenziali vittime.

 

Un attacco architettato molto bene.

Ecco una delle varie band colpite:

http://www.myspace.com/passarounders

 

 

 

 

Via

 

 

 

 

Feedsmith Feedburner, famoso plugin di wordpress è vulnerabile ad attacchi del tipo CSRF che potrebbero consentire ad un aggressore di dirottare i feed dei vostri blog.

La pagina del popolare plugin dice questo:

Questo plugin dirotta il 100% del traffico dei vostri feed sul feed di Feedburner che avete creato sul servizio. FeedBurner può tracciare tutto il traffico dei vostri feed e l'uso che ne viene fatto per poi applicarci una varietà di features che sceglierete per migliorare i vostri feeds su Wordpress.

In altre parole, se un attacker può contrallare il vostro Feedburner plugin, significa che al 100% può controllare il traffico del vostro feed e dirottarlo (hijack)….Potrebbero,inoltre, essere tracciati tutti i sottoscrittori, il traffico, l'uso...

POC

(continua a leggere...)

Ecco alcuni video che mostrano quanto il potere di google stia cominciando a preoccupare il mondo riguardo la propria privacy. Google sappiamo già che fornisce Gigabytes gratuiti in cambio di molti dati, dominando dal punto di vista di accesso alle informazioni il web che conosciamo oggi. Sarebbe forse il caso di domandarsi quanto la posizione di google sia predominante nel global market prima che possa essere troppo tardi. Sembra quasi che da motore di ricerca innocente si stia trasformando in una vera e propria piattaforma hacker. (continua a leggere...)

La vulnerabilità colpisce il sistema di filtri anti XSS di Google che proteggono i suoi utenti da iniezioni di codice HTML malizioso in questo caso il servizio colpito è Google Docs. Questo tipo di vulnerabilità sono presenti nella maggiorparte dei siti con editors WYSIWYG (what you see is what you get).

Falle come questa sono exploitabili anche attraverso l'injection di un iframe. Lo scopritore della vulnerabilità Hong dice in una mail: ... (continua a leggere...)