La società israeliana di sicurezza informatica CheckPoint Software Technologies ha pubblicato nei giorni scorsi i risultati di un’investigazione effettuata lo scorso maggio , che ha portato alla scoperta di gravi vulnerabilità riguardanti gli strumenti di sviluppo di applicazioni Android .
Alert: Our Research team has found #vulnerabilities that may have put every organization using #Java / #Android development tools at risk. Read the full report about #ParseDroid here: https://t.co/9xKQvp7lDL #CyberSecurity #InfoSec #Malware #Hack pic.twitter.com/k1BShmUvJe
– Check Point Software (@CheckPointSW) December 5, 2017
Nello specifico, i prodotti affetti da questa vulnerabilità – chiamata ParseDroid – sono i principali IDE utilizzati per sviluppare applicazioni Android: IntelliJ IDEA, Android Studio (il quale è basato sul precedente), Eclipse; sono inoltre vulnerabili diversi strumenti di reverse-engineering , come APKTool ed il servizio di analisi dei malware Cuckoo-Droid .
All’inizio, i ricercatori hanno riscontrato la vulnerabilità nel codice di APKTool, precisamente all’interno della classe DocumentBuilderFactory, un parser di file XML che va a gestire anche il file AndroidManifest.xml , il descrittore di ogni applicazione Android: questo parser non va ad ignorare eventuali entità esterne presenti all’interno del file, il cui contenuto viene quindi processato.
Un cyber-criminale potrebbe sfruttare questa vulnerabilità di tipo XXE (XML eXternal Entity) in due modi: pubblicando un file AndroidManifest.xml infetto all’interno di un repository su GitHub, oppure caricando una libreria AAR infetta all’interno di un repository Maven pubblico. In questo modo, il cyber-criminale sarebbe in grado di ottenere qualsiasi file presente all’interno del file system di un dispositivo infetto , ricevendolo direttamente sul suo server HTTP.
Ulteriori indagini effettuate dai ricercatori su APKTool hanno consentito di riscontrare un’ulteriore vulnerabilità, che in questo caso consente l’esecuzione remota di comandi sul computer su cui viene utilizzato il software ; la sezione “unknownFiles” del file APKTOOL.YML non prevede una validazione dei campi, che in questo caso sono path di file : sfruttando i path relativi ( Path Traversal Attack ), un attaccante sarebbe in grado di scaricare un file in qualsiasi path di sistema, ad esempio una shell PHP all’interno della root di un server HTTP.
I ricercatori di CheckPoint hanno dichiarato che, nel momento in cui scriviamo, tutti i prodotti affetti da queste vulnerabilità sono stati patchati con successo : si raccomanda quindi di utilizzare esclusivamente le ultime versioni disponibili degli IDE Android e degli strumenti di sviluppo e di debug.
Elia Tufarolo
-
Il letame quanto vale?
Da una analisi oggettiva un pezzo di letame, vale più di tutti i bitcoin e le altre criptovalute.Valore reale zero non c'è nessun bene dietro il bitcoin se non la demenza degli uomini. Niente fiducia niente controvalore. Attendiamo che il morto passi sul fiume.A oriente sono saggi a occidente piace baloccarci con queste schifezze che non valgono realmente nulla!Re: Il letame quanto vale?
- Scritto da: Giuseppe Rossi> Valore reale zero non c'è nessun bene dietro il> bitcoin se non la demenza degli uomini. Niente> fiducia niente controvalore.Ma ci sei o ci fai?Il controvalore sta nei $/ che la gente continua a buttarci dentro sugli exchange. Piglia il market-cap attuale e dividilo per la quantità massima possibile di moneta circolante, se non ci credi.Re: Il letame quanto vale?
non c'è nessun bene neanche dietro euro, dollaro, yen, yuan, rubloquindi? la presenza degli Stati come backers non vale molto, dato che le regole le fanno gli oligarchi, molti dei quali sono sicuro hanno comprato Bitcoin a man bassa in questi anniRe: Il letame quanto vale?
se uno che si chiama collione è sicuro, siamo a posto !!!Re: Il letame quanto vale?
- Scritto da: collione> la presenza degli Stati come backers non vale moltoInfatti vale non tanto lo stato in se ma l'economia che ci sta dietro la moneta. Vuoi comprare un bene USA? Compri dollari, quindi li spendi.I bitcoin varranno in funzione della necessità di usarli come moneta per transazioni reali. In un futuro forse varrà. Per ora è una bolla.IMHO, il fatto che non ci sia dietro una banca centrale, preferibilmente sotto controllo democratico, non consente di usare i Bitcoin per farci politica monetaria ed econimica. E questo non mi piace, almeno per certi usi.Messaggio
Per quei deficenti che mi chiamano per chiedermi di comperarne.Ficcateveli tutti su per l'orifizio degli scarti organici personali!Re: Messaggio
Vuoi scriverne un altro di messaggio per ribadire il concetto? No perché con due mica abbiamo ancora capito.E mi raccomando la XXXXX, non vorrai mica farla mancare nel prossimo messaggio.e intanto un altro morto...
e intanto un altro morto...www.nicehash.com (a cryptomining marketplace) e' stato "misteriosamente" hackato... e 62M$ volati via.... altro inside-job o hacker russi?Re: e intanto un altro morto...
- Scritto da: bubba> altro inside-job o hacker russi?Non si sa, per ora.Certo che usare il loro "finto wallet" interno per risparmiare qualche cents sulle transazioni è da sciocchi.Re: e intanto un altro morto...
- Scritto da: ...> - Scritto da: bubba> > altro inside-job o hacker russi?> > Non si sa, per ora.> Certo che usare il loro "finto wallet" interno> per risparmiare qualche cents sulle transazioni è> da> sciocchi.mah sai... DOPO che e' sucXXXXX qualche disastro, spesso si additano gli utenti come dei XXXXXni che dovevano andare da un altra parte... il problema e' che c'e' un disastro (magari piccolo) al giorno :)Re: e intanto un altro morto...
- Scritto da: bubba> e intanto un altro morto...> www.nicehash.com (a cryptomining marketplace) e'> stato "misteriosamente" hackato... e 62M$ volati> via.... altro inside-job o hacker> russi?non hai letto Biden oggi? gli acherrussi hanno pure fatto perdere il referendum costituzionale al bombaquindi si, sono stati gli acherrussi anche in questo casosarà stato Buterin perchè è invidioso dei successi di Bitcoin (rotfl)Re: e intanto un altro morto...
- Scritto da: collione> - Scritto da: bubba> > e intanto un altro morto...> > www.nicehash.com (a cryptomining> marketplace)> e'> > stato "misteriosamente" hackato... e 62M$> volati> > via.... altro inside-job o hacker> > russi?> > non hai letto Biden oggi? gli acherrussi hanno> pure fatto perdere il referendum costituzionale> al> bombano.... ho letto pero' di Seleznev jr (il megacarder russo) condannato una seconda volta.... il paparino e' un politico russo amico di putin e non e' molto contento :P> quindi si, sono stati gli acherrussi anche in> questo> casoa proposito di coin slavi... ho letto non so dove che gli sbirri bulgari che avevano fermato una gang autoctona tempo fa, ora si ritrovano i bitcoin sequestrati col valore decuplicato... sara' il caso di venderli, no? :)> sarà stato Buterin perchè è invidioso dei> successi di Bitcoin> (rotfl)naaa butin ha i suoi cfd a cipro che pompano sulle crypto.. lui e' a posto :)Re: e intanto un altro morto...
- Scritto da: collione> non hai letto Biden oggi? gli acherrussi hanno> pure fatto perdere il referendum costituzionale> al bombaOvviamente #hastatoputinVenghino siori
Si sventolano i guadagni dei fratelli Winklevoss come se fossero lustrini, si fa finta di criticare la bolla speculativa, ma si fa credere ai lettori che ci sono milioni di deficienti che si stanno buttando sulla bolla speculativa. Così senza sXXXXXrsi le mani si fa balenare nella mente dei lettori il miraggio di possibili guadagni speculando sulla stupidità degli altri. Mi sembra tanto di rivedere gli articoli che si pubblicavano poco prima che scoppiasse la bolla della new economy.Re: Venghino siori
- Scritto da: 3918faf50a6> Si sventolano i guadagni dei fratelli Winklevoss> come se fossero lustrini, si fa finta di> criticare la bolla speculativa, ma si fa credere> ai lettori che ci sono milioni di deficienti che> si stanno buttando sulla bolla speculativa. Così> senza sXXXXXrsi le mani si fa balenare nella> mente dei lettori il miraggio di possibili> guadagni speculando sulla stupidità degli altri.> > Mi sembra tanto di rivedere gli articoli che si> pubblicavano poco prima che scoppiasse la bolla> della new> economy.e il bitcoin e' niente... pensa chi spinge i cfd sui bitcoin :) fuffa elevato fuffaRe: Venghino siori
infatti io aspetto cosa succederà domenicagiuro che se Bitcoin non crolla, mi butto pure io nell'affaretanto ormai s'è capito che faranno come per il debito sovrano degli Stati, ovvero calceranno il barattolo ingrossando la bolla ( fin dove possibile )Re: Venghino siori
- Scritto da: collione> infatti io aspetto cosa succederà domenica> > giuro che se Bitcoin non crolla, mi butto pure io> nell'affareperche' proprio domenica? qui tanto ci sono dei pump'n'dump giornalieri (sulle crypto in generale e pure con gli strumenti della finanza 'normale' ormai... cfd, aftermarket, futures )> > tanto ormai s'è capito che faranno come per il> debito sovrano degli Stati, ovvero calceranno il> barattolo ingrossando la bolla ( fin dove> possibile> )con la differenza che qui e' tutto molto piu' instabile...Re: Venghino siori
- Scritto da: collione> giuro che se Bitcoin non crolla, mi butto pure io> nell'affareIl problema è capire quando scoppierà la bolla. Tu ci riesci?Che articolo penoso
É veramente un peccato vedere che a distanza di 9 anni ancora non abbiate capito cosa é la blockchain e cosa é la rivoluzionein atto.Siete come la maestra delle elementari che dieva che i pc non servono ad un XXXXX... ahahahaRe: Che articolo penoso
[img]http://primadisvanire.it/wp-content/uploads/2015/03/rzmxpr-300x188.jpg[/img]Re: Che articolo penoso
- Scritto da: Leo Garlsperi> É veramente un peccato vedere che a distanza di 9> anni ancora non abbiate capito cosa é la> blockchain e cosa é la rivoluzionein> atto.> > Siete come la maestra delle elementari che dieva> che i pc non servono ad un XXXXX...> ahahahadicevano la stessa cosa i tizi dentro btc-e, mtgox, Tradehill, eccTra l'altro l'affaire mtgox si e' "concluso"... il piu gigantico giro di hacking e riciclaggio del pianeta... neanche a dirlo il ladrone e' un russo.. alexander vinnik ... con la collusione di btc-e e altro..La veritá é che rosicate e basta
C erano un sacco di soldi da fare. E invece siete a belare le stesse XXXXXXX da 9 anni.Ps: sto portando a casa mezzo milione di euro. Ciao polli!Re: La veritá é che rosicate e basta
[img]http://cipe72.files.wordpress.com/2015/02/y1qp9o.jpg[/img]Re: La veritá é che rosicate e basta
Ridi ridi, intanto incasso e preparo la lettera di dimissioni. Ciaone!!Re: La veritá é che rosicate e basta
[img]http://memegenerator.net/img/instances/65589701/non-me-ne-frega-un-XXXXX.jpg[/img]Re: La veritá é che rosicate e basta
- Scritto da: Leo> Ridi ridi, intanto incasso e preparo la lettera> di dimissioni.> Ciaone!!e che ci fai con mezzo milione barboneRe: La veritá é che rosicate e basta
tutta la finanza è uno schema Ponzi, indipendentemente da Bitcoinuno dei pochi personaggi che abbia espresso un parere razionale a riguardo, fu l'ex presidente iraniano quando definì la finanza "un casinò legalizzato"Re: La veritá é che rosicate e basta
- Scritto da: Leo Garlsperi> Ps: sto portando a casa mezzo milione di euro.> Ciao polli!Il pollo sei tu, che pensi di essere furbo ad incassare adesso, quando tra 5-10 anni bitcoin varrà almeno 100 volte tanto.Re: La veritá é che rosicate e basta
- Scritto da: pollone> 100 volte tanto.*il suo valore attuale, ovviamente.Re: La veritá é che rosicate e basta
[img]http://memegenerator.net/img/instances/18472870/davvero-scusami-non-avevo-capito.jpg[/img]Re: La veritá é che rosicate e basta
- Scritto da: Leo Garlsperi> C erano un sacco di soldi da fare. E invece siete> a belare le stesse XXXXXXX da 9> anni.> > Ps: sto portando a casa mezzo milione di euro.> Ciao> polli!trollata scarsa 1/10Re: La veritá é che rosicate e basta
- Scritto da: Leo Garlsperi> Ps: sto portando a casa mezzo milione di euro.> Ciao> polli!Portateli subito, prima che scoppi la bolla. Altrimenti rischi di finire con un pugno di mosche in mano.codice antispam 670057
codice antispam 670057codice antispam 469802
codice antispam 469802codice antispam 838121
codice antispam 838121codice antispam 658242
codice antispam 658242codice antispam 006226
codice antispam 006226codice antispam 184170
codice antispam 184170......
Dio c'è!Re: ......
- Scritto da: Stelvio Brunazzi> Dio c'è!E che diavolo! Mai un po' di privacy!Re: ......
[img]http://memegenerator.net/img/instances/500x/60415673/ma-non-rompere-tre-quarti-di-XXXXXXXX.jpg[/img]Re: ......
Dio e' mortobit
quanti bit servono per scrivere wwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwww wwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwwwwww wwwwwwwwwwwww wwwwwwwwwww wwwwwwwwwwwwwwwww wwwwwwwwwwwwwwww wwwwwwwwwwwwwwwwww ?Re: bit
2808Re: bit
- Scritto da: Mario> 2808353 varatteri* 8 bit = 2808 bit standard utf 800=w 01=spazio 10=? 353*2= 706 bit standard ma daiRe: bit
Tanti caratteri, ma entropia bassa, se non vuoi i fine linea:1 short + 1 carattere = 32 bitUna nota
Moneta/ricchezza virtuale? Bé non è che dopo l'abbandono dell'equivalenza con l'oro le altre monete siano reali eh! La sola, importante, differenza tangibile è che il bitcoin sono solo bit, mentre le altre monete virtuali han anche una *piccola* frazione stampata su carta e metallo ovvero accumulabile e scambiabile senza tecnologie né strumenti particolari, almeno limitandosi per alcune valute ai cambi di banconota/moneta.Per me è solo una "guerra" tra il potere "classico" bancario e il nuovo potere "informativo" della silicon valley che pensa di poter far a meno del sistema bancario sostituendosi a quest'ultimo. Dopotutto anche il sistema bancario oramai è digitale ovvero ha bisogno di ferro e software che è almeno per l'hw ed i fw del caso in mano a 4 gatti.Re: Una nota
- Scritto da: xte> ovvero accumulabile e scambiabile senza> tecnologie né strumenti particolari,Ma di quali tecnologie e strumenti particolari parli?Un qualsiasi smartphone/tablet da 100/200 euro è più che sufficiente per gestire tutti i wallets che vuoi.La connessione dici? Nulla vieta di usare wifi aperti, se non si vuol spendere per 3g/4g.Dove la vedi tutta sta tecnologia/strumentazione inaccessibile, lo sai solo te.Re: Una nota
> Per me è solo una "guerra" tra il potere> "classico" bancario eNonostante i prezzi gonfiati oggi bitcoin capitalizza 270 miliardi di dollari che è una piccola frazione della massa monetaria di una nazione nella media dell'economia mondiale. Questo significa che un piccolo gruppo di istituzioni finanziarie può far ballare il suo valore molto più facilmente in confronto ad una moneta classica. Come lotta di potere non è ad armi pari.> il nuovo potere> "informativo" della silicon valley che pensa di> poter far a meno del sistema bancario> sostituendosi a quest'ultimo. Mica tanto. La Sylicon Valley tra Pay Pal e i vari sistemi di pagamento via smartphone sotto il controllo delle loro corporations sono in concorrenza con le criptovalute tanto quanto le vecchie istituzioni finanziarie.Re: Una nota
- Scritto da: xte> Moneta/ricchezza virtuale? Bé non è che dopo> l'abbandono dell'equivalenza con l'oro le altre> monete siano reali eh! La sola, importante,> differenza tangibile è che il bitcoin sono solo> bit, mentre le altre monete virtuali han anche> una *piccola* frazione stampata su carta...E il fatto che, al contrario dei BitCoin, l'emissione sia controllata dalla banca centrale non ti pare una rilevante differenza?Re: Una nota
Sì, a vantaggio di Bitcoin.Articolo un po' superficiale?
Sinceramente un pezzo così superficiale sul "fenomeno" bitcoin me lo sarei aspettato su un'altra qualsiasi testata generica. Non su punto informatico :(Re: Articolo un po' superficiale?
Temo che per parlare con competenza di Bitcoin siano necessarie le stesse conoscenze matematiche di John Nash.Forse, solo uno come lui sarebbe stato in grado di capire cosa c'è dietro questa moneta virtuale.Re: Articolo un po' superficiale?
Rifiuto la definizione di "moneta virtuale". Moneta digitale, moneta matematica, criprovaluta, quel che volete. Ma l'aggettivo "virtuale" lasciatelo per la valuta fiat (euro, dollaro, ecc.).Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 7 dic 2017Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 7 dic 2017Link copiato negli appunti
