тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.

пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1

рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/

PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV

хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632

Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/

странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.

статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html

информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286

Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.

на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.

https://alexmak.net/2019/08/08/lk-fas-apple/

Поскольку канал читают не только те, кому эта тема интересна, но и профессионалы «этого дела», то вам может быть полезно почитать про вакансии, доступные специалистам по информационной безопасности. Вакансии - штука полезная, поэтому публикуются бесплатно.
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!

Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:

https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
 
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .

Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком iOS для публичной актуальной версии системы за последние несколько лет


https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years

https://github.com/pwn20wndstuff/Undecimus/releases

Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.

MoviePass, кластерфак прошлого года (модный стартап, пытавшийся очень агрессивно продвигать тему подписки для подходов в кино и неоднократно обосравшийся на этой теме), снова в новостях. В этот раз — по теме канала. Так как компания оставила открытой базу данных доменных адресов компании, среди которых обнаружилась коллекция пользовательской информации. в частности, номера дебетных карт клиентов компании (они же - карты участников программы), баланс карт, дату окончания срока действия, а также записи с персональными картами пользователей, адресами и именами. рубрика "никогда такого не было, и вот опять"
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/

а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci

Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci

Полезная ссылка от читателя
https://www.linux.org.ru/news/security/15175589

Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana

тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/

ладно я еще могу понять отображение проникновения через компьютер в виртуальный мир. и даже маску. Но что делают эти перчатки?

популярный хостинг-провайдер Hostinger рассказал о неавторизованном доступе к базе данных клиентов компании (через найденный токен получили доступ в API базы). В базе данных хранились логины, имейлы, пароли в алогоритме SHA-1. Всего у компании 29 млн клиентов, злоумышленники получили доступ к данным 14 млн человек. Те клиенты, кого это затронуло, уже должны были получить имейл о сбросе пароля

https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8

Гонконгские IT-специалисты выяснили, как узнать телефонный номер пользователя Telegram, даже если тот скрыл его от всех в настройках мессенджера. Утечка происходит через публичные чаты — члены таких групп могут распознать среди участников контакты из своей телефонной книжки.

https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/

Собственно, как я и предполагал тут (https://t.me/alexmakus/3005), Apple выкатила апдейт 12.4.1 для iPhone, где вкатила фикс того, что она откатила в 12.4 после того, как пофиксила в 12.3 (да, оно на самом деле так запутанно и есть, как звучит)
https://support.apple.com/en-us/HT210549

о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.

Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:

⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.

Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/

Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558

Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.

https://security.googleblog.com/2019/08/new-research-lessons-from-password.html

Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/

Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то

https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/