о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.

Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:

⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.

Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/

Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558

Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.

https://security.googleblog.com/2019/08/new-research-lessons-from-password.html

Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/

Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то

https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/

Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты работали на протяжении пары лет и сколько людей они могли заразить - неизвестно. Как минимум, хорошая новость в том, что имплант исчезал после рестарта. Вторая хорошая новость - Речь о цепочках уязвимостей, которые были обнаружены в начале этого года, и исправлены в последующих апдейтах iOS. Детальное расследование самих уязвимостей и импланта по ссылке, увлекательное чтиво на выходные

https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

ребята из Элкомсофт научились добывать сообщения Signal из айфона. Это, конечно, с физическим доступом к устройству, но даже в этом случае это было непросто
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/

Но есть и хорошие новости, вполне в духе пятницы! известный бренд Bang Bros (хехе) приобрел PornWikiLeaks.com — сайт, известный доксингом порноактрис (и актеров, я думаю). Сайт содержал в себе личную информацию, и Bang Bros, купив сайт (вместе с дисками), просто сжег диски нафиг.
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it

неожиданная статья про бутерброды с курицей. but stay with me, это относится к теме канала. Есть в штатах такая сеть фастфуда Chick-fil-A, мегапопулярная, кстати. У нее есть момент, основатели страшно религиозные люди, рестораны по воскресеньям не работают. И вот появляется отчет о том, куда ходят клиенты этой сети по воскресеньям, опубликованный компанией по мобильным аналитическим данным. Компания (Buxton Live Mobile Insights) даже не стесняется рассказывать, что она трекала клиентов Chick-fil-A по их мобильным устройствам с понедельника по субботу, а затем следила за тем, куда те же устройства (их пользователи) ходили в воскресенье. Данные получены методом покупки от некоторых агрегаторов, и собираются с мобильных устройств, где "пользователи согласились" на мониторинг местоположения. Я практически на 100% уверен, что если даже кто-то там соглашался на какой-то мониторинг, понятия не имел о том, какой именно мониторинг и каким образом он будет осуществляться.

https://www.dallasnews.com/business/local-companies/2019/08/23/where-do-chick-fil-a-customers-go-on-sundays-a-d-fw-company-has-the-answer-and-it-s-not-popeyes/

читая истории типа этой про сети ресторанов, подобные уведомления, которые теперь будет показывать iOS на айфонах о приложениях, собирающих в фоне инфу о геолокации пользователя, можно только поприветствовать

Когда забил на реализацию нормальной 2ФА в Твиттере и обосрался (аккаунт СЕО Твиттера взломали)
Апд. Похоже, что вопрос не в 2ФА, а в сервисе публикации твитов через СМС и спуффинге номера. Но это только подчеркивает уровень лажи и «безопасности»

Я пару дней назад писал про историю с цепочками уязвимостей нулевого дня для iPhone, когда айфоны взламывались просто от захода на эти сайты (проблему обнаружили Гугл в феврале, через 7 дней Apple выпустила апдейт, исправляющий эти уязвимости)
https://t.me/alexmakus/3021

Поскольку история громкая, то неудивительно, что у нее есть и продолжение. Во-первых, TechCrunch написали, что они выяснили, кто стоит за этими сайтами. Оказалось, что это Китай, и цель этих сайтов — мусульмане из Уйгура, региона Китая, в котором правительство активно затягивает гайки по подавлению этого населения и интеграции их в страну.
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/

логично возник вопрос — неужели среди жителей Уйгура есть только пользователи iPhone, что создали для него такие страницы. А как же другие платформы? И Forbes чуть позже опубликовал материал о том, что те же сайты также таргетили операционные системы Google и Microsoft, как говорят анонимные источники автора материала. Странно, что Google в этом случае ни слова не сказала про Android, опубликовав материал только про уязвимости iOS.

https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#414ae954adf6

полезная штука, если вдруг психанете 🙂 - кнопки по удалению учетных записей в различных сервисах
https://backgroundchecks.org/justdeleteme/

интересный и познавательный и материал о разработке эксплойтов под iOS
https://azeria-labs.com/heap-exploit-development-part-1/

давненько у нас Facebook не светился в новостях

отключение функции распознавания лиц на facebook - теперь по умолчанию ФБ не будет распознавать лица на фото и видео. Если отключить эту функцию, ФБ обещает удалить информацию, которую компания собрала за время использования социальной сети. ХАХА, ТАК Я И ПОВЕРИЛ
https://newsroom.fb.com/news/2019/09/update-face-recognition/

вторая новость не такая хорошая. в интернете обнаружили сервер с 419 млн записей пользователей Facebook и их номеров телефонов. телефоны привязаны к Facebook ID, и там 133 млн пользователей из США, 18 млн пользователей из Великобритании, и почемуто 50 млн пользователей из Вьетнама. К некоторым записям была привязана также дополнительная личная информация. ФБ утверждает, что информация была собрана кем-то до того, как ФБ ограничил доступ разработчикам к информации о номерах телефонов пользователей. (если бы эти нехорошие человеки в ФБ прятали номера телефонов, которые юзеры привязывали для 2ФА, то, может, и проблема была бы меньшего масштаба)
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/

кстати, о телефонах. "взлом" аккаунта СЕО Твиттера (https://t.me/alexmakus/3026), когда в его аккаунт кто-то натвитил расистских сообщений, произошел через систему публикации твитов через SMS. Поэтому Твиттер наконец-то отреагировал и пока что просто выключил возможность твитов через SMS (похоже, что этим таки кто-то пользуется, кроме хакеров, раз они не вырубят этот сервис вообще)
https://twitter.com/TwitterSupport/status/1169334341064769536

ну приехали. zero-days для iOS уже не самые дорогие, теперь самые дорогие — для Android. при джобсе такого не было! до чего довел планету этот фигляр ПэЖэ!
https://zerodium.com/program.html#changelog

очень странная история про то, как к Apple и Google пришло министерство правды (зачеркнуто) юстиции и потребовало данные на пользователей определенного приложения. Приложение Obsidian позволяет управлять и настраивать оптические прицелы компании ATNC. Якобы ведется расследование о незаконном экспорте прицелов, и следователи хотят получить информацию о том, где и как использовалось приложение. но странно, что они пришли к магазинам, а не к разработчикам приложения. Видимо, вычислять индивидуумов хотят в том числе и по информации о покупке приложения. Пока непонятно, что будут делать компании, но предыдущие подобные запросы в Apple заканчивались отказом о передаче данных (в основном потому, что такие групповые запросы, без таргетинга конкретного лица, в целом не приветствуются, и считаются нарушением личной жизни. ХАХА, то-то NSA слушала всех американцев подряд в поисках террористов)
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/

Кажется, у Эпол немножко бомбануло от отчета Гугл о сайтах, направленных на взлом айфонов. В целом яблочная аргументация, кстати, вполне здравая, но попкорн пригодится

И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.

https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/