о профессиональной деформации. Сегодня приснилось, что кто-то взломал канал. Не мой аккаунт в ТГ, а именно канал, и начал постить сюда всякие сообщения о pwning. кошмары у каждого свои.
Пару раз я уже писал тут про то, что голосовые помощники типа Alexa, Siri, Cortana и проч, зачастую передают записи для анализа живыми людьми, что приводит к попаданию частных деталей к этим людям. Они к тому же, часто оказываются не сотрудниками компаний, а сторонними подрядчиками. Сегодня Apple опубликовала материал, в котором извинилась за то, что не соответствовала своим же идеалам конфиденциальности, и разъяснила изменения, которые внедряет компания:
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
⁃ По умолчанию, компания больше не будет сохранять звуковые записи взаимодействий с Siri
⁃ У пользователей будет возможность записаться на то, чтобы их аудиосэмплы могли использоваться для дальнейшего анализа и обучения голосового помощника.
⁃ В третьих, для анализа таких записей будут использоваться только сотрудники компании, которые будут удалять любые записи, которые были случайными триггерами Siri.
Таким образом, Apple, хотя и была последней компанией, не дававшей возможности отказаться от сохранения аудиозаписей для анализа, стала первой, которая сделала это в виде именно добровольного участия в программе.
https://www.apple.com/newsroom/2019/08/improving-siris-privacy-protections/
Кроме этого, компания опубликовала FAQ о том, что такое оценка записей Siri и зачем это надо
https://support.apple.com/en-us/HT210558
Хочется надеяться, что подобные материалы добавят понимания людям, что когда речь идет об искусственном интеллекте или машинном обучении, там еще очень много человеческого фактора, от которого никуда не деться.
Apple Newsroom
Improving Siri’s privacy protections
Our goal with Siri, the pioneering intelligent assistant, is to provide the best experience for our customers while vigilantly protecting their privacy.
https://security.googleblog.com/2019/08/new-research-lessons-from-password.html
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Читатель напоминает, что по результатам этого исследования функциональность проверки паролей на предмет утечки будет встроена в Chrome
https://9to5google.com/2019/08/15/google-password-checkup-leak-detection-will-soon-be-built-into-chrome/
Google Online Security Blog
New Research: Lessons from Password Checkup in action
Posted by Jennifer Pullman, Kurt Thomas, and Elie Bursztein, Spam and Abuse research Back in February, we announced the Password Checkup ...
Отчёт о том, как частная компания Ring, принадлежащая Amazon, передаёт полиции напрямую записи со своих «умных» звонков с камерами. В самом сотрудничестве формально нарушения законодательства нет, но сам факт построения такой частной системы наблюдения вызывает вопросы у экспертов по обеспечению сохранности личной информации. Кроме того, есть много вопросов и к тому, как системы распознавания у Ring идентифицируют людей; неоднократно приводились примеры, как у распознавалки была склонность находить больше преступников среди чернокожих, а также идентифицировать кандидатов в преступники среди обычных людей. Неспокойно это как-то
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
https://www.washingtonpost.com/technology/2019/08/28/doorbell-camera-firm-ring-has-partnered-with-police-forces-extending-surveillance-reach/
Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты работали на протяжении пары лет и сколько людей они могли заразить - неизвестно. Как минимум, хорошая новость в том, что имплант исчезал после рестарта. Вторая хорошая новость - Речь о цепочках уязвимостей, которые были обнаружены в начале этого года, и исправлены в последующих апдейтах iOS. Детальное расследование самих уязвимостей и импланта по ссылке, увлекательное чтиво на выходные
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html
Blogspot
A very deep dive into iOS Exploit chains found in the wild
Posted by Ian Beer, Project Zero Project Zero’s mission is to make 0-day hard. We often work with other companies to find and report se...
ребята из Элкомсофт научились добывать сообщения Signal из айфона. Это, конечно, с физическим доступом к устройству, но даже в этом случае это было непросто
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/
ElcomSoft blog
How to Extract and Decrypt Signal Conversation History from the iPhone
With over half a million users, Signal is an incredibly secure cross-platform instant messaging app. With emphasis on security, there is no wonder that Signal is frequently picked as a communication tool by those who have something to hide. Elcomsoft Phone…
Но есть и хорошие новости, вполне в духе пятницы! известный бренд Bang Bros (хехе) приобрел PornWikiLeaks.com — сайт, известный доксингом порноактрис (и актеров, я думаю). Сайт содержал в себе личную информацию, и Bang Bros, купив сайт (вместе с дисками), просто сжег диски нафиг.
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
https://www.vice.com/en_us/article/9keb4d/bang-bros-bought-pornwikileaks-doxing-forum-and-set-fire-to-it
Vice
Bang Bros Bought a Huge Porn Doxing Forum and Set Fire to It
PornWikiLeaks was a forum devoted to revealing the names and personal information of porn performers, including several in the Girls Do Porn trial.
неожиданная статья про бутерброды с курицей. but stay with me, это относится к теме канала. Есть в штатах такая сеть фастфуда Chick-fil-A, мегапопулярная, кстати. У нее есть момент, основатели страшно религиозные люди, рестораны по воскресеньям не работают. И вот появляется отчет о том, куда ходят клиенты этой сети по воскресеньям, опубликованный компанией по мобильным аналитическим данным. Компания (Buxton Live Mobile Insights) даже не стесняется рассказывать, что она трекала клиентов Chick-fil-A по их мобильным устройствам с понедельника по субботу, а затем следила за тем, куда те же устройства (их пользователи) ходили в воскресенье. Данные получены методом покупки от некоторых агрегаторов, и собираются с мобильных устройств, где "пользователи согласились" на мониторинг местоположения. Я практически на 100% уверен, что если даже кто-то там соглашался на какой-то мониторинг, понятия не имел о том, какой именно мониторинг и каким образом он будет осуществляться.
https://www.dallasnews.com/business/local-companies/2019/08/23/where-do-chick-fil-a-customers-go-on-sundays-a-d-fw-company-has-the-answer-and-it-s-not-popeyes/
https://www.dallasnews.com/business/local-companies/2019/08/23/where-do-chick-fil-a-customers-go-on-sundays-a-d-fw-company-has-the-answer-and-it-s-not-popeyes/
The Dallas Morning News
Where do Chick-fil-A customers go on Sundays? A D-FW company has the answer, and it's not Popeyes
On the heels of the viral response to Popeyes' new fried chicken sandwich, a well-respected data and analytics company has released a list of...
Я пару дней назад писал про историю с цепочками уязвимостей нулевого дня для iPhone, когда айфоны взламывались просто от захода на эти сайты (проблему обнаружили Гугл в феврале, через 7 дней Apple выпустила апдейт, исправляющий эти уязвимости)
https://t.me/alexmakus/3021
Поскольку история громкая, то неудивительно, что у нее есть и продолжение. Во-первых, TechCrunch написали, что они выяснили, кто стоит за этими сайтами. Оказалось, что это Китай, и цель этих сайтов — мусульмане из Уйгура, региона Китая, в котором правительство активно затягивает гайки по подавлению этого населения и интеграции их в страну.
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
логично возник вопрос — неужели среди жителей Уйгура есть только пользователи iPhone, что создали для него такие страницы. А как же другие платформы? И Forbes чуть позже опубликовал материал о том, что те же сайты также таргетили операционные системы Google и Microsoft, как говорят анонимные источники автора материала. Странно, что Google в этом случае ни слова не сказала про Android, опубликовав материал только про уязвимости iOS.
https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#414ae954adf6
https://t.me/alexmakus/3021
Поскольку история громкая, то неудивительно, что у нее есть и продолжение. Во-первых, TechCrunch написали, что они выяснили, кто стоит за этими сайтами. Оказалось, что это Китай, и цель этих сайтов — мусульмане из Уйгура, региона Китая, в котором правительство активно затягивает гайки по подавлению этого населения и интеграции их в страну.
https://techcrunch.com/2019/08/31/china-google-iphone-uyghur/
логично возник вопрос — неужели среди жителей Уйгура есть только пользователи iPhone, что создали для него такие страницы. А как же другие платформы? И Forbes чуть позже опубликовал материал о том, что те же сайты также таргетили операционные системы Google и Microsoft, как говорят анонимные источники автора материала. Странно, что Google в этом случае ни слова не сказала про Android, опубликовав материал только про уязвимости iOS.
https://www.forbes.com/sites/thomasbrewster/2019/09/01/iphone-hackers-caught-by-google-also-targeted-android-and-microsoft-windows-say-sources/#414ae954adf6
Telegram
Информация опасносте
Мегапост про уязвимости на сайтах, способные заражать айфоны имплантами просто от посещения сайтов, и ворующие потом данные без особого таргетинга, просто у всех посетителей. Воровали все подряд, включая данные о местоположении, кейчейны, и прочее. Сайты…
полезная штука, если вдруг психанете 🙂 - кнопки по удалению учетных записей в различных сервисах
https://backgroundchecks.org/justdeleteme/
https://backgroundchecks.org/justdeleteme/
интересный и познавательный и материал о разработке эксплойтов под iOS
https://azeria-labs.com/heap-exploit-development-part-1/
https://azeria-labs.com/heap-exploit-development-part-1/
Azeria-Labs
Heap Exploit Development
давненько у нас Facebook не светился в новостях
отключение функции распознавания лиц на facebook - теперь по умолчанию ФБ не будет распознавать лица на фото и видео. Если отключить эту функцию, ФБ обещает удалить информацию, которую компания собрала за время использования социальной сети. ХАХА, ТАК Я И ПОВЕРИЛ
https://newsroom.fb.com/news/2019/09/update-face-recognition/
вторая новость не такая хорошая. в интернете обнаружили сервер с 419 млн записей пользователей Facebook и их номеров телефонов. телефоны привязаны к Facebook ID, и там 133 млн пользователей из США, 18 млн пользователей из Великобритании, и почемуто 50 млн пользователей из Вьетнама. К некоторым записям была привязана также дополнительная личная информация. ФБ утверждает, что информация была собрана кем-то до того, как ФБ ограничил доступ разработчикам к информации о номерах телефонов пользователей. (если бы эти нехорошие человеки в ФБ прятали номера телефонов, которые юзеры привязывали для 2ФА, то, может, и проблема была бы меньшего масштаба)
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
отключение функции распознавания лиц на facebook - теперь по умолчанию ФБ не будет распознавать лица на фото и видео. Если отключить эту функцию, ФБ обещает удалить информацию, которую компания собрала за время использования социальной сети. ХАХА, ТАК Я И ПОВЕРИЛ
https://newsroom.fb.com/news/2019/09/update-face-recognition/
вторая новость не такая хорошая. в интернете обнаружили сервер с 419 млн записей пользователей Facebook и их номеров телефонов. телефоны привязаны к Facebook ID, и там 133 млн пользователей из США, 18 млн пользователей из Великобритании, и почемуто 50 млн пользователей из Вьетнама. К некоторым записям была привязана также дополнительная личная информация. ФБ утверждает, что информация была собрана кем-то до того, как ФБ ограничил доступ разработчикам к информации о номерах телефонов пользователей. (если бы эти нехорошие человеки в ФБ прятали номера телефонов, которые юзеры привязывали для 2ФА, то, может, и проблема была бы меньшего масштаба)
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
Meta
An Update About Face Recognition on Facebook | Meta
Our face recognition setting provides an easy on or off switch.
кстати, о телефонах. "взлом" аккаунта СЕО Твиттера (https://t.me/alexmakus/3026), когда в его аккаунт кто-то натвитил расистских сообщений, произошел через систему публикации твитов через SMS. Поэтому Твиттер наконец-то отреагировал и пока что просто выключил возможность твитов через SMS (похоже, что этим таки кто-то пользуется, кроме хакеров, раз они не вырубят этот сервис вообще)
https://twitter.com/TwitterSupport/status/1169334341064769536
https://twitter.com/TwitterSupport/status/1169334341064769536
Telegram
Информация опасносте
Когда забил на реализацию нормальной 2ФА в Твиттере и обосрался (аккаунт СЕО Твиттера взломали)
Апд. Похоже, что вопрос не в 2ФА, а в сервисе публикации твитов через СМС и спуффинге номера. Но это только подчеркивает уровень лажи и «безопасности»
Апд. Похоже, что вопрос не в 2ФА, а в сервисе публикации твитов через СМС и спуффинге номера. Но это только подчеркивает уровень лажи и «безопасности»
ну приехали. zero-days для iOS уже не самые дорогие, теперь самые дорогие — для Android. при джобсе такого не было! до чего довел планету этот фигляр ПэЖэ!
https://zerodium.com/program.html#changelog
https://zerodium.com/program.html#changelog
Zerodium
ZERODIUM - How to Sell Your Zero-Day (0day) Exploit to ZERODIUM
ZERODIUM is the leading exploit acquisition platform for premium zero-days and advanced cybersecurity research. Our platform allows security researchers to sell their 0day (zero-day) exploits for the highest rewards.
очень странная история про то, как к Apple и Google пришло министерство правды (зачеркнуто) юстиции и потребовало данные на пользователей определенного приложения. Приложение Obsidian позволяет управлять и настраивать оптические прицелы компании ATNC. Якобы ведется расследование о незаконном экспорте прицелов, и следователи хотят получить информацию о том, где и как использовалось приложение. но странно, что они пришли к магазинам, а не к разработчикам приложения. Видимо, вычислять индивидуумов хотят в том числе и по информации о покупке приложения. Пока непонятно, что будут делать компании, но предыдущие подобные запросы в Apple заканчивались отказом о передаче данных (в основном потому, что такие групповые запросы, без таргетинга конкретного лица, в целом не приветствуются, и считаются нарушением личной жизни. ХАХА, то-то NSA слушала всех американцев подряд в поисках террористов)
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/
Forbes
Exclusive: Feds Demand Apple And Google Hand Over Names Of 10,000+ Users Of A Gun Scope App
Apple and Google have been ordered by the U. S. government to hand over names, phone numbers and IP addresses of thousands of gun scope owners. It's an unprecedented move by the U.S. government in asking Silicon Valley to support a weapons export investigation.
Кажется, у Эпол немножко бомбануло от отчета Гугл о сайтах, направленных на взлом айфонов. В целом яблочная аргументация, кстати, вполне здравая, но попкорн пригодится
И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.
https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.
https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
Apple Newsroom
A message about iOS security
iOS security is unmatched because we take end-to-end responsibility for the security of our hardware and software.