Google Project Zero нашли zero day уязвимость в android, которая затрагивает смартфоны Pixel, Galaxy, Huawei. Уязвимость позволяет получить полный контроль над устройством, и фикс потребовался срочный, потому что есть уже инструменты для эксплуатации этой уязвимости. Достаточно установить вредоносное приложение или же зайти на вебсайт, который может объединить эту уязвимость с другой. Апдейт для Pixel-устройств выйдет в октябре, остальные партнеры проинформированы, и за апдейтами нужно ходить к ним.
полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/
полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/
ZDNet
Google finds Android zero-day impacting Pixel, Samsung, Huawei, Xiaomi devices
Vulnerability was patched in older Android OS versions, but resurfaced in newer releases.
ZenDesk подтвердили взлом и утечку данных, которая произошла в 2016 году (они только узнали о ней). При взломе произошел доступ к небольшому количеству пользовательских аккаунтов
https://www.zendesk.com/blog/security-update-2019/
https://www.zendesk.com/blog/security-update-2019/
Zendesk
Updated Notice Regarding 2016 Security Incident - Zendesk
Hi everyone, We recently completed our review into the security incident we announced in October, and wanted to share some additional information with you. As an initial matter, we note that we did not discover any affected customer information other than…
продолжая тему утечки данных клиентов Сбербанка (https://t.me/alexmakus/3080). Банк опубликовал информацию о том, что "разобрались как следует, наказали кого попало": мол, нашли виновного «28-летний сотрудник попытался осуществить хищение клиентской информации в корыстных целях», и что "утечка коснулась только 200 клиентов.".
https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303®ionID=77&lang=ru&type=NEWS
а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299
сами решайте, кому верить. думаю, можно запастись попкорном.
https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303®ionID=77&lang=ru&type=NEWS
а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299
сами решайте, кому верить. думаю, можно запастись попкорном.
Telegram
Информация опасносте
Примерно 100500 человек написали мне, что про утечки из игрушки не так интересно, как про утечку из Сбербанка. И они правы, безусловно
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:…
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:…
тем временем, об утечке данных клиентов рассказала компания Билайн. Речь идет о базе данных клиентов проводного интернета, 8 миллионов записей. Якобы информация устарела — речь идет о базе 2017 года. Хотя непонятно, как именно она устарела — личные телефоны, контракты, фамилии, домашние и рабочие адреса — для многих пользователей сохранились (особенно имена и фамилии). Ссылки на саму базу давать не буду, найти её не сложно.
Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html
Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html
РИА Новости
В "Билайне" прокомментировали сообщения об утечке данных клиентов
Сообщения об утечке персональных данных клиентов "Билайна" являются вбросом. Об этом каналу "360" заявила пресс-секретарь компании Анна Айбышева. РИА Новости, 04.10.2019
пока в России компании опровергают, подтверждают и борются с последствиями утечек пользовательских данных, в Омерице своя напасть. Генеральный прокурор продолжает настаивать, что сквозное шифрование не нужно. В этот раз в форме призыва к Фейсбук о том, что не надо вообще ничего там внедрять в плане E2E шифрования между приложениями Facebook/Instagram/Whatsapp. И что вообще бэкдоры всякие важны, бэкдоры всякие нужны.
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption
BuzzFeed News
Attorney General Bill Barr Will Ask Zuckerberg To Halt Plans For End-To-End Encryption Across Facebook's Apps
"We are writing to request that Facebook does not proceed with its plan to implement end-to-end encryption across its messaging services without ensuring that there is no reduction to user safety."
интересные результаты исследования аудитории от поисковика DuckDuckGo. Интересная статистика: среди изученной аудитории пользователей интернета в США почти 80% подкрутили настройки приватности в социальных медиа или снизили уровень их использования. Почти четверть удалила или деактивировала свои учетные записи в социальных медиа. Кажется, люди начинают что-то понимать.
https://spreadprivacy.com/people-taking-action-on-privacy/
https://spreadprivacy.com/people-taking-action-on-privacy/
Spread Privacy
New DuckDuckGo Research Shows People Taking Action on Privacy
The results of our latest research are clear: not only are privacy concerns widespread, but people are taking real actions to protect their privacy online.
утечка данных «сети проституток Голландии». Я только не понял, то ли это социальная сеть у них такая специальная была,то ли просто регистрационная информация. 250 тыс человек — неплохо там у них на 17 млн человек
https://twitter.com/FlayersMind/status/1182181027051196417
https://twitter.com/FlayersMind/status/1182181027051196417
Twitter
The Mind Flayers
Data breach of the Dutch prostitute network https://t.co/tipjXOI1jp (yes really), resulting in a leak of IP, email addresses and encrypted passwords of 250.000 prostitutes and johns. Breach by leak in vBulletin allowing remote code execution. #infosec #databreach
никогда такого не было, и вот опять. Твиттер признался, что использовал для таргетинга рекламой номера телефонов, которые пользователи добавляли в профиль для двухфакторной аутентификации.
https://help.twitter.com/en/information-and-ads
https://help.twitter.com/en/information-and-ads
Twitter
Personal information and ads on X
Привет! Сорян, немного было не до обновлений, хотя новости на месте не стоят. например, уязвимость в sudo в Linux, позволяющая выполнять команды под root, даже если конфигурация запрещает доступ root
https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html
Sudo
Potential bypass of Runas user restrictions
When sudo is configured to allow a user to run commands as an arbitrary user via the ALL keyword in a Runas specification, it is possible to run commands as root by specifying the user ID -1 or 4294967295.
This can be used by a user with sufficient sudo privileges…
This can be used by a user with sufficient sudo privileges…
уязвимость в компоненте по сбору аналитики на компьютерах HP, с эскалацией прав
https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333
https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333
вредоносное ПО для macOS, маскирующееся под Adobe Flash. Мне кажется, даже если это настоящий Adobe Flash, от него надо бежать как можно дальше
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887
Medium
OSX/Shlayer new Shurprise.. unveiling OSX/Tarmac
Mac Spyware Shlayer is now dropping an entirely new malware we called OSX/Tarmac.
А в Китае вообще круто. The Washington Post пишет о том, что если поставить приложение Коммунистической Партии Китая на телефон с Android, оно получает права суперпользователя и доступ ко всем пользовательским данным на телефоне. Изначально в статье также шла речь об устройствах на iOS, но потом исправили
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html
своего рода хорошие новости из мира информационных опасностей и безопасностей. В даркнете закрыли сайт, распространявший изображения с детской порнографией и сценами насилия над детьми. 8 ТБ данных, 337 человек арестовано, как минимум 23 ребенка вызволено. Информация она разная бывает
https://www.justice.gov/opa/pr/south-korean-national-and-hundreds-others-charged-worldwide-takedown-largest-darknet-child
https://www.justice.gov/opa/pr/south-korean-national-and-hundreds-others-charged-worldwide-takedown-largest-darknet-child
www.justice.gov
South Korean National and Hundreds of Others Charged Worldwide in the Takedown of the Largest Darknet Child Pornography Website…
Jong Woo Son, 23, a South Korean national, was indicted by a federal grand jury in the District of Columbia for his operation of Welcome To Video, the largest child sexual exploitation market by volume of content. The nine-count indictment was unsealed today…
История про Samsung и сканер отпечатка пальца в Galaxy S10, который можно обмануть, просто наклеив защитную пленку на экран, настолько невероятная, что я пока что не могу в это поверить. Но, судя по тому, что Samsung пообещал выпустить софтверный(!) апдейт для этого, это таки правда. Ультразвук, 3Д контуры, вот это все. Революционная технология!
https://www.bbc.com/news/technology-50080586
https://www.bbc.com/news/technology-50080586
BBC News
Samsung: Anyone's thumbprint can unlock Galaxy S10 phone
Firm promises fix after couple discover any fingerprint can unlock the device when put in case.
кстати про смартфоны и их разблокировку. Google на прошлой неделе анонсировала Pixel 4 с новой системой разблокировки экрана сканированием лица, только вот оказалось, что телефон разблокируется, даже если у пользователя закрыты глаза. Теперь же Гугл заявила, что эту фичу добавят софтверно в ближайшие несколько месяцев
We’ve been working on an option for users to require their eyes to be open to unlock the phone, which will be delivered in a software update in the coming months. In the meantime, if any Pixel 4 users are concerned that someone may take their phone and try to unlock it while their eyes are closed, they can activate a security feature that requires a pin, pattern or password for the next unlock. Pixel 4 face unlock meets the security requirements as a strong biometric, and can be used for payments and app authentication, including banking apps. It is resilient against invalid unlock attempts via other means, like with masks.
We’ve been working on an option for users to require their eyes to be open to unlock the phone, which will be delivered in a software update in the coming months. In the meantime, if any Pixel 4 users are concerned that someone may take their phone and try to unlock it while their eyes are closed, they can activate a security feature that requires a pin, pattern or password for the next unlock. Pixel 4 face unlock meets the security requirements as a strong biometric, and can be used for payments and app authentication, including banking apps. It is resilient against invalid unlock attempts via other means, like with masks.
Google
Choose when your Android phone can stay unlocked - Android Help
You can keep your phone unlocked in some situations, like when your phone is in your pocket or you're near home. When you use Extend Unlock (formerly Smart Lock), you only need to unlock once with you
как только читаю "умное устройство", сразу думаю "уже взломали и еще нет"? Стоило Ватикану выпустить "умные четки" ($110 долларов!), как сразу же в приложении, к ним прилагающемуся, обнаружили уязвимость, позволяющую получить доступ к данным о зарегистрированном пользователе. Напоминания о молитвах и сами молитвы, приходящие на смартфон в приложение от Папы Римского — это, конечно, хорошо, и наверняка улучшает перспективы на безопасную загробную жизнь. но надо бы и про обычную безопасную жизнь сейчас думать. А если при регистрации отправлять открытым текстом PIN-код для регистрации, то это не очень хорошая практика.
https://www.cnet.com/g00/news/vaticans-wearable-rosary-gets-fix-for-app-flaw-allowing-easy-hacks/
https://twitter.com/fs0c131y
https://www.cnet.com/g00/news/vaticans-wearable-rosary-gets-fix-for-app-flaw-allowing-easy-hacks/
https://twitter.com/fs0c131y
(осторожно с УРЛом, NSFW!) Но сложно пройти мимо новости, в которой рассказывается, что сайт любителей животных (и совсем не в том смысле, в котором вы могли подумать) взломали, а данные пользователей, включая адреса электронной почты, утекли наружу. С учетом того, что подобные предпочтения являются вне закона во многих странах, утечка может принести вполне ощутимые неприятности зарегистрировавшимся там пользователям
https://www.zooville.org/threads/security-incident-and-site-rebuild-september-2019.9/
https://www.zooville.org/threads/security-incident-and-site-rebuild-september-2019.9/