Про доступ к буферу обмена в iOS14
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение пытается вставить содержимое этого буфера. Тут же, конечно, понеслось о том, что все приложения пытаются украсть ваши данные, хотя реальность на самом деле не так ужасна.
Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Надо понимать, что не все приложения делают это с вредоносной целью, хотя, безусловно, есть приложения с рекламными СДК, которые могли попытаться тырить содержимое контента. Вот есть исследование на эту тему — Precise Location Information Leaking Through System Pasteboard | Mysk, и, думаю, именно оно стало толчком для этих изменений) Например, приложение Chrome проверяет содержимое клипборда, чтобы понять, присутствует ли там УРЛ, для того, чтобы при вставке в поле адреса предложить команду Paste and Go. Сторонний клиент для Reddit — Apollo — пытается обнаружить в буфере ссылку на пост на Reddit, чтобы сразу открыть его в приложении. Текстовые редакторы иногда пытаются просто вставить текст из клипборда в пустой документ для упрощения жизни пользователям. Но суть в том, что раньше на iOS проверить тип контента в буфере можно было, только попробовав вставить его — то есть чтобы Chrome понял, что в клипборде URL, его надо было попробовать в бекграунде вставить.
В iOS 14 появился новый API для разработчиков (UPasteboard.DetectionPattern), который позволяет разработчикам узнать тип содержимого в клипборде без его вставки в приложение. Когда разработчики в iOS 14 начнут использовать этот СДК, они смогут, используя эти СДК, проверять тип контента, не вставляя его. Таким образом честные приложения не будут триггерить подобные алерты, а нечестные спалятся. Думаю, потенциальным улучшением (и одновременно ухудшением) user experience будет очередной диалог-подтверждение из серии «разрешить приложению доступ к буферу обмена».
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение пытается вставить содержимое этого буфера. Тут же, конечно, понеслось о том, что все приложения пытаются украсть ваши данные, хотя реальность на самом деле не так ужасна.
Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Надо понимать, что не все приложения делают это с вредоносной целью, хотя, безусловно, есть приложения с рекламными СДК, которые могли попытаться тырить содержимое контента. Вот есть исследование на эту тему — Precise Location Information Leaking Through System Pasteboard | Mysk, и, думаю, именно оно стало толчком для этих изменений) Например, приложение Chrome проверяет содержимое клипборда, чтобы понять, присутствует ли там УРЛ, для того, чтобы при вставке в поле адреса предложить команду Paste and Go. Сторонний клиент для Reddit — Apollo — пытается обнаружить в буфере ссылку на пост на Reddit, чтобы сразу открыть его в приложении. Текстовые редакторы иногда пытаются просто вставить текст из клипборда в пустой документ для упрощения жизни пользователям. Но суть в том, что раньше на iOS проверить тип контента в буфере можно было, только попробовав вставить его — то есть чтобы Chrome понял, что в клипборде URL, его надо было попробовать в бекграунде вставить.
В iOS 14 появился новый API для разработчиков (UPasteboard.DetectionPattern), который позволяет разработчикам узнать тип содержимого в клипборде без его вставки в приложение. Когда разработчики в iOS 14 начнут использовать этот СДК, они смогут, используя эти СДК, проверять тип контента, не вставляя его. Таким образом честные приложения не будут триггерить подобные алерты, а нечестные спалятся. Думаю, потенциальным улучшением (и одновременно ухудшением) user experience будет очередной диалог-подтверждение из серии «разрешить приложению доступ к буферу обмена».
Mysk
Precise Location Information Leaking Through System Pasteboard, Mysk
By Talal Haj Bakry and Tommy Mysk UPDATE (JUNE 22, 2020): Apple addressed this vulnerability in iOS 14 and iPadOS 14 by showing a notification every...
По следам вчерашней истории про нотификации о доступе к клипборду написал пост про остальные улучшения в защите данных пользователей в системах Apple
https://alexmak.net/2020/06/26/wwdc20-privacy/
https://alexmak.net/2020/06/26/wwdc20-privacy/
alexmak.net
WWDC20 и изменения в защите данных пользователей
Конференция WWDC — это время не только анонсов новых версий операционных систем, но и (иногда) — смены процессорных архитектур, которых за историю Apple уже наберется приличное количество. Про пере…
Также РАБОТА!
#вакансия #удаленно #частичная #InfoSec #DevSecOps #нетология #преподавание
Нетология ищет специалистов по информационной безопасности с опытом работы от 2-х лет для преподавания на курсах. Направления разные: от освещения законодательной базы до тестирования на проникновение и внедрения DevSecOps.
Основные задачи:
📌Проводить лекции и открытые занятия для студентов, быть для них тренером, помогать делать домашние задания и дипломные проекты;
📌Участвовать в создании новых образовательных программ.
Требования:
⚙️ Опыт работы в сфере информационной безопасности от 2-х лет;
Будет отлично, если у вас есть понимание:
⚙️ Модели DevSecOps.
⚙️ Технологий DLP, IDS, SIEM;
⚙️ Законодательства в области защиты информации;
⚙️ Методов криптографической и не криптографической защиты информации;
⚙️ Работы linux-систем;
⚙️ Знание языков программирования, например C.
Что мы предлагаем:
🛠 Участие в подготовке кадров для IT-отрасли, и как результат — развитии экономики;
💻 Удаленную работу, которую можно совмещать с основной — объем и занятость обсуждаем индивидуально;
💎 Личный PR как эксперта;
📢 Возможность прокачать спикерские навыки и быть частью сообщества экспертов одной из лучших IT-компаний СНГ;
💰 З/П — в зависимости от объема занятости — до 100 тыс. руб.
Наши специалисты рассказывают о том, как преподавание повлияло на их жизнь и карьеру ➡️//habr.com/ru/company/netologyru/blog/423023/
Узнать подробнее о вакансии и отправить резюме: a.ogarkowa@netology.ru или в Telegram @rsklyarov
#вакансия #удаленно #частичная #InfoSec #DevSecOps #нетология #преподавание
Нетология ищет специалистов по информационной безопасности с опытом работы от 2-х лет для преподавания на курсах. Направления разные: от освещения законодательной базы до тестирования на проникновение и внедрения DevSecOps.
Основные задачи:
📌Проводить лекции и открытые занятия для студентов, быть для них тренером, помогать делать домашние задания и дипломные проекты;
📌Участвовать в создании новых образовательных программ.
Требования:
⚙️ Опыт работы в сфере информационной безопасности от 2-х лет;
Будет отлично, если у вас есть понимание:
⚙️ Модели DevSecOps.
⚙️ Технологий DLP, IDS, SIEM;
⚙️ Законодательства в области защиты информации;
⚙️ Методов криптографической и не криптографической защиты информации;
⚙️ Работы linux-систем;
⚙️ Знание языков программирования, например C.
Что мы предлагаем:
🛠 Участие в подготовке кадров для IT-отрасли, и как результат — развитии экономики;
💻 Удаленную работу, которую можно совмещать с основной — объем и занятость обсуждаем индивидуально;
💎 Личный PR как эксперта;
📢 Возможность прокачать спикерские навыки и быть частью сообщества экспертов одной из лучших IT-компаний СНГ;
💰 З/П — в зависимости от объема занятости — до 100 тыс. руб.
Наши специалисты рассказывают о том, как преподавание повлияло на их жизнь и карьеру ➡️//habr.com/ru/company/netologyru/blog/423023/
Узнать подробнее о вакансии и отправить резюме: a.ogarkowa@netology.ru или в Telegram @rsklyarov
Хабр
Зачем разработчикам преподавание
Разработчики становятся преподавателями, чтобы профессионально расти, сделать имя или усилить портфолио и попасть в международную компанию. Лекторы «Нетологии» д...
Тем временем в Индии в рамках последнего конфликта с Китаем запретили 59 популярных китайских приложений, включая ТикТок, как таковые, которые наносят ущерб безопасности государства и порядку в стране
https://twitter.com/shivaroor/status/1277619905269989378?s=21
https://twitter.com/shivaroor/status/1277619905269989378?s=21
Twitter
Shiv Aroor
BIG BREAKING: Indian Govt bans 59 Chinese apps, including Tik-Tok. Full list:
Кстати, про ТикТок. Я пару дней назад уже писал про мониторинг буфера обмена Тиктоком на iPhone
https://t.me/alexmakus/3527
Потом кто-то заглянул в недра ТикТок и решил, что приложение ворует с телефона практически все, до чего может дотянуться, хотя в реального это больше похоже на обычную мобильную аналитику. Вот тред с анализом
https://twitter.com/wbm312/status/1277646613054320640
Гораздо хуже, что ТикТок декларирует себя открывателем кучи кастмных URL scheme чужих приложений
https://twitter.com/ivRodriguezCA/status/1276933228993994752
Короче, очень стремное это приложение, по возможности избегайте его
https://t.me/alexmakus/3527
Потом кто-то заглянул в недра ТикТок и решил, что приложение ворует с телефона практически все, до чего может дотянуться, хотя в реального это больше похоже на обычную мобильную аналитику. Вот тред с анализом
https://twitter.com/wbm312/status/1277646613054320640
Гораздо хуже, что ТикТок декларирует себя открывателем кучи кастмных URL scheme чужих приложений
https://twitter.com/ivRodriguezCA/status/1276933228993994752
Короче, очень стремное это приложение, по возможности избегайте его
Telegram
Информация опасносте
Про доступ к буферу обмена в iOS14
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение…
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение…
This media is not supported in your browser
VIEW IN TELEGRAM
Не могу не добавить в тред видео по поводу индийского правительства, которое забанило китайские приложения
Аттенсьон, Мак-юзеры! Тут пишут про новое вредоносное ПО для ваших компьютеров! Называется OSX.EvilQuest, шифрует файлы, а также устанавливает кейлоггер, дает удаленный доступ и пытается украсть криптокошельки. То есть если даже заплатить выкуп за расшифровку файлов, то злоумышленники все равно могут продолжить воровать файлы с компьютеров. Распространяется OSX.EvilQuest через ворованное ПО на торрентах и онлайн-форумах
https://objective-see.com/blog/blog_0x59.html
https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/
https://objective-see.com/blog/blog_0x59.html
https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/
objective-see.org
OSX.EvilQuest Uncovered
part i: infection, persistence, and more!
Окей, тут алярма для админов, у которых есть устройства Palo Alto Networks. Даже правительство США призывает срочно ставить апдейты, исправляющие критические уязвимости в сетевом оборудовании компании
https://twitter.com/CNMF_CyberAlert/status/1277674547542659074
https://security.paloaltonetworks.com/CVE-2020-2021
https://twitter.com/CNMF_CyberAlert/status/1277674547542659074
https://security.paloaltonetworks.com/CVE-2020-2021
Twitter
USCYBERCOM Cybersecurity Alert
Please patch all devices affected by CVE-2020-2021 immediately, especially if SAML is in use. Foreign APTs will likely attempt exploit soon. We appreciate @PaloAltoNtwks’ proactive response to this vulnerability. https://t.co/WwJdil5X0F
прелестнейшая история о том, как полиция получила доступ к системе Encrochat — шифрованному чату, который активно использовали преступники в своих делах, включая операции с наркотиками, оружием, и даже убийствами
цитата из статьи
"People are fucked," one of the sources who provided the documents to Motherboard said. "People talk about murder, buying kilos, buying guns [...] millions of pills" on the phones, referring to large-scale drug dealing and other crimes.
https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked
цитата из статьи
"People are fucked," one of the sources who provided the documents to Motherboard said. "People talk about murder, buying kilos, buying guns [...] millions of pills" on the phones, referring to large-scale drug dealing and other crimes.
https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked
Vice
How Police Secretly Took Over a Global Phone Network for Organized Crime
Police monitored a hundred million encrypted messages sent through Encrochat, a network used by career criminals to discuss drug deals, murders, and extortion plots.
Китай ввел на территории Гонконга новый закон о национальной безопасности, который должен помочь бороться с протестующими на улицах города. Facebook, Microsoft, Google и Twitter заявили вчера, что приостанавливают доступ правоохранительных органов Гонконга к пользовательским данным и к другой информации в сетях компаний.
https://www.theregister.com/2020/07/07/social_media_giants_make_move/
более смешно то, что даже TikTok заявил, что “покинет Гонконг”, что, конечно, забавно, учитывая как ТТ считается инструментом слежки китайского правительства.
https://www.axios.com/tiktok-to-pull-out-of-hong-kong-e253eb02-69e9-4abb-a5c2-28ffa196a9a0.html
В Штатах его вот даже собираются запретить
https://www.foxnews.com/media/mike-pompeo-tik-tok-china-communist-social-media-spying-fox-ingraham
https://www.theregister.com/2020/07/07/social_media_giants_make_move/
более смешно то, что даже TikTok заявил, что “покинет Гонконг”, что, конечно, забавно, учитывая как ТТ считается инструментом слежки китайского правительства.
https://www.axios.com/tiktok-to-pull-out-of-hong-kong-e253eb02-69e9-4abb-a5c2-28ffa196a9a0.html
В Штатах его вот даже собираются запретить
https://www.foxnews.com/media/mike-pompeo-tik-tok-china-communist-social-media-spying-fox-ingraham
The Register
Social media giants move to defy Hong Kong's new national security law
Plus: US govt says it's 'looking at' banning Chinese social media apps, including TikTok
о нет, никогда такого не было и вот опять
https://www.zdnet.com/article/us-secret-service-reports-an-increase-in-hacked-managed-service-providers-msps/
https://www.zdnet.com/article/us-secret-service-reports-an-increase-in-hacked-managed-service-providers-msps/
ZDNet
US Secret Service reports an increase in hacked managed service providers (MSPs)
US Secret Service says hackers are breaching MSPs to orchestrate ransomware attacks, point-of-sale intrusions, and business email compromise (BEC) scams.
=========РЕКЛАМА=======
🎁 Природа этого канала такова, что тут часто появляются новости на английском языке - IT IS WHAT IT IS! Чтобы упростить вам жизнь, сервис для самостоятельного обучения Puzzle English (@puzzleng) сделал классный подарок для всех желающих наконец-то выучить английский – бесплатный доступ к Играм, которые помогут вам в изучении языка.
📱 Помимо этого Puzzle English предлагает огромное количество интересного контента для изучения английского! Слушайте песни Билли Айлиш, Imagine Dragons или Queen, смотрите отрывки из «Ведьмака» или «Титаника», знакомьтесь с трендовыми американскими и британскими подкастами, читайте любимые книги или просто играйте на телефоне и УЧИТЕ АНГЛИЙСКИЙ
🎈Все новые пользователи получают целую неделю бесплатного изучения английского. А если вам понравится и вы решите всерьез подтянуть английский, то вот скидка 50% на первый месяц Премиум-доступа по промокоду alex
https://u.to/4nv9GA
=========РЕКЛАМА=======
🎁 Природа этого канала такова, что тут часто появляются новости на английском языке - IT IS WHAT IT IS! Чтобы упростить вам жизнь, сервис для самостоятельного обучения Puzzle English (@puzzleng) сделал классный подарок для всех желающих наконец-то выучить английский – бесплатный доступ к Играм, которые помогут вам в изучении языка.
📱 Помимо этого Puzzle English предлагает огромное количество интересного контента для изучения английского! Слушайте песни Билли Айлиш, Imagine Dragons или Queen, смотрите отрывки из «Ведьмака» или «Титаника», знакомьтесь с трендовыми американскими и британскими подкастами, читайте любимые книги или просто играйте на телефоне и УЧИТЕ АНГЛИЙСКИЙ
🎈Все новые пользователи получают целую неделю бесплатного изучения английского. А если вам понравится и вы решите всерьез подтянуть английский, то вот скидка 50% на первый месяц Премиум-доступа по промокоду alex
https://u.to/4nv9GA
=========РЕКЛАМА=======
У меня,в общем-то, уже нет слов
https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
https://meduza.io/feature/2020/07/09/vlasti-fakticheski-vylozhili-v-otkrytyy-dostup-personalnye-dannye-vseh-internet-izbirateley
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
В январе я писал о программе распространения бесплатных телефонов среди населения США, и что в этих телефонах было обнаружено предустановленное шпионское ПО
https://t.me/alexmakus/3228
так вот, это случилось опять, конечно же - другая модель, другое вредоносное ПО. Во время исследования ничего не делало, но мало ли.
https://blog.malwarebytes.com/android/2020/07/we-found-yet-another-phone-with-pre-installed-malware-via-the-lifeline-assistance-program/
за ссылку спасибо читателю!
https://t.me/alexmakus/3228
так вот, это случилось опять, конечно же - другая модель, другое вредоносное ПО. Во время исследования ничего не делало, но мало ли.
https://blog.malwarebytes.com/android/2020/07/we-found-yet-another-phone-with-pre-installed-malware-via-the-lifeline-assistance-program/
за ссылку спасибо читателю!
Telegram
Информация опасносте
В Штатах есть программа, в рамках которой правительство спонсирует распространение среди бедного населения бесплатных смартфонов с набором минут для разговоров и данными для интернета. (Интерес оператора, который это делает — в том, что впоследствии получатели…
Google Project Zero как всегда радует отличным исследованием — там в этот раз рассказывают, как они нашли уязвимость в iOS, которую использовал джейлбрейк unc0ver. Код джейбрейка был существенно обфусцирован, но это не помешало исследователям в нем разобраться и проинформировать Apple о самой уязвимости в течение одного дня
https://googleprojectzero.blogspot.com/2020/07/how-to-unc0ver-0-day-in-4-hours-or-less.html
https://googleprojectzero.blogspot.com/2020/07/how-to-unc0ver-0-day-in-4-hours-or-less.html
Blogspot
How to unc0ver a 0-day in 4 hours or less
By Brandon Azad, Project Zero At 3 PM PDT on May 23, 2020, the unc0ver jailbreak was released for iOS 13.5 (the latest signed version a...
The New York Times и Reuters выяснили, что сотрудников Amazon обязали удалить TikTok со смартфонов, имеющих доступ к корпоративной почте. При этом, им не запретили пользоваться веб-версией приложения
https://tjournal.ru/news/186711-smi-sotrudnikov-amazon-obyazali-udalit-tiktok-so-smartfonov-imeyushchih-dostup-k-korporativnoy-pochte
Только вот Амазон уже откатил назад, сказав, что письмо было ошибкой
https://tjournal.ru/news/186711-smi-sotrudnikov-amazon-obyazali-udalit-tiktok-so-smartfonov-imeyushchih-dostup-k-korporativnoy-pochte
Только вот Амазон уже откатил назад, сказав, что письмо было ошибкой
TJ
СМИ: сотрудников Amazon обязали удалить TikTok со смартфонов, имеющих доступ к корпоративной почте — Новости на TJ
Запрет не распространяется на веб-версию приложения.