Ссылка, которую мне прислали сразу несколько читателей канала – об "умном" сейфе для пистолетов, который, как оказалось, легко взломать (и, соответственно, открыть и получить доступ к хранящемуся там пистолету). Во-первых, сейф позволял неограниченное количество попыток ввода ПИН-кода при спаривании Bluetooth-устройств, во-вторых, код спаривания и код доступа к сейфу были идентичными, а в третьих, несмотря на заявления производителя об использовании шифрования AES-128, код от Android-приложения уходил в виде простого текста.
https://www.bleepingcomputer.com/news/security/but-of-course-this-bluetooth-enabled-gun-safe-got-hacked-are-you-surprised/

Никогда такого не было, и вот опять (эту фразу, кажется, пора сделать слоганом канала). Производитель, конечно, исправил эти уязвимости и выпустил обновление прошивки для сейфа, но, подозреваю, при наличии желания и времени там наверняка можно найти что-нибудь еще. А вообще я склоняюсь к тому, что все эти "умные" устройства нужно на самом деле называть "глупыми" устройствами, и не путать с dumb-телефонами, которые были до смартфонов.

Почему не стоит покупать какие попало кабели для зарядки iPhone и других смартфонов? Потому что в них может быть встроен микрофон и GPS-трекер (и разъем для SIM-карты)

Я хотел ещё на прошлой неделе написать об этом, но не счёл это заслуживающим записи в телеграмме, но обстоятельства немного изменились. Собственно, речь о некой базе пользовательских записей на 1,4 млрд штук, размером в 41ГБ. В СМИ начали об этом писать и поэтому стоит отметить следующее: по мнению экспертов, эта база состоит из сборной солянки ранее замеченных сливов, включая реальные и фейковые, так что особого интереса она не представляет. Что, конечно, не отменяет факта, что свои данные надо беречь смолоду

интересная штука - Google опубликовала информацию об уязвимости в iOS (которая присутствует в версии 11.1.2) и может быть использована для создания джейлбрейка под этой версией операционной системы. Уязвимость была исправлена в 11.2, хотя в наше-то время мне сложно представить себе, зачем людям может понадобиться джейлбрейк. Забавно, что поскольку уязвимость в ядре, то она присутствовала и в macOS, но в версии 10.13.1 уже была исправлена
https://thehackernews.com/2017/12/ios11-jailbreak-exploit.html

Чтобы не было путаницы, это не наши с @kashinguru иски. Это штраф за конкретный отказ предоставить ключи шифрования к переписке обвиняемых в теракте в метро Санкт-Петербурга.

Очень напоминает историю "Apple против ФБР", когда последнее требовало доступ к заблокированному телефону стрелка из Сан Бернардино. Apple тогда отказало, мотивируя тем, что это приведет к появлению в руках спецслужбы (откуда он может попасть в руки кого угодно) бэкдора, позволяющего вскрыть не только этот, но и вообще любой другой телефон Apple.
Почти то же самое и здесь, но есть и нюанс: предоставить такой доступ технически невозможно: шифрование переписки происходит на конечных устройствах. Тут, в общем, и универсальный бэкдор не особенно поможет.
Очевидно, что суд не понимает, или не хочет понимать, как устроен и работает Telegram, сегодняшнее решение - еще один шаг к блокировке этого сервиса в России.

Я подавал иск к ФСБ, считая его требования к Telegram незаконными, мне в иске с порога отказали (где-то между Королевской Почтой Великобритании и Почтой России ползет аналогичный от @kashinguru), я обжаловал отказ в Мосгорсуде, рассмотрение жалобы (оно обязательно будет) пока не назначено.

Ин Совиет Раша олл интернет-траффик гоус сру Раша!

Если у вас есть роутеры Airport, там для них вышли обновления прошивки, в которых исправляются известные уязвимости KRACK и Broadpwn. Вот релиз нота для роутеров с 802.11n https://support.apple.com/en-us/HT208258, а это релиз нота для роутеров с 802.11ac https://support.apple.com/en-us/HT208354

Несколько дней назад я писал про уязвимость в яблочном HomeKit (https://t.me/alexmakus/1513). Сегодня вышли апдейты для iOS и tvOS (11.2.1), исправляющие эту уязвимость.

Евгений Плющев пишет про отмену сетевого нейтралитета в США, за что сегодня проголосовали пидо... в смысле чиновники Федеральной комиссии по связи США. Нетфликсу с его кошельком это, конечно, не грозит, а вот более мелким компаниям и стартапам может быть хуже, если эта отмена таки вступит в действие (как правильно пишет Саша, судебная система может заблокировать это решение)
https://t.me/PlushevChannel/1668

Помните ботнет Mirai, который состоял из десятков тысяч домашних гаджетов (в основном камер наблюдения) и в сентябре 2016 года положил половину интернета? Короче, создатели этого ботнета признали свою вину и теперь им светит до 5 лет в тюрьме и штраф до 250 тыс долл
https://krebsonsecurity.com/2017/12/mirai-iot-botnet-co-authors-plead-guilty/

админам, у которых есть файрволлы Palo Alto. Там нашли уязвимость с исполнением кода, апдейты уже доступны от производителя
http://seclists.org/fulldisclosure/2017/Dec/38

там, кстати, еще и в Офисе нашли какую-то аццкую уязвимость, и Microsoft уже выпустила апдейты. Правда, апдейты уязвимость не исправляют, а отключают технологию в Офисе, которая позволяет эту дыру эксплуатировать (Dynamic Update Exchange, DDE). Тот факт, что они выпустили апдейт даже для Office 2007, который давно не поддерживается, говорит о серьезности этой уязвимости. Вы знаете, что делать!
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170021

полезная шпаргалка используемых популярными приложениями и сервисами портов

Как Мозилла наступила на грабли, установив пользователям расширение Firefox без разрешения https://techcrunch.com/2017/12/15/mozillas-mr-robot-promo-backfires-after-it-installs-firefox-extension-without-permission/

Говоря об установках, нельзя не отметить факап у Microsoft, которые ставили на свежую инсталляцию Windows 10 менеджер паролей Keeper, причем ту версию, в которой была уязвимость, позволяющая сайтам воровать пароли из него. Так-то юзерам надо было запустить Keeper и установить плагин в браузер, поэтому нельзя сказать, что прям опасносте-опасносте, но осадок, как говорится, остается. https://bugs.chromium.org/p/project-zero/issues/detail?id=1481&desc=3