новость из серии "информация безопасносте!" (ну, как минимум, хорошая попытка) — с июля 2018 года все сайты, которые не будут использовать HTTPS, браузер Chrome будет отмечать как "небезопасные".
https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

У Vice тут вышла статья о том, как чувак на практике в Apple украл исходный код iBoot и различные внутренние инструменты компании. Изначально предполагалось, что код не утечёт за пределы узкого круга его друзей, но в какой-то момент код всё-таки появился на Гитхабе (я писал об этом тут https://t.me/alexmakus/1752
Публикация на Гитхабе не стала сюрпризом для Apple, потому что компания мониторит сообщества джейлбрейкеров и знала о том, что у некоторых из них есть доступ к коду. Поскольку код из 2016 года и Apple была в курсе ситуации, то особой опасности для конечных пользователей эта утечка не представляет, но история все равно очень неприятная


https://motherboard.vice.com/en_us/article/xw5yd7/how-iphone-iboot-source-code-leaked-on-github

Если вам интересно, что же там в коде iBoot, то при желании легко можно найти его в других репозиториях на том же Гитхабе (первоначальный удалили по требованию Apple)

Никогда бы не подумал, что тут в канале будет Тейлор Свифт, но все же (причём это имеет отношение к информационной безопасности!) - как Тейлор Свифт предотвращает утечку своей музыки до релиза - танцоры в клипе танцуют под ритм, не слыша музыки. Там есть ещё история, как она присылала кому-то человека, у которого в подзамочном кейсе был айпад с одной песней. Получатель послушал песню, и курьер укатил с айпадом. Вот это,я понимаю, подход
https://www.buzzfeed.com/stephenlaconte/heres-how-taylor-swift-prevents-her-backup-dancers-from

Интересно, отобьют ли такие мошенники интерес к ICO? (ещё один стартап провёл ICO и исчез с полученными деньгами) https://thenextweb.com/hardfork/2018/02/12/cryptocurrency-loopx-scam-ico/

Отличная статья на Gizmodo об «умном доме» - журналистка установила для эксперимента дома кучу IoT-устройств, и рассказала о своём опыте. Там и постоянное стучание «домой» у этих устройств, и возможность вычислить различные паттерны поведения пользователя по тому трафику, который передаётся, и нешифрованный контент, из которого тоже можно узнать много интересного о пользователе. Не говоря уже об общем шатании и раздрае между производителями, и проблемами совместимости между разными устройствами. Чего стоит только «умная» кофе-машина, в случае с которой часто проще было пойти и нажать кнопку вручную. Ну и камеры наблюдения, которые радостно отправляли видео голых хозяев в облако производителя (Хозяйка утром шла сделать кофе, а датчик движения в камере активировал запись и автоматическую загрузку видео). Короче, статья очень хорошо резюмирует все то, что на сегодня удерживает меня от покупки «умных» гаджетов домой, хотя я и чувствую себя при этом луддитом.
https://gizmodo.com/the-house-that-spied-on-me-1822429852

АПД Я нашёл частичный перевод статьи тут
https://ain.ua/2018/02/09/smart-home-and-spy
Если найдёте полный перевод - дайте знать, я опубликую ссылку

Список из 4275 сайтов, на которых исполняется JavaScript для майнинга криптовалюты https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Кстати, картинка в тему о сайтах, где происходит криптомайнинг. Половина - это сайты с порнографией

вот тут какая-то, на первый взгляд, чудовищная лажа в macOS, когда любое приложение из песочницы может втихаря снимать скриншоты на Маке. Чем это грозит? Скриншоты можно прогнать через распознавание текста и, например, выяснить какие-то пароли из менеджера паролей, или просто видеть то, что вы читаете на компьютере, узнать личные детали о вас. я, конечно, стараюсь не ставить что попало на Мак, но что-то даже я напрягся
https://krausefx.com/blog/mac-privacy-sandboxed-mac-apps-can-take-screenshots

АПД меня тут попросили разъяснить, в чем тут проблема — мол, "это норма". Это проблема, когда приложения в песочнице могут это делать. А тут, похоже, для приложений в песочнице это забыли прикрыть. в iOS приложения могут делать скриншоты только себя.

И снова здравствуйте! сегодня у нас (впрочем, как и всегда) — день плохих новостей. Начнем с Телеграма, в котором Лаборатория Касперского еще в октябре в клиенте Телеграм для Windows обнаружила уязвимость, позволявшую майнить криптовалюты. Для рассылки вирусов хакеры использовали символ кодировки Unicode – RLO (right-to-left override), который может менять название файла, отображая его зеркально. Об уязвимости разработчики ЛК сообщили в Телеграм, уязвимость была закрыта. Однако, надо отметить, что известны факты эксплуатации этой уязвимости. Детальный отчет по ссылке
https://securelist.com/zero-day-vulnerability-in-telegram/83800/

Сразу две новости про Facebook.
1. Немецкий суд решил, что использование Фейсбуком пользовательских данных незаконно, так как запрос на использование персональных данных сложный, неполный, а пользователи плохо об этом информированы. Ясен-красен, ФБ будет подавать апелляцию на решение
https://www.reuters.com/article/us-germany-facebook/german-court-rules-facebook-use-of-personal-data-illegal-idUSKBN1FW1FI?il=0

2. Вторая новость гораздо более "ближе к телу", так сказать, потому что Германия далеко и вообще буржуи и фашисты. А вот тут появилась информация о том, как ФБ может собирать ваши данные, даже если вы не пользуетесь приложением ФБ.
Несколько лет назад ФБ купил израильскую компанию Onavo, у которой был продукт Onavo Protect, бесплатный VPN-клиент. Onavo известна тем, что собирает аналитику о том, куда и как ходят пользователи через этот VPN, и ранее продавала эти данные "на сторону" интересующимся компаниям.
Теперь в мобильном приложении ФБ на iOS (пока что только в iOS) — заметили, как я хитро тему с в/на ввернул? — появилась кнопка Protect, после чего пользователь перенаправляется на страницу Onavo Protect в App Store с рекомендацией установить VPN-клиент.

Так-то, конечно, прямой угрозы вам вроде бы и нет, но если вас напрягает, что ФБ знает о вас слишком много, то вас напряжет то, что при использовании этого VPN-клиента он будет знать о вас еще больше — сайты, на которые вы ходите, приложения, которыми вы пользуетесь, и тд. Ну и помните, что бесплатные сервисы тоже должны на чем-то зарабатывать, и чаще всего это именно на ваших данных.

Новость тут https://techcrunch.com/2018/02/12/facebook-starts-pushing-its-data-tracking-onavo-vpn-within-its-main-mobile-app/

на русском тут https://meduza.io/feature/2018/02/13/facebook-predlagaet-polzovatelyam-ustanovit-na-telefon-besplatnyy-vpn-luchshe-etogo-ne-delat

Еще ссылку подкинул читатель * :), за что ему спасибо!

"можно подкинуть доку либреоффису, чтобы он сливал контент локальных файлов в инет."
https://github.com/jollheef/libreoffice-remote-arbitrary-file-disclosure

Что может быть лучше, чем почитать за обедом про уязвимость в Skype, которую Microsoft обещает исправить когда-нибудь потом в будущем, "когда мы перепишем все заново"?
Речь идет об этом баге в системе обновлений Skype:
seclists.org/fulldisclosure/2018/Feb/33

Уязвимость, если её эксплуатировать, обеспечивает эскалацию привелегий локального пользователя до уровня system, обеспечивая доступ во все возможные закоулки операционной системы. Грубо говоря, путем подмены нужной DLL (да, забыл сказать, проблема касается только Skype для Windows) можно заставить апдейтер исполнять вредоносный код, а дальше уже "как по маслу". Злоумышленники могут копировать файлы, удалять данные, запускать ransomware, и тд.
Об этой проблеме в Microsoft обнаруживший её разработчик сообщил еще в сентябре прошлого года, но Microsoft говорит, что для исправления требуется существенная ревизия кода, которая, по сути, приведет к новой версии продукта, а не просто к обновлению безопасности. Так что Microsoft уже вроде как пишет новый клиент, но даты его доступности пока нет. А информация о баге есть, и, похоже, эту уязвимость вполне реально эксплуатировать. Берегите там себя!

В Малайзии взломали гигантский экран с Windows
АПД пишут, что экран не взламывали, он просто сам завис на Пейнте, а народ уже нафотошопил разного.

в США во время слушаний в Конгрессе шесть руководителей разведывательных органов (включая ЦРУ, АНБ, ФБР) рекомендовали американцам не использовать смартфоны китайского производителя Huawei. Мол, Хуавей страшно дружит с китайским правительством, и это подвергает пользовательскую информацию рискам.

https://www.cnbc.com/2018/02/13/chinas-hauwei-top-us-intelligence-chiefs-caution-americans-away.html

Я не буду в данном случае комментировать историю с Huawei, но хочу отметить, что позиция этих руководителей достаточно лицемерна. Именно они же призывают Apple сделать для них бэкдор в систему, чтобы обеспечить доступ правительству к данным на устройствах.

по просьбе редакции издания Snob.ru набросал небольшую колонку о персональной информационной опасносте 🙂 (в очень популярном виде, конечно, но как иначе донести месседж до людей с паролем 123456?)
https://snob.ru/selected/entry/134380

Иногда журналисты как отмочат. Все наслышаны о проблемах с WannaCry, где пострадали именно мечтатели, которые не поставили выпущенные обновления Microsoft для Windows. Но нет, все равно на сайте Computerworld выходит статья "как отключить апдейты Windows". Мало им вирусных эпидемий https://www.computerworld.com/article/3254746/microsoft-windows/get-windows-update-locked-down-in-preparation-for-this-month-s-problems.html

воу — U.S. Charges 13 Russians, 3 Companies for Hacking Election (выдвинуто обвинение против 13 физлиц и трех компаний в хакерской активности во время выборов в США)