По-прежнему не набирается основательного материала для отдельной заметки (что, учитывая направленность канала, хорошо), поэтому коллекция интересных ссылок на тему. Часть ссылок прислана читателями, за что им спасибо.

1. Помните "ОГРОМНЫЙ СЛИВ НА 773 МИЛЛИОНА АККАУНТОВ", о котором трубили многие СМИ? Я о нем тоже писал на прошлой неделе. Я там, в частности, упомянул, что это не является чем-то необычным:

В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

Но читателям канала будет интересно также ознакомиться с материалом у Брайана Кребса, который разыскал автора этой коллекции. Тот рассказал, что именно "Коллекции 1" примерно 2-3 года, и собрана она была из всяких разных утечек, размещаемых русскими хакерами на всяких форумах дарквеба. ууууу, страшно, опять эти вездесущие русские хакеры. Но вывод из этого один: повторное использование пароля — зло, и самое главное — это защитить хотя бы один, самый главный аккаунт — почту, к которой привязаны многие другие аккаунты.
https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old/

2. Мама залогинилась удаленно, посмотреть в видеоняню, и обнаружила в кадре чужую спальню. Еще одна причина избегать установки дома лишних камер. КЛИКАЙ, ЧТОБЫ УВИДЕТЬ, ЧТО ПРИВЕЛО ЕЁ В ВОСТОРГ!
https://www.news.com.au/lifestyle/parenting/babies/terrified-mum-sees-strangers-bedroom-after-logging-into-remote-video-baby-monitor/news-story/683a9d4bc2650340d327c48ef4a6f3d9

3. Только вчера я писал о том, что хакеры подключались к камере Nest и озвучивали предупреждение о ракетной атаке. Теперь хулиганы делают то же самое, но призывают подписываться все на того же ютюбера Pewdiepie. Ранее призывы к подписке рассылали на чужие принтеры и даже на телевизоры
https://motherboard.vice.com/en_us/article/xwb8j7/watch-a-hacker-access-nest-cameras-and-demand-people-subscribe-to-pewdiepie

4. Abusing Exchange: One API call away from Domain Admin
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

========= РЕКЛАМА ========
16–17 февраля на площадке Digital October в Москве пройдут два интенсива от @binarydistrict_ru и Академии кибербезопасности BI.ZONE. А для подписчиков канала действует скидка 10% по промокоду alexmakus

Безопасность веб-приложений
Практический интенсив по безопасности веб-приложений с экспертами из BI.ZONE при поддержке Академии кибербезопасности. Вы узнаете:

- Актуальные киберугрозы для веб-приложений и виды уязвимостей
- Подход к анализу защищенности веб-приложений от А до Я
- Как выявлять уязвимости в веб-приложениях
- Как исправлять уязвимости и разрабатывать безопасные веб-приложения

На интенсиве будет много практики и разбор кейсов из опыта спикеров.
Регистрируйтесь: https://goo.gl/GbeFJ8

Расследование кибератак для бизнеса
Интенсив по компьютерной криминалистике от эксперта Академии кибербезопасности BI.ZONE.
Вы узнаете, какие атаки совершают на корпоративный и частный секторы и научитесь создавать криминалистические образы накопителей и оперативной памяти, восстанавливать и извлекать артефакты работы вредоносного ПО, представлять сценарий проведения атаки и предоставлять рекомендации после расследования.

Помимо этого:
- На курсе будет возможность охватить весь процесс криминалистического анализа инцидента для ОС Windows
- Для прохождения практики будет предоставлен специально подготовленный флеш-накопитель с требуемым ПО
- Вы разберете кейсы из опыта спикера и сможете обсудить собственные
Регистрируйтесь: https://goo.gl/SsXXBM
========= РЕКЛАМА ========

Хорошая неделя была: хорошо, что заканчивается!

1. Поэтому начнем с хороших новостей. Ну как... Относительно. NYT пишет (paywall), что Цукерберг распорядился интегрировать WhatsApp, Instagram и Facebook Messenger. Диванные эксперты говорят, что это на случай, если вдруг американские конгрессмены решат раздеребанить ФБ на части. Но хорошая часть заключается в том, что Цукерберг также сказал, что все мессенджеры должны поддержать оконечное (e2e) шифрование переписки. Пока что это умеет только WhatsApp, и у Messenger есть Secret Conversations, но об этой функциональности мало кто знает.
Не paywall https://outline.com/9v69jV

2. Интересный отчет про стеганографию (вшивание информации) в изображения и использование JavaScript для доставки вредоносного ПО на Маки через рекламу в браузерах
https://blog.confiant.com/confiant-malwarebytes-uncover-steganography-based-ad-payload-that-drops-shlayer-trojan-on-mac-cd31e885c202

3. В США из компании Ascension утекли данные десятков тысяч пользователей, бравших ипотеку в американских банках. База данных Elasticsearch с данными за десятки лет, содержит в себе массу финансовой информации на ничего не подозревающих пользователей. Пффф, тоже мне новость, скажут регулярные читатели канала, "каждый день что-то утекает". На самом деле интересно то, что данные утекли из подрядчика компании, который занимался сканированием и распознаванием данных. Поэтому потом обнаружился еще второй сервер, на котором лежали просканированные оригиналы документов. Это я к тому, что мало защищать себя, прочность системы определяется тем, насколько слабо самое слабое звено цепочки.
Обнаружил эту базу исследователь Mayhem Day One, а подробные отчеты были опубликованы на techCrunch:
https://techcrunch.com/2019/01/23/financial-files/
https://techcrunch.com/2019/01/24/mortgage-loan-leak-gets-worse/

Не по теме, но смешно

читатель прислал очень интересное, хотя трюк и не новый
https://t.me/MicrosoftRus/715

Поздравляю читателей канала с Днем Защиты Данных, который отмечается 28 января! Во всем мире проходят праздничные демонстрации и парады, чеканят шаг хакеры в белых головных уборах, стройными рядами, выдерживая равнение, маршируют эксперты по безопасности, и тд, и тп. Ну вы понели

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление "будет выпущено на этой неделе".

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать "Выключить FaceTime".
На iPhone или iPad, нужно зайти в приложение "Настройки", найти там FaceTime, и отключить верхнюю галку.

Берегите свою информацию!


Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.


Источник:
https://www.idownloadblog.com/2019/01/28/apple-disables-group-facetime-after-critical-privacy-bug-surfaces/

Вчера на TechCrunch вышел материал о приложении Facebook Research для iOS и Android. Это приложение распространяется через сторонние сервисы под соусом "исследования аудитории", вот страница для регистрации по участию в сервисе (кроме Applause, используются сервисы BetaBound и uTest). Требование к аудитории — проживание в США и возраст от 13 до 37 лет. Участие в исследовании предполагает оплату 20 долларов в месяц, а в обмен на это приложение собирает с телефонов пользователей практически все, что можно с телефонов собрать. Дело в том, что:
а) приложение для iOS распространяется с использованием сертификата разработчика Apple для корпоративных приложений, что дает Facebook практически полный доступ к данным пользователей на телефонах, включая фото и видео, почту, историю в браузерах, информацию о местоположении и тд.
б) приложение является замаскированным VPN-клиентом Onavo, принадлежащим Facebook, и, соответственно, дает Facebook доступ ко всему сетевому трафику устройств, на которых установлено такое приложение.
В некоторых случаях приложение даже просит аплоадить скриншоты истории покупок на Amazon (что вообще?).

Про Onavo вы можете помнить из истории еще летом, когда оказалось, что Facebook собирает слишком много информации о пользователях, не предупреждая их об этом, и в итоге Onavo убрали из App Store. Именно Onavo, кстати, в свое время показал Фейсбуку рост популярности WhatsApp, что привело к приобретению сервиса компанией Facebook. Но тут ситуация осложняется не только тем, что сервисы, распространяющие это приложение, не раскрывают полный набор данных, собираемых этим приложением (достаточно посмотреть на описание внизу страницы регистрации).

“By installing the software, you’re giving our client permission to collect data from your phone that will help them understand how you browse the internet, and how you use the features in the apps you’ve installed . . . This means you’re letting our client collect information such as which apps are on your phone, how and when you use them, data about your activities and content within those apps, as well as how other people interact with you or your content within those apps. You are also letting our client collect information about your internet browsing activity (including the websites you visit and data that is exchanged between your device and those websites) and your use of other online services. There are some instances when our client will collect this information even where the app uses encryption, or from within secure browser sessions.”

Большинство пользователей, особенно подростки, в мир которых так хочет заглянуть Facebook, не способны полноценно осознать масштабы сбора информации, который осуществляет это приложение. Что именно собирает приложение, точно сказать невозможно, не посмотрев на логи на сервере, но зная Facebook, можно предположить, что все, до чего могли дотянуться их руки, они собирают.

Проблема еще и в том, что корпоративный сертификат разработчика Apple нельзя использовать для распространения приложений таким образом. Enterprise сертификаты могут использоваться для подписи приложений, которые будут использоваться сотрудниками компании для внутренних нужд, с целью разработки и тестирования. Непонятно, какой будет реакция Apple в этой ситуации. Теоретически компания может (и должна) отозвать корпоративный сертификат разработчика Facebook, но там и до полноценной войны между двумя корпорациями недалеко. У Apple не так много рычагов для влияния на Facebook — не станет же Apple удалять приложение Facebook из App Store. Но это настолько очевидная пощечина Apple с её борьбой за конфиденциальность пользовательских данных, что компания просто обязана как-то отреагировать. Пора доставать попкорн.

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в "исследовании" пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что "мы там всех предупреждали и запрашивали разрешения".

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
- публикуется новость
- фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
- затем наступает фаза "Мы ничего не нарушали, но мы прекращаем эту практику"
- затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
- затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
- Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что "фейсбук как всегда" не так уж далека от правды.

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.


Мне это напомнило историю с "Троицей" уязвимостей в iOS, которые Apple срочно исправляла в iOS 9.3.5. Происходило это во второй половине 2016 года, и вызывает вопросы, не связаны ли эти истории, или же не использовались ли похожие уязвимости в Trident и Karma (например, для того же джейлбрейка "втихаря" и последующей доставки вредоносного ПО). На данный момент неизвестно, применяется ли Karma, и были ли исправлены в iOS уязвимости, которые этим ПО эксплуатировались. В статье отмечается, что к концу 2017 года обновления в iOS сделали Karma гораздо менее эффективным. Apple никак не прокомментировала информацию, изложенную в материале Reuters. Все же не зря за уязвимости в iOS платят по 2 млн долларов, чтобы потом можно было их использовать в том числе и для такой активности.

PS Кроме того, в статье упоминается, что "Karma не работало на устройствах с Android", что вообще-то очевидно, учитывая, что для взлома использовалась уязвимость в iMessage, которого на Android нет.

так-так-так, а что это тут у нас? похоже, что у google есть такое же “исследование”, как у Facebook, за который FB только что получил лишение девелоперского сертификата https://support.google.com/audiencemeasurement/answer/7573812?hl=en&ref_topic=7574346

и статья на TechCrunch опять о Google Screenwise https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.
Про бан https://alexmak.net/2019/01/30/payback-facebook/
Программа Google https://support.google.com/audiencemeasurement/answer/7573812?hl=en&ref_topic=7574346
И об этой программе https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей.
https://www.wired.com/story/collection-leak-usernames-passwords-billions/

HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)
Про багу https://alexmak.net/2019/01/28/facetime/
Про disclosure https://en.wikipedia.org/wiki/Responsible_disclosure
Про прокуратуру https://www.theverge.com/2019/1/30/18204213/apple-facetime-bug-new-york-state-investigation

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

PS WTF, нормально же все было!

Черт. Только стоило мне запостить пост, и оказалось, что Apple отозвала корпоративный сертификат и у Google!
https://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-apps-developer-certificate

Сегодня у нас несколько follow-ups для новостей этой недели, и несколько очень интересных статей для почитать на выходных.

1. После того, как Apple обнаружила, что Facebook и Google распространяли приложения с сертификатом для разработки корпоративных приложений среди пользователей, включая подростков, фруктовая компания отозвала эти сертификаты. Это внесло некоторый бардак в работу F/G, поскольку у них перестали работать многие внутренние приложения. Так вот, сегодня Apple выдала этим компаниям новые сертификаты, и конфликт, видимо, исчерпан. F/G придётся, конечно, пересобрать все свои внутренние приложения, чтобы они начали работать у сотрудников компаний. Интересно, что они пообещали Apple в обмен на такое решение? Уверен, эти вопросы решились на уровне первых лиц компаний.
FB https://twitter.com/mikeisaac/status/1091103868463636481?s=21
G https://twitter.com/mhbergen/status/1091168798856556544?s=21
Интересная статья о том, что происходило в FB, когда внутренние приложения перестали работать
https://www.nytimes.com/2019/01/31/technology/apple-blocks-facebook.html

2. Помните историю с багом FaceTime, позволявшим подслушивать собеседника до того, как он ответил на звонок? Изначально Apple обещала исправить багу на этой неделе. Сегодня компания сказала, что бага на серверной стороне исправлена, а вот апдейт с iOS выйдет на следующей неделе. Тогда же компания и включит функциональность обратно. Заодно компания поблагодарила обнаруживших баг, извинилась за него, а также пообещала улучшить процесс подачи информации о подобных находках. Хотя, конечно, осадочек остался.

3. Zeroidum предлагает более 100 тыс долларов за информацию об уязвимостях нулевого дня в роутерах MikroTik
https://twitter.com/Zerodium/status/1090950214121222144

4. Уязвимости в протоколе SS7, используемом мобильными операторами для синхронизации передачи текстовых сообщений и звонков, реально применяются уже для атак на банковские счета пользователей в Великобритании и Германии (злоумышленницам все равно надо знать логин и пароль пользователя, но всеми утечками и данными в интернете это обычно не проблема). Злоумышленники заводят новых получателей и делают на них переводы, перехватывая SMS. Двухфакторная аутентификация через SMS должна умереть.
https://motherboard.vice.com/en_us/article/mbzvxv/criminals-hackers-ss7-uk-banks-metro-bank
https://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

5. Airbus признал, что у компании вследствие взлома произошла утечка персональных данных сотрудников
https://thehackernews.com/2019/01/airbus-data-breach.html

6. Не новость, но хорошая заметка от ACLU, известной правозащитной организации в США о Ghost Proposal, рекомендациях британской разведки для внедрения бэкдоров для скрытного «прослушивания» переписки. Казалось бы, что может пойти не так?
https://www.aclu.org/blog/privacy-technology/consumer-privacy/spies-want-make-facetime-eavesdropping-bug-feature

7. Ещё одна история про сайт с информацией о ДНК и как это помогло решить одно нераскрытое убийство в штате Орегон. Информация о ДНК с места преступления позволила найти семью убийцы (тот был казнен в 1999 году), и они подтвердили, что 40 лет назад тот действительно находился в поездке на северо-западе побережья Тихого океана.
https://www.portlandoregon.gov/police/news/read.cfm?id=199719&ec=1&ch=twitter

8. Прогноз о том, что ситуация со взломами будет ухудшаться (пффф, тоже мне новость):
https://www.pehub.com/vc-journal/this-will-be-the-worst-year-yet-for-cyberbreaches/

В этот знаменательный день Более безопасного интернета у меня для вас такие новости:

1. В ЕС идет отзыв детских смартчасов ENOX Safe-KID-One, потому что слежка, никакой защиты данных (данные передаются на сервер без шифрования), да еще и компания с непонятными концами в Китае. Все очень плохо.
https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en

2. В своей борьбе за конфиденциальность Apple, кажется, выплеснула ребенка вместе с водой (хотя это может быть просто ошибка). В бете 12.2 для Safari появилась опция ограничения доступа к данным о движении и ориентации (не сексуальной). Правда, это ограничило функциональность для рекламы с использованием дополненной реальности (AR) или 360-градусных видео. Конечно, надо будет зайти в настройки и включить эту опцию, но это для многих пользователей может оказаться слишком непосильной задачей.

3. Любитель подменить чужую SIM-карту, чтобы перехватить пароль из 2FA и украсть немного криптовалюты согласился на предложенный ему срок 10 лет тюрьмы.
https://www.mercurynews.com/2019/02/04/cryptocurrency-thief-cops-to-million-dollar-hacking-scheme-as-tech-squad-builds-rep/

4. В WhatsApp для iOS добавили дополнительную защиту для входа в приложение по Touch ID/Face ID
https://9to5mac.com/2019/02/03/whatsapp-update-face-id-ios/

5. Какая-то прекрасная история про аккаунт admin@kremlin.ru в 2000 MongoDB базах
https://www.zdnet.com/article/unsecured-mongodb-databases-expose-kremlins-backdoor-into-russian-businesses/

6. Еще ссылка от читателя про магическое устройство для защиты российского интернета от киберопасносте
https://ssau.ru/news/16293-uchenye-razrabotali-ustroystvo-obespechivayushchee-kiberbezopasnost-rossiyskogo-interneta
и комментарии по этому поводу, лол
https://t.me/zatelecom/8460

1. Огромный материал от Motherboard об отрасли "разблокировки" ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из "Связки Ключей" в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.



3. Google запустила свой собственный сервис проверки утекших паролей, и для этого опубликовала свое расширение для Chrome:
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
Google утверждает, что передача всех данных зашифрована, и Google не видит ваши данные, которые передает расширение. А пароли в самой базе данных Google хешированы и зашифрованы.

4. Военно-морским силам США нужна помощь в удалении данных. У них там скопилось 2 тонны оборудования, которые нужно сжечь в пыль, чтобы убедиться, что секретная информация, хранящаяся на устройствах, была полностью уничтожена. Вот это, я понимаю, OpSec.
https://www.nextgov.com/cybersecurity/2019/02/navy-needs-2-tons-storage-devices-burned-ash/154629/

5. Одной строкой
ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007

Google Patches Critical .PNG Image Bug
https://threatpost.com/google-patches-critical-png-image-bug/141524/

Reverse RDP Attack: Code Execution on RDP Clients
https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Popular South Korean Bus App Series in Google Play Found Dropping Malware After 5 Years of Development
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!

Собственно, проблема не столько в самом сборе пользовательских данных приложениями, аналитика для этого и существует. Проблемы в данном случае больше в том, что:
а) если приложения и предупреждают пользователя о том, что они что-то там сохраняют из пользовательской информации, то это предупреждение записано где-то мелким текстом на 158 странице пользовательского соглашения, и туда вообще редко какая птица долетит. Среди тех приложений, которые изучили журналисты TechCrunch, в пользовательском соглашении о записи экрана не говорит вообще никто.
б) эти мобильные СДК, сохраняя данные о пользовательских сессиях, зачастую плохо маскируют некоторые действительно конфиденциальные данные, такие как адрес электронной почты или данные банковской карты, что действительно очень нехорошо.

Кроме того, часть приложений отправляет данные на сайт самой аналитической компании, часть — на свои сервера, и что там происходит с этими данными, как они хранятся, и кто к ним имеет доступ, вообще мало кто рассказывает. Но важно также и понимать, что подобные приложения могут сохранять запись сессии только внутри своего приложения, доступа к экранам других приложений или системы приложения, использующие эти SDK, не имеют (а то некоторые журналисты уже понаписали заголовков, как будто там пишут всех и все). В самой iOS есть функция записи экрана, но она контролируется через API системы и явно демонстрирует, когда запись активна. Было бы неплохо, чтобы Apple и Google со своей стороны активнее форсила такие приложения декларировать свои намерения по записи сессий в приложении.

Facebook для показываемых вам реклам даст возможность увидеть, кто загрузил вашу пользовательскую информацию (номер телефона, адрес электронной почты) для последующего таргетинга.
https://www.facebook.com/AdvertiserHub/posts/announcing-new-custom-audience-transparency-updatesthroughout-2018-we-introduced/1895864350540354/

«Ведомости»: Google начал удалять из выдачи сайты по требованию Роскомнадзора
https://rtvi.com/news/vedomosti-google-nachal-udalyat-iz-vydachi-sayty-po-trebovaniyu-roskomnadzora/

“В Роскомнадзоре заявили ТАСС, что наладили с Google конструктивный диалог и довольны сотрудничеством с компанией.”

И дополнение с хорошим комментарием
https://t.me/usher2/760