Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!

Собственно, проблема не столько в самом сборе пользовательских данных приложениями, аналитика для этого и существует. Проблемы в данном случае больше в том, что:
а) если приложения и предупреждают пользователя о том, что они что-то там сохраняют из пользовательской информации, то это предупреждение записано где-то мелким текстом на 158 странице пользовательского соглашения, и туда вообще редко какая птица долетит. Среди тех приложений, которые изучили журналисты TechCrunch, в пользовательском соглашении о записи экрана не говорит вообще никто.
б) эти мобильные СДК, сохраняя данные о пользовательских сессиях, зачастую плохо маскируют некоторые действительно конфиденциальные данные, такие как адрес электронной почты или данные банковской карты, что действительно очень нехорошо.

Кроме того, часть приложений отправляет данные на сайт самой аналитической компании, часть — на свои сервера, и что там происходит с этими данными, как они хранятся, и кто к ним имеет доступ, вообще мало кто рассказывает. Но важно также и понимать, что подобные приложения могут сохранять запись сессии только внутри своего приложения, доступа к экранам других приложений или системы приложения, использующие эти SDK, не имеют (а то некоторые журналисты уже понаписали заголовков, как будто там пишут всех и все). В самой iOS есть функция записи экрана, но она контролируется через API системы и явно демонстрирует, когда запись активна. Было бы неплохо, чтобы Apple и Google со своей стороны активнее форсила такие приложения декларировать свои намерения по записи сессий в приложении.

Facebook для показываемых вам реклам даст возможность увидеть, кто загрузил вашу пользовательскую информацию (номер телефона, адрес электронной почты) для последующего таргетинга.
https://www.facebook.com/AdvertiserHub/posts/announcing-new-custom-audience-transparency-updatesthroughout-2018-we-introduced/1895864350540354/

«Ведомости»: Google начал удалять из выдачи сайты по требованию Роскомнадзора
https://rtvi.com/news/vedomosti-google-nachal-udalyat-iz-vydachi-sayty-po-trebovaniyu-roskomnadzora/

“В Роскомнадзоре заявили ТАСС, что наладили с Google конструктивный диалог и довольны сотрудничеством с компанией.”

И дополнение с хорошим комментарием
https://t.me/usher2/760

Я писал про скандал, который разворачивается в США, по поводу того, что местные мобильные операторы активно приторговывали информацией о местоположении пользователей. Это позволяло получить доступ к этой информации практически произвольным людям за относительно небольшую сумму, чем активно пользовались bounty hunters (охотники за людьми, обнаруживающие их за выплату гонорара). Тогда казалось, что это был какой-то экстремальный случай, а не то, чтобы устоявшаяся практика. Новый материал на Motherboard показывает, что это происходило в гораздо больших масштабах, чем представлялось ранее, с десятками тысяч запросов от разных компаний для поиска беглецов из-под залога. Вроде бы даже за операторов решили взяться в Конгрессе США по этому поводу, посмотрим, насколько небольшим штрафом они отделаются в этот раз.
https://motherboard.vice.com/en_us/article/43z3dn/hundreds-bounty-hunters-att-tmobile-sprint-customer-location-data-years

WeWork, компания-организатор коворкинговых пространств, приобрела компанию Euclid, которая занимается трекингом людей и их поведения в реальном мире. WeWork планирует использовать разработки Euclid для мониторинга поведения посетителей коворкинга. Это норма!
https://techcrunch.com/2019/02/07/wework-just-acquired-spatial-analytics-platform-euclid-to-bolster-its-software-offerings/

Apple выпустила апдейт для iOS 12 (iOS 12.1.4), который исправляет ошибку в работе групповых звонков FaceTime, позволявшую "подслушивать" микрофон абонента на второй стороне звонка, до того, как абонент ответил на звонок. О самой ошибке было достаточно материалов в канале (раз, два, три), а вот теперь, после небольшой задержки вышло и исправление. Подозреваю, что и функциональность групповых звонков на серверах тоже скоро включат за хорошее поведение.

Это прекрасно. чуваки через щель для почты в двери управляют с помощью Алексы термостатом соседа снизу (потому что когда снизу тепло, то можно свой термостат выключить)

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.— Ben Hawkes (@benhawkes) February 7, 2019

Так что обновление iOS до последней версии лучше не затягивать.

По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html

Читатели вчера прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/

Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://t.me/alexmakus/2542
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).