интересный и познавательный и материал о разработке эксплойтов под iOS
https://azeria-labs.com/heap-exploit-development-part-1/

давненько у нас Facebook не светился в новостях

отключение функции распознавания лиц на facebook - теперь по умолчанию ФБ не будет распознавать лица на фото и видео. Если отключить эту функцию, ФБ обещает удалить информацию, которую компания собрала за время использования социальной сети. ХАХА, ТАК Я И ПОВЕРИЛ
https://newsroom.fb.com/news/2019/09/update-face-recognition/

вторая новость не такая хорошая. в интернете обнаружили сервер с 419 млн записей пользователей Facebook и их номеров телефонов. телефоны привязаны к Facebook ID, и там 133 млн пользователей из США, 18 млн пользователей из Великобритании, и почемуто 50 млн пользователей из Вьетнама. К некоторым записям была привязана также дополнительная личная информация. ФБ утверждает, что информация была собрана кем-то до того, как ФБ ограничил доступ разработчикам к информации о номерах телефонов пользователей. (если бы эти нехорошие человеки в ФБ прятали номера телефонов, которые юзеры привязывали для 2ФА, то, может, и проблема была бы меньшего масштаба)
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/

кстати, о телефонах. "взлом" аккаунта СЕО Твиттера (https://t.me/alexmakus/3026), когда в его аккаунт кто-то натвитил расистских сообщений, произошел через систему публикации твитов через SMS. Поэтому Твиттер наконец-то отреагировал и пока что просто выключил возможность твитов через SMS (похоже, что этим таки кто-то пользуется, кроме хакеров, раз они не вырубят этот сервис вообще)
https://twitter.com/TwitterSupport/status/1169334341064769536

ну приехали. zero-days для iOS уже не самые дорогие, теперь самые дорогие — для Android. при джобсе такого не было! до чего довел планету этот фигляр ПэЖэ!
https://zerodium.com/program.html#changelog

очень странная история про то, как к Apple и Google пришло министерство правды (зачеркнуто) юстиции и потребовало данные на пользователей определенного приложения. Приложение Obsidian позволяет управлять и настраивать оптические прицелы компании ATNC. Якобы ведется расследование о незаконном экспорте прицелов, и следователи хотят получить информацию о том, где и как использовалось приложение. но странно, что они пришли к магазинам, а не к разработчикам приложения. Видимо, вычислять индивидуумов хотят в том числе и по информации о покупке приложения. Пока непонятно, что будут делать компании, но предыдущие подобные запросы в Apple заканчивались отказом о передаче данных (в основном потому, что такие групповые запросы, без таргетинга конкретного лица, в целом не приветствуются, и считаются нарушением личной жизни. ХАХА, то-то NSA слушала всех американцев подряд в поисках террористов)
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/

Кажется, у Эпол немножко бомбануло от отчета Гугл о сайтах, направленных на взлом айфонов. В целом яблочная аргументация, кстати, вполне здравая, но попкорн пригодится

И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.

https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/

На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую Wi-Fi сеть с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.

https://vc.ru/tech/82308-chto-nuzhno-znat-o-profilyah-konfiguracii-v-ios-na-primere-istorii-s-maksimatelekom

Забавный месседж в рекламе про трекинг

уязвимость в интерфейсе Data-Direct I/O процессоров Intel, когда сетевая карта может обращаться напрямую к кешу процессора. Так вот, уязвимость, которая позволяет злоумышленникам при наличии сетевого подключения к серверу перехватывать информацию
https://www.vusec.net/projects/netcat/

совет Intel — отключить DDIO или RDMA
https://software.intel.com/security-software-guidance/insights/more-information-netcat

Бага в Телеграме (уже исправленная), когда удаленные изображения для обоих собеседников удалялись из чата, но оставались сохраненными на диске (по крайней мере, в версии на Android).

https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html?/telegram-privacy-fails.html

"Международная антивирусная компания ESET подготовила отчет об актуальных угрозах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.

Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.

Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца."

ничоси хорошие новости, ПЯТАЯ ЧАСТЬ — критические.

Тут чувака арестовали за размещение «скрытой» камеры в туалете самолета. Кстати, за это светит присесть на годик. Но вообще интересно, какая же она скрытая, если другой(ая) пассажир(ка) заметил(а) устройство и моргающий синий огонек?

https://www.travelpulse.com/news/airlines/man-arrested-after-planting-hidden-camera-in-airplane-bathroom.html

Особенно иронично смотрится текст про то, что чувака нашли по записям камеры безопасности:
Security investigated footage that revealed a man installing the camera in the first-class facilities, although his face wasn’t visible.
Интересно, где же правильная камера была установлена?

А вообще, конечно, жопа с этими микрокамерами, не скроешься от извращенцев никуда. Говорят, их инфракрасные сенсоры заметны в экране смартфона, если включить приложение камеры, но некоторые разработчики смартфонов стараются глушить такие нежелательные эффекты, так что как повезёт.

воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может быть эксплуатирована вне зависимости от устройства абонента, и что еще хуже, реально эксплуатируется некоторыми правительствами уже на протяжении как минимум двух лет.

S@T Browser (SIMalliance Toolbox Browser) — это приложение на SIM-картах, явлется частью SIM Tool Kit, и обеспечивает возможность мобильным операторам предоставлять абонентам некоторые сервисы и подписки. Приложение содержит в себе набор STK инструкций (отправка короткого сообщения, отправка данных, и проч), которые могут быть выполненными после получения SMS устройством, и таким образом ПО создает среду исполнения кода для запуска вредоносных приложений на самих мобильных телефонах. В частности, с помощью этой уязвимости можно получить местоположение устройства, IMEI-код и другую информацию об устройстве, отправлять сообщения вместо абонента, набирать платные номера телефонов, заставлять браузеры открывать определенные страницы, отключать SIM-карту. Все это время пользователь вообще ни сном ни духом, что там чтото может происходить на его устройстве.

Технические детали уязвимости будут опубликованы в октябре. Информация была передана в GSM Association, которая сформировала рекомендации для производителей SIM-карт. Мобильные операторы также могут снизить риск подобных атак, анализируя и блокируя сообщения, содержащие команды S@T Browser. Пользователям же рекомендуется избавится от мобильных телефонов и переехать в лес, где не будет мобильной связи и электричества.

(Я, к сожалению, не нашел информации о том, какие именно мобильные операторы и их SIM-карты уязвимы к этой атаке, даже у GSMA. но видел вчера новости о том, что американские операторы AT&T/Verizon/Sprint и T-Mobile заявили, что к их SIM-картам это не относится)

https://simjacker.com