Интересная история тут с дырой по имени checkm8 в бутроме некоторых моделей iPhone. Пользователь твиттера опубликовал твит (и материал на гитхабе), утверждая, что обнаруженная им уязвимость позволяет сделать джейлбрейк устройствам с процессорами от А5 до А11 (от iPhone 4S до iPhone 8/iPhone X, потенциально сотни миллионов устройств). Этот джейлбрейк нельзя сделать удаленно, нужен локальный доступ к устройству через USB, и уязвимость в целом эксплуатировать вроде как непросто. Но сам факт того, что она, по утверждениям обнаружившего её специалиста, unpatchable, оставляет неприятный осадок. Уверен, компании, которые предоставляют услуги по "доставанию" данных со смартфонов, оценят по достоинству эту уязвимость.
https://twitter.com/axi0mX/status/1177542201670168576
https://github.com/axi0mX/ipwndfu
https://twitter.com/axi0mX/status/1177542201670168576
https://github.com/axi0mX/ipwndfu
X (formerly Twitter)
axi0mX@infosec.exchange (@axi0mX) on X
EPIC JAILBREAK: Introducing checkm8 (read "checkmate"), a permanent unpatchable bootrom exploit for hundreds of millions of iOS devices.
Most generations of iPhones and iPads are vulnerable: from iPhone 4S (A5 chip) to iPhone 8 and iPhone X (A11 chip). …
Most generations of iPhones and iPads are vulnerable: from iPhone 4S (A5 chip) to iPhone 8 and iPhone X (A11 chip). …
Ну и подтверждение утечки пользовательских данных у doorDash, популярного доставщика еды в Штатах. Взлом случился в мае этого года, и почему компания целых 5 месяцев собиралась с духом об этом рассказать — непонятно. Имейл, имя, адрес доставки, история заказов, номера телефонов, и засоленные хешированные пароли (алгоритм неизвестен) - все,все, что нажито непосильным трудом, все пропало. У 100 тыс зарегистрированных доставщиков еще и данные водительских удостоверений угнали. Деталей взлома, к сожалению, компания не рассказывает
https://blog.doordash.com/important-security-notice-about-your-doordash-account-ddd90ddf5996#46h35gr24e
https://blog.doordash.com/important-security-notice-about-your-doordash-account-ddd90ddf5996#46h35gr24e
Medium
Important security notice about your DoorDash account
We take the security of our community very seriously. Earlier this month, we became aware of unusual activity involving a third-party…
Тема с уязвимостью Checkm8 в бутлоадере iPhone обрастает постепенно информацией, апдейтами и уже практически работающими джейлбрейками. Напомню, исследователь axi0mX опубликовал информацию о дыре в миллионах устройств от iPhone 4S до iPhone X.
https://t.me/alexmakus/3071
Что нужно знать об этом:
⁃ Уязвимость позволяет сделать джейлбрейк устройству — то есть установить различные версии iOS на устройства, загружать другие операционные системы.
⁃ При этом для реализации джейлбрейка требуется физический доступ к устройству, то есть не работает удаленно.
⁃ Джейлбрейк “разовый”, то есть на каждом рестарте телефона его надо делать снова
⁃ Эта уязвимость не дает возможности получить доступ к пользовательским данным, так как они зашифрованы чипом Secure Enclave (то есть TouchID/FaceID устройства - за исключением устройств iPhone 4S/5/5c, у которых нет SEP)
⁃ Поэтому история хоть и неприятна для репутации Apple, но прямой угрозы пользовательским данным нет.
⁃ Худшее в этой всей истории то, что эту уязвимость Apple не сможет исправить, так как этот код аппаратно встроен в устройство.
⁃ Устройства, в которых отсутствует эта уязвимость — все модели, начиная с прошлого года, включая iPhone XR, XS, 11 и 11 Pro. (Жду теорий заговоров о том, что Apple таким образом пытается стимулировать продажи новых устройств)
Это не первый раз, когда подобная история происходит, последний раз это случилось в районе 2011 года, и затрагивало телефоны до iPhone 4. C тех пор у системы появился Secure Enclave Processor (SEP), который управляет ключами шифрования пользовательских данных. Теоретически джейлбрейк телефона методом включения дебаггинга меняет ключ шифрования данных, что приводит к невозможности расшифровать данные. Теоретически, при условии физического доступа к устройству злоумышленники могут, произведя джейлбрейк, установить дополнительное вредоносное ПО, передающее данные с устройства, после того, как произойдет авторизация пользователя. Как утверждают эксперты по безопасности, самую большую выгоду от этой уязвимости получат именно исследователи безопасности, которые смогут после такого джейлбрейка более детально исследовать внутренности iOS. По сути, когда летом Apple анонсировала программу “устройство для исследователей”, то именно похожие “вскрытые” устройства компания планировала распространять среди инфосек-сообщества.
Так что базовая рекомендация, если вас это беспокоит: убедиться, что на устройстве установлен пароль, желательно посложнее — точно не 4-значный PIN. Если вас это беспокоит больше — апгрейд до более новых моделей решает проблему (вот она, теория заговора Apple в действии)
Пара полезных ссылок по теме
https://blog.trailofbits.com/2019/09/27/tethered-jailbreaks-are-back/
Большое интервью с обнаружившим
https://arstechnica.com/information-technology/2019/09/developer-of-checkm8-explains-why-idevice-jailbreak-exploit-is-a-game-changer/
https://t.me/alexmakus/3071
Что нужно знать об этом:
⁃ Уязвимость позволяет сделать джейлбрейк устройству — то есть установить различные версии iOS на устройства, загружать другие операционные системы.
⁃ При этом для реализации джейлбрейка требуется физический доступ к устройству, то есть не работает удаленно.
⁃ Джейлбрейк “разовый”, то есть на каждом рестарте телефона его надо делать снова
⁃ Эта уязвимость не дает возможности получить доступ к пользовательским данным, так как они зашифрованы чипом Secure Enclave (то есть TouchID/FaceID устройства - за исключением устройств iPhone 4S/5/5c, у которых нет SEP)
⁃ Поэтому история хоть и неприятна для репутации Apple, но прямой угрозы пользовательским данным нет.
⁃ Худшее в этой всей истории то, что эту уязвимость Apple не сможет исправить, так как этот код аппаратно встроен в устройство.
⁃ Устройства, в которых отсутствует эта уязвимость — все модели, начиная с прошлого года, включая iPhone XR, XS, 11 и 11 Pro. (Жду теорий заговоров о том, что Apple таким образом пытается стимулировать продажи новых устройств)
Это не первый раз, когда подобная история происходит, последний раз это случилось в районе 2011 года, и затрагивало телефоны до iPhone 4. C тех пор у системы появился Secure Enclave Processor (SEP), который управляет ключами шифрования пользовательских данных. Теоретически джейлбрейк телефона методом включения дебаггинга меняет ключ шифрования данных, что приводит к невозможности расшифровать данные. Теоретически, при условии физического доступа к устройству злоумышленники могут, произведя джейлбрейк, установить дополнительное вредоносное ПО, передающее данные с устройства, после того, как произойдет авторизация пользователя. Как утверждают эксперты по безопасности, самую большую выгоду от этой уязвимости получат именно исследователи безопасности, которые смогут после такого джейлбрейка более детально исследовать внутренности iOS. По сути, когда летом Apple анонсировала программу “устройство для исследователей”, то именно похожие “вскрытые” устройства компания планировала распространять среди инфосек-сообщества.
Так что базовая рекомендация, если вас это беспокоит: убедиться, что на устройстве установлен пароль, желательно посложнее — точно не 4-значный PIN. Если вас это беспокоит больше — апгрейд до более новых моделей решает проблему (вот она, теория заговора Apple в действии)
Пара полезных ссылок по теме
https://blog.trailofbits.com/2019/09/27/tethered-jailbreaks-are-back/
Большое интервью с обнаружившим
https://arstechnica.com/information-technology/2019/09/developer-of-checkm8-explains-why-idevice-jailbreak-exploit-is-a-game-changer/
Telegram
Информация опасносте
Интересная история тут с дырой по имени checkm8 в бутроме некоторых моделей iPhone. Пользователь твиттера опубликовал твит (и материал на гитхабе), утверждая, что обнаруженная им уязвимость позволяет сделать джейлбрейк устройствам с процессорами от А5 до…
Вот еще тоже ссылка от читателя на новость из категории «Никогда такого не было, и вот опять»
https://tjournal.ru/tech/118985-britanskie-specialisty-nashli-v-otkrytom-dostupe-dannye-20-millionov-rossiyan
https://tjournal.ru/tech/118985-britanskie-specialisty-nashli-v-otkrytom-dostupe-dannye-20-millionov-rossiyan
TJ
Британские специалисты нашли в открытом доступе данные 20 миллионов россиян — Технологии на TJ
Доступ к базе данных уже ограничен.
Пакинстанский хакер взломал игрушку Words with Friends компании Zynga и получил доступ к базе данных пользователей на 218 млн записей. Там оказались имена, адреса электронной почты, логины и засолено-захешированные пароли, номера телефонов и Facebook ID, если пользователи подключали свой профиль к игре.
https://zyngasupport.helpshift.com/a/zynga/?p=all&l=en&s=announcements&f=player-security-announcement
отдельно хочется отметить вступление Zynga по поводу взлома:
Cyber attacks are one of the unfortunate realities of doing business today.
это гораздо менее анфорчунейт, если подходить к этому вопросу серьезно.
https://zyngasupport.helpshift.com/a/zynga/?p=all&l=en&s=announcements&f=player-security-announcement
отдельно хочется отметить вступление Zynga по поводу взлома:
Cyber attacks are one of the unfortunate realities of doing business today.
это гораздо менее анфорчунейт, если подходить к этому вопросу серьезно.
Zynga Support
Have a question? Search for answers
Эксперт по миниатюризации, продемонстрировавший летом (https://t.me/alexmakus/2992) кабель Lightning, который выглядит идентично натуральному, а на самом деле содержит в себе возможность удаленного доступа к компьютеру, куда этот кабель воткнут, пообещал наладить серийное производство этих кабелей. Записываю: “к чужим кабелям не прикасаться”.
https://www.vice.com/en_us/article/3kx5nk/fake-apple-lightning-cable-hacks-your-computer-omg-cable-mass-produced-sold
https://www.vice.com/en_us/article/3kx5nk/fake-apple-lightning-cable-hacks-your-computer-omg-cable-mass-produced-sold
Telegram
Информация опасносте
Бойтесь друзей, кабели для айфона приносящие (удаленный доступ к компьютеру, к которому подключен кабель — бесплатный бонус с помощью импланта в кабеле)
https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer
https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer
Про “бэкдор в WhatsApp” пишет издание Bloomberg (которое, напомню, опубликовало отчет о якобы китайских чипах в серверах компаний Apple, Amazon и других неназванных, который опровергли все, потребовали доказательств, но Bloomberg их так и не предоставило, и статью не отозвало).
https://www.bloomberg.com/news/articles/2019-09-28/facebook-whatsapp-will-have-to-share-messages-with-u-k-police
Речь идет о том, что британское правительство утверждает, что Facebook “и его команда” должны будут делиться с полицией зашифрованными сообщениями пользователей, и тут же понеслось “БЭКДОР В ВОЦАППЕ КОНФИРМЕД!!!”. Речь идет о CLOUD Act executive agreement, в рамках которого упрощается процедура запроса информации к компании, которая этой информацией владеет. Если же у компании нет доступа к этой информации (она зашифрована), но запрос точно также остается без ответа, как и раньше.
https://www.bloomberg.com/news/articles/2019-09-28/facebook-whatsapp-will-have-to-share-messages-with-u-k-police
Речь идет о том, что британское правительство утверждает, что Facebook “и его команда” должны будут делиться с полицией зашифрованными сообщениями пользователей, и тут же понеслось “БЭКДОР В ВОЦАППЕ КОНФИРМЕД!!!”. Речь идет о CLOUD Act executive agreement, в рамках которого упрощается процедура запроса информации к компании, которая этой информацией владеет. Если же у компании нет доступа к этой информации (она зашифрована), но запрос точно также остается без ответа, как и раньше.
Примерно 100500 человек написали мне, что про утечки из игрушки не так интересно, как про утечку из Сбербанка. И они правы, безусловно
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:
ФИО
Паспорт
Номер карты
ОСБ
Филиал
Лимит кредита
Недоисп. лимит
Ссуда всего
Ссуда текущая
Ссуда к погашению
Превышение лимита
Просроченная ссуда
%% текущие бал.
%% льготные бал.
%% текущие внебал.
%% льготные внебал.
%% к пог. бал.
%% к пог. внебал.
%% просроч. бал.
%% просроч. внебал.
Инсайдер
Портфель
Адрес работы
Дата опердня
N договора WAY4
Место работы
Дата созд. дог-ра в WAY4
Дата активиз. д-ра
Дата закр. д-ра
Признак закр. д-ра
Остаток собств. ср-в
Комис. за обсл.
Расчетная неустойка
Срок действ. карты
Сост. карты по WAY4
Сост. дог-ра по WAY4
Номер счета карты
Дата обр. просроч. по осн. дол.
Дата обр. просроч. по проц.
Кат. кач-ва ссуды
Дата блокирования закрытой карты
Дата рождения держателя
Проц. ставка за кредит
Комиссии за обсл. к погашению
Дата предстоящего платежа
Сумма минимального платежа
Кредитная фабрика
Тип клиента для учета продаж
Код кол-ва просрочек (АС СД)
Почт.индекс (р)
Регион (р)
Район (р)
Город (р)
Насел.пункт (р)
Улица (р)
Дом (р)
Строение (р)
Корпус (р)
Офис (р)
Квартира (р)
Код продукта Way4
Канал продаж
Агент по прямым продажам
Уровень загрузки списка
W4 телефон
W4 телефон домашний
W4 телефон мобильный
СПООБК телефон по месту регистрации
СПООБК телефон по месту жительства
СПООБК телефон мобильный
СПООБК телефон по месту работы
Признак пользования кредитной линией
Дата нач. мониторинга задолж. для закр. счета
Реквизиты перечисления остатка при закр.
Признак инд.резервирования
Дата перевода на инд.рез.
Признак перевода в ГОС безнад.
Дата перевода в ГОС безнад.
Кто перевел на спец. резервирование
Атрибуты резевирования
Дата заявления на закрытие д-ра
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:
ФИО
Паспорт
Номер карты
ОСБ
Филиал
Лимит кредита
Недоисп. лимит
Ссуда всего
Ссуда текущая
Ссуда к погашению
Превышение лимита
Просроченная ссуда
%% текущие бал.
%% льготные бал.
%% текущие внебал.
%% льготные внебал.
%% к пог. бал.
%% к пог. внебал.
%% просроч. бал.
%% просроч. внебал.
Инсайдер
Портфель
Адрес работы
Дата опердня
N договора WAY4
Место работы
Дата созд. дог-ра в WAY4
Дата активиз. д-ра
Дата закр. д-ра
Признак закр. д-ра
Остаток собств. ср-в
Комис. за обсл.
Расчетная неустойка
Срок действ. карты
Сост. карты по WAY4
Сост. дог-ра по WAY4
Номер счета карты
Дата обр. просроч. по осн. дол.
Дата обр. просроч. по проц.
Кат. кач-ва ссуды
Дата блокирования закрытой карты
Дата рождения держателя
Проц. ставка за кредит
Комиссии за обсл. к погашению
Дата предстоящего платежа
Сумма минимального платежа
Кредитная фабрика
Тип клиента для учета продаж
Код кол-ва просрочек (АС СД)
Почт.индекс (р)
Регион (р)
Район (р)
Город (р)
Насел.пункт (р)
Улица (р)
Дом (р)
Строение (р)
Корпус (р)
Офис (р)
Квартира (р)
Код продукта Way4
Канал продаж
Агент по прямым продажам
Уровень загрузки списка
W4 телефон
W4 телефон домашний
W4 телефон мобильный
СПООБК телефон по месту регистрации
СПООБК телефон по месту жительства
СПООБК телефон мобильный
СПООБК телефон по месту работы
Признак пользования кредитной линией
Дата нач. мониторинга задолж. для закр. счета
Реквизиты перечисления остатка при закр.
Признак инд.резервирования
Дата перевода на инд.рез.
Признак перевода в ГОС безнад.
Дата перевода в ГОС безнад.
Кто перевел на спец. резервирование
Атрибуты резевирования
Дата заявления на закрытие д-ра
Коммерсантъ
Клиенты Сбербанка попали на черный рынок
Утечка затронула владельцев кредитных карт
Немножко лол. Лаборатория Касперского вычислила кибер-разведку Узбекистана, потому что они использовали продукты ЛК для тестирования своих вредоносных продуктов и не отключили опцию отправки отчетов в ЛК
https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
Vice
Researchers Say They Uncovered Uzbekistan Hacking Operations Due to Spectacularly Bad OPSEC
A new threat actor Kaspersky calls SandCat, believed to be Uzbekistan’s intelligence agency, is so bad at operational security, researchers have found multiple zero-day exploits used by the group, and even caught malware the group was still developing.
Google Project Zero нашли zero day уязвимость в android, которая затрагивает смартфоны Pixel, Galaxy, Huawei. Уязвимость позволяет получить полный контроль над устройством, и фикс потребовался срочный, потому что есть уже инструменты для эксплуатации этой уязвимости. Достаточно установить вредоносное приложение или же зайти на вебсайт, который может объединить эту уязвимость с другой. Апдейт для Pixel-устройств выйдет в октябре, остальные партнеры проинформированы, и за апдейтами нужно ходить к ним.
полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/
полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9
Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/
ZDNet
Google finds Android zero-day impacting Pixel, Samsung, Huawei, Xiaomi devices
Vulnerability was patched in older Android OS versions, but resurfaced in newer releases.
ZenDesk подтвердили взлом и утечку данных, которая произошла в 2016 году (они только узнали о ней). При взломе произошел доступ к небольшому количеству пользовательских аккаунтов
https://www.zendesk.com/blog/security-update-2019/
https://www.zendesk.com/blog/security-update-2019/
Zendesk
Updated Notice Regarding 2016 Security Incident - Zendesk
Hi everyone, We recently completed our review into the security incident we announced in October, and wanted to share some additional information with you. As an initial matter, we note that we did not discover any affected customer information other than…
продолжая тему утечки данных клиентов Сбербанка (https://t.me/alexmakus/3080). Банк опубликовал информацию о том, что "разобрались как следует, наказали кого попало": мол, нашли виновного «28-летний сотрудник попытался осуществить хищение клиентской информации в корыстных целях», и что "утечка коснулась только 200 клиентов.".
https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303®ionID=77&lang=ru&type=NEWS
а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299
сами решайте, кому верить. думаю, можно запастись попкорном.
https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303®ionID=77&lang=ru&type=NEWS
а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299
сами решайте, кому верить. думаю, можно запастись попкорном.
Telegram
Информация опасносте
Примерно 100500 человек написали мне, что про утечки из игрушки не так интересно, как про утечку из Сбербанка. И они правы, безусловно
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:…
https://www.kommersant.ru/doc/4111863
По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:…
тем временем, об утечке данных клиентов рассказала компания Билайн. Речь идет о базе данных клиентов проводного интернета, 8 миллионов записей. Якобы информация устарела — речь идет о базе 2017 года. Хотя непонятно, как именно она устарела — личные телефоны, контракты, фамилии, домашние и рабочие адреса — для многих пользователей сохранились (особенно имена и фамилии). Ссылки на саму базу давать не буду, найти её не сложно.
Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html
Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html
РИА Новости
В "Билайне" прокомментировали сообщения об утечке данных клиентов
Сообщения об утечке персональных данных клиентов "Билайна" являются вбросом. Об этом каналу "360" заявила пресс-секретарь компании Анна Айбышева. РИА Новости, 04.10.2019
пока в России компании опровергают, подтверждают и борются с последствиями утечек пользовательских данных, в Омерице своя напасть. Генеральный прокурор продолжает настаивать, что сквозное шифрование не нужно. В этот раз в форме призыва к Фейсбук о том, что не надо вообще ничего там внедрять в плане E2E шифрования между приложениями Facebook/Instagram/Whatsapp. И что вообще бэкдоры всякие важны, бэкдоры всякие нужны.
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption
BuzzFeed News
Attorney General Bill Barr Will Ask Zuckerberg To Halt Plans For End-To-End Encryption Across Facebook's Apps
"We are writing to request that Facebook does not proceed with its plan to implement end-to-end encryption across its messaging services without ensuring that there is no reduction to user safety."
интересные результаты исследования аудитории от поисковика DuckDuckGo. Интересная статистика: среди изученной аудитории пользователей интернета в США почти 80% подкрутили настройки приватности в социальных медиа или снизили уровень их использования. Почти четверть удалила или деактивировала свои учетные записи в социальных медиа. Кажется, люди начинают что-то понимать.
https://spreadprivacy.com/people-taking-action-on-privacy/
https://spreadprivacy.com/people-taking-action-on-privacy/
Spread Privacy
New DuckDuckGo Research Shows People Taking Action on Privacy
The results of our latest research are clear: not only are privacy concerns widespread, but people are taking real actions to protect their privacy online.