интересно про перехват сообщений в Blackberry Messenger, который считался безопасным. сообщения там шифруются, но они идут через сервер канадской компании, у которой был ключ расшифровки сообщений. и по требованию органов они его выдали для перехвата сообщений между наркоторговцами
https://www.forbes.com/sites/thomasbrewster/2019/10/25/exclusive-blackberry-wiretap-stops-a-cartel-shipping-25-million-in-cocaine-to-america/

Интересная смена тактики у хакеров, которые шифруют данные города: вместо угроз удалить все данные теперь угрожают все данные сделать публичными. Очередная жертва - Йоханнесбург https://www.zdnet.com/article/city-of-johannesburg-held-for-ransom-by-hacker-gang/

какая прелесть. я как-то пропустил на прошлой неделе историю о том, как приложения для Amazon Alexa и Google Home могут подслушивать разговоры пользователей. Разработчики из Security Research Labs разработали skills для Alexa и Google Home Actions, которые прошли проверки у Amazon и Google. Замаскированные под приложения-гороскопы, активирующиеся по ключевым фразам для запуска, приложения не выходили после запуска, и начинали слушать разговоры вокруг устройств производителей. вот не зря умные люди не верят в гороскопы!
https://srlabs.de/bites/smart-spies/

PHP-FPM, уязвимость, исполнение кода, вот это все, как вы любите: в парсинге fastcgi есть бинарный баг, позволяющий изменить FASTCGI переменные. В итоге это приводит к возможности указать опции php.ini — бум, к возможности выполнить код
http://cve.circl.lu/cve/CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
эксплойт https://github.com/neex/phuip-fpizdam

вот так пойдешь делать хорошее дело — давать денег на борьбу с раком, а там в странице платежей сидит скиммер Magecart, ворующий данные карточек
https://sansec.io/labs/2019/10/25/american-cancer-society-magecart/?=october-27-2019

Австралия хочет использовать технологию распознавания лиц для проверки возраста при просмотре порнографии. Что может пойти не так?
https://www.zdnet.com/article/australian-house-committee-to-look-into-age-verification-for-porn/

сразу несколько новостей в одной. Reuters пишет о том, что WhatsApp был взломан инструментами компании NSO для слежки за высокопоставленными чиновниками, журналистами, активистами по борьбе за права человека и тд.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup/exclusive-whatsapp-hacked-to-spy-on-top-government-officials-at-u-s-allies-sources-idUSKBN1XA27H

поэтому WhatsApp и родительская компания Facebook подают иск против NSO по поводу использования программного обеспечения компании для взломов и слежки за этими людьми. Суть в том, что NSO всегда утверждала, что продает свое ПО только государственным разведывательным и правоохранительным органам для борьбы против терроризма и преступников.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup/facebook-sues-israels-nso-group-over-alleged-whatsapp-hack-idUSKBN1X82BE

Правда, например, контракт NSO с правительством Ганы не содержит никаких ограничений по использованию продуктов компании для борьбы с терроризмом
https://www.vice.com/en_us/article/bjwayq/nsos-spying-contract-doesnt-limit-use-of-its-hacking-tools-to-terrorism-and-crime

В качестве бонуса — руководство пользователя по применению шпионского ПО NSO Pegasus
https://assets.documentcloud.org/documents/4599753/NSO-Pegasus.pdf

а у Adobe, оказывается, недавно использовали уязвимость для получения доступа к, я так понимаю, staging-среде и там обнаружилась информация на 7,5 млн клиентов компании, включая адреса электронной почты
https://www.comparitech.com/blog/information-security/7-million-adobe-creative-cloud-accounts-exposed-to-the-public/
https://theblog.adobe.com/security-update/

Вы, может, не знаете, а оно вам и не надо, но есть такой чувак в Штатах — Рудольф Джулиани. Он сейчас адвокат Президента США Дональда Трампа, до этого был прокурором южного округа в Нью-Йорке, и мэром этого города, ну и вообще активен сейчас в политической жизни. но я немного о другом. В новостях появилась история про него о том, как он приходил в Apple Store с просьбой разблокировать свой айфон, потому что забыл пароль. смешная часть новости заключается в том, что предполагалось, что Джулиани будет отвечать в США за кибербезопасность и помогать Президенту наводить порядок в этой сфере. (кстати, совсем недавно оказалось, что Джулиани случайно набрал номер журналиста, и на голосовую почту записался разговор с некоторыми пикантными подробностями, компрометирующими Джулиани).
Грустная новость заключается в том, что какого хрена сотрудники магазина Apple, пусть даже бывшие, рассказывают конфиденциальные детали общения с другими клиентами?
https://www.nbcnews.com/news/us-news/rudy-giuliani-needed-apple-genius-help-unlock-his-iphone-after-n1074241

Вредоносное ПО для QNAP NAS. Получив доступ к устройству, это вредоносное ПО внедряет модификации в прошивку устройстве, для обеспечения постоянного присутствия на нем. Кроме этого, ПО может:

▪ вносить изменения в запланированные задачи;
▪ предотвращать обновления прошивки, меняя адреса сервера обновлений;
▪ Блокировать запуск приложения QNAP MalwareRemover;
▪ извлекать логины и пароли пользователей NAS.
помочь может только полный сброс настроек NAS.
https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
https://twitter.com/certbund/status/1189890405749460992

Zero day в ClamAV

https://pastebin.com/cfP7X89m

очень интересный материал
https://habr.com/ru/company/dsec/blog/471668/

Атаки через BlueKeep уже здесь. пока что только для криптомайнинга, и без самораспространения. но это может быть только началом. в интернете все еще находится более 700 тыс компьютеров, уязвимых к BlueKeep
https://www.wired.com/story/bluekeep-hacking-cryptocurrency-mining/

У этой штуки есть свои ограничения: нужна прямая видимость устройства, и точное позиционирование лазера на микрофоне, но вообще красиво. исследователи уже запартнерились с производителями для предотвращения подобных атак.

Буква S в аббревиатуре IoT, как известно, означает "Security", поэтому следующая новость не должна стать ни для кого неожиданностью: да, разумеется на множество "умных" устройств можно послать специально сформированную голосовую команду лазером, из безопасного места и бесшумно.

Исследователи отмечают, что так можно заставить устройство произвести покупку в онлайн-магазине или открыть настолько же "умный" замок в доме, но очевидно, что это только очень небольшая часть открывающихся возможностей для веселья.

https://lightcommands.com/

тут все как я люблю: хорошо подчеркнуто, что не так с современной рекламой в интернете и бесконечной слежкой за пользователями. Женщина рассказывает в треде о том, что она забыла в приложении для слежения за менструальным циклом отметить наступление очередного цикла. практически сразу её лента в фейсбуке наполнилась рекламой детской одежды, книжек для детей, информацией о здоровье для беременных и проч. Как только она это поняла и отметила цикл в приложении, реклама прекратилась.

https://twitter.com/TaliaShadwell/status/1191054331119837185

Что, впрочем, не новость
https://www.privacyinternational.org/long-read/3196/no-bodys-business-mine-how-menstruation-apps-are-sharing-your-data

сотрудник компании Trend Micro ушел из компании с базой данных на 120 тыс клиентов. После чего клиентам начались звонки с попытками обмана и последующего выманывания денег. хороший план
https://blog.trendmicro.com/trend-micro-discloses-insider-threat-impacting-some-of-its-consumer-customers/

Google запартнерилась с ESET, Lookout и Zimperium для борьбы против вредоносных приложений в Google Play. Теперь приложения будут сканироваться заранее перед публикацией на предмет поиска вредоносности.
https://security.googleblog.com/2019/11/the-app-defense-alliance-bringing.html

если вам на Маке в родной клиент приходят шифрованные письма, вам будет полезно узнать, что на диске компьютера они хранятся в расшифрованном виде (для того, чтобы Siri лучше "рекомендовала" информацию). По ссылке также есть совет, как можно это отключить
https://medium.com/@boberito/apple-mail-stores-encrypted-emails-in-plain-text-database-fix-included-3c2369ce26d4