Утечка данных в популярном сервисе Mixcloud, куда диджеи заливают свои миксы, а пользователи потом могут стримить их для прослушивания. Интересно, что компания сама не была в курсе взлома, пока пользовательские данные не оказались в даркнете на продажу. 21 миллион пользовательских аккаунтов, включая логины, имейл и хешированные пароли, всего за полбиткойна. Компания расследует, что же именно случилось
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement

тут пишут про какието ужасы в андроидных телефонах, когда вредоносное ПО, маскирующееся под легитимные приложения, могут работать на полностью пропатченном андроиде и подслушивать микрофон, снимать фото, записывать телефонные разговоры и тд. Проблема в первую очередь заключается в том, что в рамках функциональности многозадачности вредоносные приложения могут рисовать свой контент поверх легитимных приложений, и прикидываться ими. А приложения, эту уязвимость использующие, уже были в Google Play, и после информирования, Google их выпилила. Сами вредоносные приложения в GP не водятся, но могут быть подгружены на телефон какими-то приложениями, которые доступны в GP. Уязвимость пока не исправлена Google

https://promon.co/security-news/strandhogg/

Такие дни, что некогда объяснять!

1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/

в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/

Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view

И опять ФБР! Помните приложение FaceApp, результаты "состаревания" на фото из которого все постили пару месяцев назад? ФБР назвала это приложение потенциальной разведывательной угрозой для безопасности, во как. а все в связи с тем, как и какую информацию собирает сервис, и кто может иметь к этой информации доступ. такие дела
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html

Ломай банки, живи красиво - история русских (каких же еще!) хакеров

https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group

https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome

Интересный ответ Apple на вчерашнюю историю про геолокацию в айфонах, даже если пытаться её отключить. Там, напомню, выяснилось, что в iOS есть некий системный сервис, который опрашивает информацию о местоположении, даже если это отключить для всех приложений и системных сервисов.
https://t.me/alexmakus/3166

“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."

То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.

Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.

https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/

Про смарт-ТВ и то, как они собирают информацию о пользователях, я писал тут неоднократно. Вот из последнего предупреждения ФБР об этом
https://t.me/alexmakus/3167

или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589

или замечательная история многих других производителей
https://t.me/alexmakus/2218


Так и материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.

https://habr.com/ru/post/479022/

PS интернет смарт-телевизору ни к чему

йе, Мак-пользователи могут гордиться тем, что Северная Корея не забывает о них. Бесфайловое (ну почти) заражение с исполнением в памяти, без сохранения на диск — демон, живущий памяти, исполняемый под root, и выживающий после рестартов, а потом загружающий с сервера код для исполнения. Авторство указывает на группу Lazarus, которая считается северокорейской группировкой. Вирус маскируется под приложение для торговли криптовалютой, да и обычному пользователю особо опасаться нечего — Макос предупредит о неподписанном ПО. Подозреваю, что все это делается для воровства криптовалют. Хотя сам факт прогресса таких вирусов под Маком — это интересно.

подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html

Тоже интересный материал по анализу сервиса TikTok и сайта компании. Бесконечная слежка за пользователями и их действиями, фингерпринтинг устройств, использование ПО без надлежащей лицензии, хранение данных неизвестно где. Хороший сервис, не зря его в Штатах пытаются расследовать в рамках угрозы национальной безопасности
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/

кстати, о пользовательских данных. Avast, разработчик антивирусных решений, собирает информацию о пользователях и поведении в браузерах для последующей продажи. Они утверждают, что вся информация анонимизирована и не может быть прослежена до индивидуального пользователя. Анонимизацией и продажей занимается компания Jumpshot, которая рекламирует свои услуги как доступ к информации о поведении 100 млн человек, с возможностью просмотра взаимодействий с брендами, продуктами. И сортировкой по категориям, странам и доменам.

https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/

Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/

Microsoft тут пишет, что среди пользователей Azure AD и Microsoft Services Accounts 44 миллиона пользователей повторно используют комбинации логинов и паролей. Не будьте как эти 44 миллиона пользователей!
https://www.microsoft.com/securityinsights/identity

ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report

https://plundervolt.com — еще одна атака на процессоры Intel, но к этому моменту кого это уже волнует

PoC будет тут https://github.com/KitMurdock/plundervolt

Если вам кажется, что в мире происходят сплошные взломы, утечки и хакерские атаки, то вам не кажется. Вот список худших инцидентов в 2019 году, и там все плохо. А будет ещё хуже.

https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/

Котаны, тут такое дело. Если вы в Штатах (список поддерживаемых стран в комментарии) и у вас пока нет хардварных ключей безопасности, то вам крупно повезло

https://store.google.com/config/titan_security_key

С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!

АПД пишут, что уже закончились ключики.

Владельцам айфонов будет полезно узнать, что:
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/

б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785

в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы

короче, нет повода не обновиться.

интересное расследование Медузы об участниках группировки EvilCorp
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery

о них я писал тут
https://t.me/alexmakus/3169

16k get хорошо! спасибо, что читаете!

камеры Ring (компания принадлежит Amazon) в этом канале фигурируют, наверно, не реже, чем Фейсбук со всеми своими факапами. В основном по поводу того, как они дружат с полицией, и предоставляют без каких либо ордеров возможность полиции просматривать видео с камер, причем без уведомления владельцев камер. А была еще история про то, как сотрудники компании (с офисом в Украине) просматривали видео и идентифицировали объекты на видео. Но тут сразу две новости, и обе прекрасны сами по себе:

- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors, которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279

Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras

Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.

Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того, чтобы их удалять. так вот, есть очень удобная страничка, на которой размещен большой список различных онлайн-сервисов. Там же сразу есть:
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/