Zoom опять в новостях, теперь по поводу того, что приложение отправляет кучу данных о пользователях в ФБ, даже если пользователи не входили в приложение с аккаунтом ФБ. И в политике конфиденциальности об этом тоже ничего нет. Используйте его из браузера по возможности, так можно!
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
VICE
Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
Zoom's privacy policy isn't explicit about the data transfer to Facebook at all.
Кстати, про iOS! уязвимость в iOS, начиная с iOS 13.3.1 и выше, включая недавно вышедшую 13.4, приводит к тому, что при подключении через VPN некоторый трафик не шифруется. Проблемный трафик — это подключения, которые были установлены до поднятия VPN, система не перезапускает их, и они оказываются вне тоннеля VPN. Лучшим вариантом для решения этой проблемы является передернуть кнопку авиарежима на телефоне. Видимо, скоро будет 13.4.1
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Proton VPN
VPN bypass vulnerability in Apple iOS
We discovered a security vulnerability in Apple’s iOS that causes connections to remain unencrypted even after connecting to VPN.
ну и чтобы два раза не вставать — вот еще информация о цепочке эксплойтов для iOS под названием LightSpy. Ссылки на сайт, “предназначеный” для пользователей из ГонгКонга, нападающие размещали на различных форумах. При открытии страницы сайт открывал невидимый iframe, который исполнял вредоносный код. Используя уязвимости, присутствующие в iOS 12.1 и 12.2, на телефон загружался вирус для iOS, который мог исполнять команды и манипулировать файлами на устройствах. Модули могли получать данные о подключениях к базам WiFi, адресной книге, геолокации, связке ключей (коллекция логинов и паролей), истории звонков, истории браузеров, переписке SMS, а также к данным приложений Telegram, QQ, WeChat. Похожая кампания под названием dmsSpy проводилась в 2019 году против пользователей с устройствами Android. В общем, не зря Apple призывает всех ставить апдейты и перестает подписывать старые версии iOS, чтобы их нельзя было устанавливать.
Спасибо читателю, который прислал эту информацию.
рассказ
https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/
отчеты
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
Спасибо читателю, который прислал эту информацию.
рассказ
https://securelist.com/ios-exploit-chain-deploys-lightspy-malware/96407/
отчеты
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/
Securelist
iOS exploit chain deploys LightSpy feature-rich malware
A watering hole was discovered on January 10, 2020 utilizing a full remote iOS exploit chain to deploy a feature-rich implant named LightSpy.
Zoom исправился, убрав из приложения код, отправлявший данные в Фейсбук
https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook
https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook
Vice
Zoom Removes Code That Sends Data to Facebook
The change comes after Motherboard found the Zoom iOS app was sending analytics information to Facebook when users opened the app.
Вчера получил смс. Фишеры сильно разленились, даже не пытаются УРЛ сделать похожим
Но есть и хорошие новости. международная группа экспертов по информационной безопасности объединилась с целью противостояния различным атакам, связанным с новым коронавирусом. так победим!
https://www.reuters.com/article/us-coronavirus-cyber/cybersecurity-experts-come-together-to-fight-coronavirus-related-hacking-idUSKBN21D049
https://www.reuters.com/article/us-coronavirus-cyber/cybersecurity-experts-come-together-to-fight-coronavirus-related-hacking-idUSKBN21D049
Reuters
Cybersecurity experts come together to fight coronavirus-related hacking
SAN FRANCISCO (Reuters) - An international group of nearly 400 volunteers with expertise in cybersecurity formed on Wednesday to fight hacking related to the novel coronavirus.
42 млн аккаунтов (ID и номер телефона) пользователей Телеграм из Ирана утекли в интернет. Это произошло благодаря стороннему клиенту к сервису, который оставил базу данных в онлайне без защиты пароля. Также утекли хеши и секретные ключи, но они в целом бесполезны.
https://www.comparitech.com/blog/information-security/iranian-telegram-accounts-leaked/
https://www.comparitech.com/blog/information-security/iranian-telegram-accounts-leaked/
Comparitech
Report: 42M Iranian "Telegram" User IDs & Phone Numbers Leaked Online
42 million user IDs and phone numbers for a third-party version of Telegram were exposed online without a password. The accounts belong to users in Iran, where the official Telegram app is blocked.
так, в интернете в последнее время любят Zoom (аудитория сервиса увеличилась многократно в последнее время, и на него стали поглядывать внимательно). То они оставили в Маках дыру такого размера, что Apple пришлось срочно удаленно убирать её из компьютеров (Zoom даже после удаления оставлял открытым свой веб-сервер на Маке, и можно было подключаться к камерам юзеров), то в FB случайно отправляли данные. Вот добрались до их транспорта и оказалось, что коммуникации у сервиса не такие e2e зашифрованные, как утверждает маркетинг компании
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
The Intercept
Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing
The videoconferencing service can access conversations on its platform.
Уже выпилили, но все равно забавно. Раньше про китайских школьников и приложение для уроков такое писали, а тут вот оно как
Forwarded from IT и СОРМ
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей.
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Forwarded from IT и СОРМ
Промежуточные итоги изучения приложения для слежки за жителями Москвы:
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
Ладно, к не менее насущным вещам. Ни дня без новостей про конференции Zoom. Там любители хулиганить придумали как делать zoombombing. Перебирая 10-значные коды конференций, хулиганы вламываются в чужие звонки и делают то, что хулиганы обычно делают - хулиганят. Постят картинки, ругаются, и тд. Такой современный ChatRoulette. Пара советов о настройках, как этого избежать:
- задать пароль для звонка (он по умолчанию не задается)
- трансляция экрана только для ведущего звонок
- отключение передачи файлов
- отключение опции «подключения до ведущего»
- отключение опции «разрешить отключённым подключаться снова».
- задать пароль для звонка (он по умолчанию не задается)
- трансляция экрана только для ведущего звонок
- отключение передачи файлов
- отключение опции «подключения до ведущего»
- отключение опции «разрешить отключённым подключаться снова».
надеюсь, что вам новости про Zoom надоели так же сильно, как и мне. НО БЛИН. Две свежих zero day уязвимости в клиентах сервиса под Мак, включая инъекцию кода в доступ к микрофону и камере Мака.
https://objective-see.com/blog/blog_0x56.html
https://objective-see.com/blog/blog_0x56.html
objective-see.org
The 'S' in Zoom, Stands for Security
uncovering (local) security flaws in Zoom's latest macOS client
Так, если такими темпами пойдет, то нужно будет делать ежедневный Zoom дайджест!
https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/
https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/
Ars Technica
Attackers can use Zoom to steal users’ Windows credentials with no warning
Zoom for Windows converts network locations into clickable links. What could go wrong?