но давайте к более интересным новостям. когда-то я писал о программе вознаграждений, которую объявила Apple за обнаруженные уязвимости в устройствах и ПО компании. Вот и результат: исследователь Райан Пикрен рассказал о том, что он обнаружил уязвимости в Safari для iOS и macOS, которая позволяла сайтам получить доступ к камере на iPhone или Маке (УПС). На самом деле он обнаружил целый набор уязвимостей (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, & CVE-2020-9787), и их комбинация и приводила к багу. Он заключался в том, что браузер Safari неправильно парсил URI, и сайт мог обмануть браузер, прикинувшись доверенным. Как результат, сайт мог получить доступ к камере. В последних версиях iOS/macOS эти уязвимости были исправлены. Райан за эти уязвимости получил выплату в размере 75 тыс долларов.
Общее описание
https://www.ryanpickren.com/webcam-hacking-overview
Детальное описание
https://www.ryanpickren.com/webcam-hacking
Общее описание
https://www.ryanpickren.com/webcam-hacking-overview
Детальное описание
https://www.ryanpickren.com/webcam-hacking
Ryan Pickren
Webcam Hacking | Ryan Pickren
A vulnerability in Safari allowed hackers to access the iPhone and Macbook cameras. (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887 & CVE-2020-9784)
Ну и закончим эту неделю хорошими новостями. В новых iPad Pro, как и в Макбуках, начиная с прошлого года, при закрытии устройства (в ноутбуках — при закрытии крышки, в планшетах — при закрытии обложкой) микрофон аппаратно отключается для предотвращения скрытого подслушивания. Ждём в айфоне, видимо.
https://support.apple.com/guide/security/hardware-microphone-disconnect-mac-ipad-secbbd20b00b/web
https://support.apple.com/guide/security/hardware-microphone-disconnect-mac-ipad-secbbd20b00b/web
Apple Support
Hardware microphone disconnect in Mac and iPad
Learn about Hardware microphone disconnect in Mac computers and iPad.
Очень важная уязвимость для тех, кто работает из дома
https://labs.unit221b.com/2020/04/04/wfh-security-advisory/
https://labs.unit221b.com/2020/04/04/wfh-security-advisory/
как я и обещал, заводим дайджест новостей о компании Zoom.
1. сохраненные видео звонков Zoom хранились доступными в интернете. Сервис сохранял такие видео на отдельный открытый амазоновский бакет, а логика наименования файлов позволяла подбирать названия
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
2. в школах НьюЙорка, где сейчас применяется удаленное обучение, запретили использование Zoom в связи с проблемами безопасности пользовательской информации
https://techcrunch.com/2020/04/05/zoom-new-york-city-schools/
1. сохраненные видео звонков Zoom хранились доступными в интернете. Сервис сохранял такие видео на отдельный открытый амазоновский бакет, а логика наименования файлов позволяла подбирать названия
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
2. в школах НьюЙорка, где сейчас применяется удаленное обучение, запретили использование Zoom в связи с проблемами безопасности пользовательской информации
https://techcrunch.com/2020/04/05/zoom-new-york-city-schools/
TechCrunch
New York City bans Zoom in schools, citing security concerns
The decision was made in part by New York City's Cyber Command.
парочка zero-days у Firefox, которые эксплуатировались в онлайне. апдейт!
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/
Mozilla
Security Vulnerabilities fixed in Firefox 74.0.1 and Firefox ESR 68.6.1
ну и компания Mariott опять в новостях с утечкой 5,2 млн записей клиентов сети гостиниц. да где этому конец, у них и так уже утекло все, что можно
https://www.ajc.com/news/marriott-announces-data-breach-that-could-affect-million/X1KeVPifB93nBiwNV6zcTM/
https://www.ajc.com/news/marriott-announces-data-breach-that-could-affect-million/X1KeVPifB93nBiwNV6zcTM/
и к хорошим новостям. Microsoft купила за 1,7 млн долл домен corp.com, чтобы он не достался злодеям. таким образом компания решает проблему конфликта доменов, когда внутрикорпоративные домены могут совпадать с внешними. Это могло вызвать ситуации с перехватом данных, которые Windows PC из корпоративных сетей отправляли бы на внутренний домен, а на самом деле на внешний.
https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/
https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/
В эпоху карантина и самоизоляции немного полезной информации — сайт с материалами по обучению крипто (-графии, а не -валюте)
https://cryptohack.org
https://cryptohack.org
CryptoHack
CryptoHack – Home
A free, fun platform to learn about cryptography through solving challenges and cracking insecure code. Can you reach the top of the leaderboard?
Talos опубликовали результаты исследования о том, насколько безопасно сканирование отпечатков пальцев как метод аутентификации пользователей. Специалисты компании рассказывают о печати отпечатков пальцев и тестировании оборудования от компаний Apple, Microsoft, Samsung и Huawei, а также некоторых производителей “умных” замков. Вывод исследователей такой, что как альтернатива вводу паролей этот метод хоть и работает, но подходит далеко не для всех. Особенно не подходит для тех, кто может оказаться жертвой совершенно целенаправленной атаки с хорошим оборудованием.
https://blog.talosintelligence.com/2020/04/fingerprint-research.html
https://blog.talosintelligence.com/2020/04/fingerprint-research.html
Cisco Talos Blog
Fingerprint cloning: Myth or reality?
Phone, computer fingerprint scanners can be defeated with 3-D printing
By Paul Rascagneres and Vitor Ventura.
Executive summary Passwords are the traditional authentication methods for computers and networks. But passwords can be stolen. Biometric authentication…
By Paul Rascagneres and Vitor Ventura.
Executive summary Passwords are the traditional authentication methods for computers and networks. But passwords can be stolen. Biometric authentication…
- партнерский материал -
Как организована удаленка в вашей компании?
Positive Technologies проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры.
Пожалуйста, ответьте анонимно на семь вопросов:
http://bit.ly/homeofficesurvey
- партнерский материал -
Как организована удаленка в вашей компании?
Positive Technologies проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры.
Пожалуйста, ответьте анонимно на семь вопросов:
http://bit.ly/homeofficesurvey
- партнерский материал -
Hotjar
Hotjar Survey
Survey powered by Hotjar.com. Create your own Survey now - it's free, quick & easy!
я писал как-то о том, что в штатах под видом защиты детей от насилия и эксплуатации хотят протянуть закон EARN IT, который бы нанес существенный вред компаниям, которые внедряют в своих продуктах сквозное шифрование коммуникаций. Просто хороший пример того, как политики, продвигающие эти изменения, не могут найти свою жопу двумя руками, ну, или просто не хотят. Сначала они одной рукой пишут и продвигают этот EARN IT, а другой возмущаются по поводу Zoom и отсутствия в нем нормального шифрования. Бляди, сэр.
https://arstechnica.com/tech-policy/2020/04/senator-backing-anti-crypto-bill-calls-out-zooms-lack-of-end-to-end-crypto/
https://arstechnica.com/tech-policy/2020/04/senator-backing-anti-crypto-bill-calls-out-zooms-lack-of-end-to-end-crypto/
Ars Technica
Senator backing anti-crypto bill calls out Zoom’s lack of end-to-end crypto
Democratic Senator Richard Blumenthal dings Zoom for false end-to-end crypto claim.
Можно только себе представить, что может получиться, если там не будет проведена должная экспертиза безопасности. Сервисы в интернете «напечатай себе цифровой пропуск за 500 рублей» - самое безобидное, что приходит в голову
https://www.rbc.ru/politics/10/04/2020/5e9070029a7947c65f80183b
https://www.rbc.ru/politics/10/04/2020/5e9070029a7947c65f80183b
РБК
Власти Москвы объявят о введении цифровых пропусков на время изоляции
К идее выдачи пропусков столичная мэрия вернулась в том числе из-за роста заболеваемости коронавирусом. За сутки в Москве выявили более 1,1 тыс. заболевших, 12 человек умерли
Владельцам роутеров Linksys Smart Wi-Fi компания передает свои приветствия и рекомендации по сбросу пароля в связи с возможным взломом устройств. Похоже, происходит активный credentials stuffing в аккаунты пользователей, которые применяют одни и те же пароли в разных аккаунтах, а страдают в итоге все.
https://www.linksys.com/us/support-article?articleNum=317063
https://www.linksys.com/us/support-article?articleNum=317063
Linksys
Linksys Official Support - Required password reset due to DNS hack
Get help with Required password reset due to DNS hack
как сообщают читатели, информация безопасносте!
https://send.firefox.com/
https://send.firefox.com/
Mozilla
Mozilla - Internet for people, not profit (US)
We’re working to put control of the internet back in the hands of the people using it.
На прошлой неделе Apple и Google анонсировали одну интересную инициативу по отслеживанию контактов с людьми, которые получили подтверждение при тестировании на COVID-19. Суть заключается в том, что смартфоны с операционными системами обеих компаний будут обмениваться анонимными идентификационными ключами через Bluetooth LE, что будет выступать подтверждением близкого контакта. Если кто-то из этой пары позже был продиагностирован на наличие COVID-19, этот человек может отметить это в своем приложении (на сервер будут залиты последние 14 дней идентификационных ключей, которые меняются каждые 15 минут). Система в таком случае уведомит других юзеров, у которых был близкий контакт с этими ключами. Система не предполагает использования геолокации, а расчет совпадения с ключами будет происходить локально на устройствах, что должно обеспечить достаточно высокий уровень конфиденциальности пользовательских данных и сохранить анонимность.
Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.
Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/
Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.
Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/
Apple Newsroom
Apple and Google partner on COVID-19 contact tracing technology
Apple and Google announce a joint effort to help governments and health agencies reduce the spread of the virus, with user privacy central to the design.
красота. шикарная находка о захардкоженных ключах в устройствах компании Cellebrite
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt
Инфосек удивляет и радует (в двух словах - джейлбрейк для более простых вентиляторов легких, который превращает их в продвинутые, и пригодные к использованию в больницах для спасения больных)
https://twitter.com/qrs/status/1250095637535887367
https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/
https://twitter.com/qrs/status/1250095637535887367
https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/
Twitter
Trammell Hudson ⚙
Announcing airbreak, a toolkit to jailbreak inexpensive CPAP machines to turn them into emergency #COVID19 ventilators by unlocking all operational modes and allowing custom software extensions. https://t.co/8dqN0EJ5qZ https://t.co/qXyxv691Z5
Что, давно новостей про Zoom не было? две zero-days для Мак и Windows за 500 тысяч на рынке, налетай!
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000
Vice
Hackers Are Selling a Critical Zoom Zero-Day Exploit for $500,000
People who trade in zero-day exploits say there are two Zoom zero-days, one for Windows and one for MacOS, on the market.