======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хорошая коллекция уязвимостей в ядре iOS, начиная с версии 10 и до версии 13
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
Blogspot
A survey of recent iOS kernel exploits
Posted by Brandon Azad, Project Zero I recently found myself wishing for a single online reference providing a brief summary of the high...
вот такое я очень люблю — снятие вибраций с лампочки, чтобы восстановить колебание от звуковых волн и воспроизвести речь или аудио-запись с расстояния до 25 метров.
https://www.nassiben.com/lamphone
https://www.nassiben.com/lamphone
Ben Nassi
Lamphone
Recent studies have suggested various side-channel attacks for eavesdropping sound by analyzing the side effects of sound waves on nearby objects (e.g., a bag of chips and window) and devices (e.g., motion sensors). These methods pose a great threat to privacy…
Невероятная история про сотрудников банка в Южной Африке, которые украли мастер-ключ банка. Этот мастер-ключ позволяет расшифровывать банковские операции, получать доступ и вносить изменения в банковскую систему, а также генерить ключ для карточек клиентов банка. Благодаря этому ключу злоумышленики смогли сгенерить более 25 тысяч мошеннических транзакций на сумму более 3,2 млн долларов.
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
TimesLIVE
Postbank forced to replace 12-million bank cards after employees steal 'master key'
The Postbank is having to replace about 12-million bank cards at a cost of R1bn after a major security breach that exposes the personal data of millions of social-grant beneficiaries and other account holders.
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
ptsecurity.com
Запуск новой версии MaxPatrol SIEM
Запуск новой версии MaxPatrol SIEM - мероприятия Positive Technologies
Разработчик Cheng Du New Tech Zone с целым набором специализированных приложений для нишевого дейтинга — 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и GHunt — оставил базу с информацией о сотне тысяч пользователей открытой в интернете. 845ГБ в себе содержали в том числе откровенные фотографии и аудиозаписи, скриншоты чатов и некоторую частную информацию, включая имена, адреса, имейлы и тд. Открытую базу обнаружили исследователи, так что стала ли она доступной злоумышленникам ранее — неизвестно.
https://www.vpnmentor.com/blog/report-dating-apps-leak/
https://www.vpnmentor.com/blog/report-dating-apps-leak/
vpnMentor
Report: Breach Exposes 100,000+ Users on Niche Dating Apps
Led by Noam Rotem and Ran Locar, vpnMentor’s research team discovered a data breach leaking incredibly sensitive data from numerous niche dating and hook up apps.
Не совсем инфосек, но очень интересно. Тут в понедельник упала сеть одного мобильного оператора в США (T-Mobile), и они рассказывают почему это произошло. Были слухи, что это был DDoS, но на самом деле случился фейл одной интегральной схемы оптики. Потом сломалась резервная, а потом уже каскадом накопившиеся проблемы вызвали жопу для передачи звонков и сообщений.
https://www.t-mobile.com/news/update-for-customers-on-network-issues
https://www.t-mobile.com/news/update-for-customers-on-network-issues
T-Mobile Newsroom
Update on T-Mobile Network Issues | T-Mobile Newsroom
June 16th, 2020 6:23pm PSTUpdate on T-Mobile Voice and Text Performance Every day we see the vital role technology plays in keeping us connected, and we
Несколько интересных ссылок от читателей (которым традиционно спасибо!)
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
После того, как Zoom хлебнул говна за своё решение предоставить сквозное шифрование только платным пользователям, разработчики напрягли булки и теперь zoom говорит, что шифрование будет доступно всем
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
Zoom Blog
End-to-End Encryption Update
Since releasing the draft design of Zoom’s end-to-end encryption (E2EE) on May 22, we have engaged with a number of organizations to gather feedback.
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Австралия опасносте. Пишут, что сегодня многие государственные организации и коммерческие компании в Австралии подверглись ки кибер-атаке, и за этим якобы стоит какое-то государство (какое — не уточняется)
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
the Guardian
Australian cyber attack not ‘sophisticated’ – just a wake-up call for businesses, experts say
The ‘state-based cyber actor’ Morrison announced as having targeted Australia is exploiting well-known vulnerabilities, they say
Oracle как провайдер решения по трекингу пользователей в интернете. Кто бы мог подумать? (но желающих почемуто не нашлось). Oracle построили решение на базе стартапа BlueKai, который компания приобрела в 2014 году, и компания занимается кукисами и другими технологиями слежки для показа таргетированной рекламы. И, конечно же, оставили открытыми сервера с кучей частной информации, включая имена, адреса, и активность в браузере.
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/
TechCrunch
Oracle’s BlueKai tracks you across the web. That data spilled online
Exclusive: The data exposure is one of the biggest this year.
а вот еще жопка с утечкой — похоже, утекла информация о многих полицейских в США, включая имена, имейлы, номера телефонов, и много всякой другой информации
https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/
https://krebsonsecurity.com/2020/06/blueleaks-exposes-files-from-hundreds-of-police-departments/
Krebsonsecurity
‘BlueLeaks’ Exposes Files from Hundreds of Police Departments
Hundreds of thousands of potentially sensitive files from police departments across the United States were leaked online last week. The collection, dubbed "BlueLeaks" and made searchable via a new website by the same name, stems from a security breach at…
Взломали Stalker Online, утекло более 1 миллиона паролей игроков
https://www.grahamcluley.com/stalker-online-hacked-over-one-million-gamers-passwords-download/
https://cybernews.com/security/popular-mmo-game-stalker-online-hacked-1-2-million-user-records-put-for-sale-on-hacker-forums/
https://www.grahamcluley.com/stalker-online-hacked-over-one-million-gamers-passwords-download/
https://cybernews.com/security/popular-mmo-game-stalker-online-hacked-1-2-million-user-records-put-for-sale-on-hacker-forums/
Graham Cluley
Stalker Online hacked! Over one million gamers’ passwords made available for download
More than one million players of the video game Stalker Online have been put at risk after hackers offered them for sale on the darknet.
Ещё одно решение суда, в котором говорится, что полиция не имеет права принуждать человека к разблокировке его смартфона. Конечно, в некоторых странах методы принуждения бывают разными, но вообще такие решения можно только приветствовать
https://www.eff.org/document/state-v-seo-opinion
https://www.eff.org/document/state-v-seo-opinion
Electronic Frontier Foundation
Seo v. State opinion
opinion_issued_reversed_and_rem.pdf
Нет, ну вы посмотрите, как Google зашевелилась: обещает автоматически удалять данные о поисковых запросах и геолокации пользователей через 18 месяцев
https://www.theguardian.com/technology/2020/jun/24/google-says-it-will-no-longer-save-a-complete-record-of-every-search
https://www.theguardian.com/technology/2020/jun/24/google-says-it-will-no-longer-save-a-complete-record-of-every-search
the Guardian
Google says it will no longer save a complete record of every search
The firm will now delete its saved records of a new user’s activity after 18 months
Forwarded from addmeto
Ребята из Acronis нашли прекрасное - бэкдор в сканере отпечатков пальцев и карточек. Я даже не думал что такое бывает, уязвимости подвержены тысяч устройств. Особенно мне понравилось что пароль на эти сканнеры был “admin” 🙂
https://thehackernews.com/2020/06/geovision-scanner-vulnerabilities.html
https://thehackernews.com/2020/06/geovision-scanner-vulnerabilities.html
Про доступ к буферу обмена в iOS14
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение пытается вставить содержимое этого буфера. Тут же, конечно, понеслось о том, что все приложения пытаются украсть ваши данные, хотя реальность на самом деле не так ужасна.
Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Надо понимать, что не все приложения делают это с вредоносной целью, хотя, безусловно, есть приложения с рекламными СДК, которые могли попытаться тырить содержимое контента. Вот есть исследование на эту тему — Precise Location Information Leaking Through System Pasteboard | Mysk, и, думаю, именно оно стало толчком для этих изменений) Например, приложение Chrome проверяет содержимое клипборда, чтобы понять, присутствует ли там УРЛ, для того, чтобы при вставке в поле адреса предложить команду Paste and Go. Сторонний клиент для Reddit — Apollo — пытается обнаружить в буфере ссылку на пост на Reddit, чтобы сразу открыть его в приложении. Текстовые редакторы иногда пытаются просто вставить текст из клипборда в пустой документ для упрощения жизни пользователям. Но суть в том, что раньше на iOS проверить тип контента в буфере можно было, только попробовав вставить его — то есть чтобы Chrome понял, что в клипборде URL, его надо было попробовать в бекграунде вставить.
В iOS 14 появился новый API для разработчиков (UPasteboard.DetectionPattern), который позволяет разработчикам узнать тип содержимого в клипборде без его вставки в приложение. Когда разработчики в iOS 14 начнут использовать этот СДК, они смогут, используя эти СДК, проверять тип контента, не вставляя его. Таким образом честные приложения не будут триггерить подобные алерты, а нечестные спалятся. Думаю, потенциальным улучшением (и одновременно ухудшением) user experience будет очередной диалог-подтверждение из серии «разрешить приложению доступ к буферу обмена».
Сегодня я неоднократно получил в сообщениях ссылки на материалы о том, как «приложения на iOS данные из буфера обмена воруют». Иллюстрируется это все уведомлениями, которые появились в iOS 14, когда какое-то приложение пытается вставить содержимое этого буфера. Тут же, конечно, понеслось о том, что все приложения пытаются украсть ваши данные, хотя реальность на самом деле не так ужасна.
Собственно, алерт появляется, когда приложение пытается вставить что-то из буфера, и таким образом может прочитать его содержимое. Такой баннер в iOS14 показывается достаточно часто и пользователи обратили на него внимание. Надо понимать, что не все приложения делают это с вредоносной целью, хотя, безусловно, есть приложения с рекламными СДК, которые могли попытаться тырить содержимое контента. Вот есть исследование на эту тему — Precise Location Information Leaking Through System Pasteboard | Mysk, и, думаю, именно оно стало толчком для этих изменений) Например, приложение Chrome проверяет содержимое клипборда, чтобы понять, присутствует ли там УРЛ, для того, чтобы при вставке в поле адреса предложить команду Paste and Go. Сторонний клиент для Reddit — Apollo — пытается обнаружить в буфере ссылку на пост на Reddit, чтобы сразу открыть его в приложении. Текстовые редакторы иногда пытаются просто вставить текст из клипборда в пустой документ для упрощения жизни пользователям. Но суть в том, что раньше на iOS проверить тип контента в буфере можно было, только попробовав вставить его — то есть чтобы Chrome понял, что в клипборде URL, его надо было попробовать в бекграунде вставить.
В iOS 14 появился новый API для разработчиков (UPasteboard.DetectionPattern), который позволяет разработчикам узнать тип содержимого в клипборде без его вставки в приложение. Когда разработчики в iOS 14 начнут использовать этот СДК, они смогут, используя эти СДК, проверять тип контента, не вставляя его. Таким образом честные приложения не будут триггерить подобные алерты, а нечестные спалятся. Думаю, потенциальным улучшением (и одновременно ухудшением) user experience будет очередной диалог-подтверждение из серии «разрешить приложению доступ к буферу обмена».
Mysk Blog – In-Depth Cybersecurity & Mobile App Privacy Research
Precise Location Information Leaking Through System Pasteboard
iOS and iPadOS apps have unrestricted access to the systemwide general pasteboard. A user may unwittingly expose their precise location to apps by simply copying a photo taken by the built-in Camera app to the general pasteboard. Through the GPS coordinates…
По следам вчерашней истории про нотификации о доступе к клипборду написал пост про остальные улучшения в защите данных пользователей в системах Apple
https://alexmak.net/2020/06/26/wwdc20-privacy/
https://alexmak.net/2020/06/26/wwdc20-privacy/
alexmak.net
WWDC20 и изменения в защите данных пользователей
Конференция WWDC — это время не только анонсов новых версий операционных систем, но и (иногда) — смены процессорных архитектур, которых за историю Apple уже наберется приличное количество. Про пере…