За прошедшее с последнего поста о борьбе Apple против контента с детским порно у меня накопилось какое-то количество полезных и интересных ссылок по поводу, поэтому сразу вывалю все в одном посте.
1. Мы записали в рамках подкаста Купертино выпуск, где как раз обсуждаем эту инициативу Apple, за и против, и потенциальные угрозы, которые могут от этого возникать
Видео https://youtu.be/TEWvz8uGeh4
Аудио
Яндекс.Музыка https://music.yandex.ru/album/16846312
Google Podcast https://bit.ly/3CRzEI1
Apple Music https://apple.co/3ARCD2o
2. Крейг Федериги, главный в Apple по софту, дал интервью WSJ, в котором ответил на многие вопросы и дал разъяснение по поводу инициативы. Основное, что мы узнали из этого интервью — предел, после которого будет срабатывать алгоритм ручной проверки, составляет 30 изображений, хэш которых совпадет с уже известным CSAM. По мнению экспертов, такой высокий порог свидетельствует больше о желании ограничивать массовый общий доступ к фото, нежели поиск создателей такого контента.
https://on.wsj.com/3xDBbxK
3. Apple опубликовала дополнительный документ, в котором описала свои соображения по поводу модели угроз для всей этой системы проверок. Мне показалось самым интересным то, что база хэшей на устройстве будет содержать в себе только те записи, которые были поданы двумя или большим количеством независимых организаций, занимающихся детской безопасностью, которые при этом находятся в разных юрисдикциях и не находятся под контролем одного и того же правительства. Это должно предотвратить попадание в такую базу контента, который некое правительство вдруг посчитало вредным и решило бороться с инакомыслием. Кроме этого, будет опубликован root hash зашифрованной базы, и что у пользователей будет возможность проверить его и сравнить с тем, который должен быть на самом деле. Кроме того, будет существовать некий независимый аудитор системы.
https://www.apple.com/child-safety/pdf/Security_Threat_Model_Review_of_Apple_Child_Safety_Features.pdf
4. Интересное интервью с Алекс Стамос, бывшим директором Facebook по безопасности, в котором он озвучивает свои мысли по поводу инициативы Apple и возможные риски, связанные с внедрением такой технологии
https://www.getrevue.co/profile/themarkup/issues/decrypting-apple-s-plan-to-scan-photos-on-your-phone-716040
5. Corellium, компания, которая предоставляет доступ к виртуализированным iPhone в облаке (которая была объектом судебного иска Apple по этому поводу, и иск только на прошлой неделе был отозван), инициировала свою собственную программу по исследованию безопасности устройств. В рамках этой инициативы они призывают исследователей проверить все предложения и заявления Apple касательно безопасности и конфиденциальности подхода сканирования контента на устройствах пользователей. Призы — 5 тыс долларов в виде грантов и 1 год бесплатного доступа к сервису Corellium.
https://www.corellium.com/blog/open-security-initiative
FIGHT!
1. Мы записали в рамках подкаста Купертино выпуск, где как раз обсуждаем эту инициативу Apple, за и против, и потенциальные угрозы, которые могут от этого возникать
Видео https://youtu.be/TEWvz8uGeh4
Аудио
Яндекс.Музыка https://music.yandex.ru/album/16846312
Google Podcast https://bit.ly/3CRzEI1
Apple Music https://apple.co/3ARCD2o
2. Крейг Федериги, главный в Apple по софту, дал интервью WSJ, в котором ответил на многие вопросы и дал разъяснение по поводу инициативы. Основное, что мы узнали из этого интервью — предел, после которого будет срабатывать алгоритм ручной проверки, составляет 30 изображений, хэш которых совпадет с уже известным CSAM. По мнению экспертов, такой высокий порог свидетельствует больше о желании ограничивать массовый общий доступ к фото, нежели поиск создателей такого контента.
https://on.wsj.com/3xDBbxK
3. Apple опубликовала дополнительный документ, в котором описала свои соображения по поводу модели угроз для всей этой системы проверок. Мне показалось самым интересным то, что база хэшей на устройстве будет содержать в себе только те записи, которые были поданы двумя или большим количеством независимых организаций, занимающихся детской безопасностью, которые при этом находятся в разных юрисдикциях и не находятся под контролем одного и того же правительства. Это должно предотвратить попадание в такую базу контента, который некое правительство вдруг посчитало вредным и решило бороться с инакомыслием. Кроме этого, будет опубликован root hash зашифрованной базы, и что у пользователей будет возможность проверить его и сравнить с тем, который должен быть на самом деле. Кроме того, будет существовать некий независимый аудитор системы.
https://www.apple.com/child-safety/pdf/Security_Threat_Model_Review_of_Apple_Child_Safety_Features.pdf
4. Интересное интервью с Алекс Стамос, бывшим директором Facebook по безопасности, в котором он озвучивает свои мысли по поводу инициативы Apple и возможные риски, связанные с внедрением такой технологии
https://www.getrevue.co/profile/themarkup/issues/decrypting-apple-s-plan-to-scan-photos-on-your-phone-716040
5. Corellium, компания, которая предоставляет доступ к виртуализированным iPhone в облаке (которая была объектом судебного иска Apple по этому поводу, и иск только на прошлой неделе был отозван), инициировала свою собственную программу по исследованию безопасности устройств. В рамках этой инициативы они призывают исследователей проверить все предложения и заявления Apple касательно безопасности и конфиденциальности подхода сканирования контента на устройствах пользователей. Призы — 5 тыс долларов в виде грантов и 1 год бесплатного доступа к сервису Corellium.
https://www.corellium.com/blog/open-security-initiative
FIGHT!
YouTube
Яндекс.Навигатор в CarPlay, NeuralMatch от Apple и обновление Safari / Подкаст Купертино
«Всё что происходит на вашем iPhone, остается на вашем iPhone» – похоже, этот рекламный слоган Apple потерял свою актуальность. В новом выпуске подкаста детально обсуждаем анонс Apple про технологии для детской безопасности, спорим на тему релиза Яндекс.Навигатора…
ктото реверснул алгоритм NeuralHash, которым Apple планирует обнаруживать CSAM на устройствах
https://www.reddit.com/r/MachineLearning/comments/p6hsoh/p_appleneuralhash2onnx_reverseengineered_apple/
https://www.reddit.com/r/MachineLearning/comments/p6hsoh/p_appleneuralhash2onnx_reverseengineered_apple/
а между тем, T-Mobile продолжает потихоньку стравливать информацию о взломе, формулируя это все максимально запутанным и непонятным образом. То есть вроде как 7,8 млн данных текущих пользователей с контрактами таки утекли (как и данные на около 40 млн бывших и потенциальных пользователей). у них вроде как ни номера телефонов, ни номера счетов и прочая критическая информация не утекла. Что именно у них украли — непонятно. Еще по текущим 850 тысячам клиентов припейда данные всетаки утекли, включая имена, номера телефонов, и ПИНы к учеткам. Расследование продолжается
https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation
https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation
T-Mobile Newsroom
T-Mobile Shares Updated Information Regarding Ongoing Investigation into Cyberattack - T-Mobile Newsroom
As we shared yesterday, we have been urgently investigating the highly sophisticated cyberattack against T-Mobile systems, and in an effort to keep our customers and other stakeholders informed we are providing the latest information we have on this event…
просто бомбическая история про чувака по имени Andrey Shumeyko, который был активным участником сообщества по обмену всякой утекшей информации из Apple (документы, устройства, приложения). в то же время он отсылал в Apple информацию на людей, которые продавали украденные прототипы Apple, на сотрудников Apple, сливавших информацию, ну и вообще все, что он думал, что компания посчитает полезным. Он рассчитывал, что ему за это все заплатят, но не заплатили, поэтому решил рассказать об этом всем публично. Молодец какой, ты посмотри на него
https://www.vice.com/en/article/3aqyz8/apples-double-agent
https://www.vice.com/en/article/3aqyz8/apples-double-agent
VICE
Apple’s Double Agent
He spent years inside the iPhone leaks and jailbreak community. He was also spying for Apple.
Возможно, что реверснули всё-таки не тот хеш. Хотя я на месте Эпол тоже так говорил бы - кто может проверить?
Apple however told Motherboard in an email that that version analyzed by users on GitHub is a generic version, and not the one final version that will be used for iCloud Photos CSAM detection. Apple said that it also made the algorithm public.
https://www.vice.com/en/article/wx5yzq/apple-defends-its-anti-child-abuse-imagery-tech-after-claims-of-hash-collisions
Apple however told Motherboard in an email that that version analyzed by users on GitHub is a generic version, and not the one final version that will be used for iCloud Photos CSAM detection. Apple said that it also made the algorithm public.
https://www.vice.com/en/article/wx5yzq/apple-defends-its-anti-child-abuse-imagery-tech-after-claims-of-hash-collisions
Vice
Apple Defends Its Anti-Child Abuse Imagery Tech After Claims of ‘Hash Collisions’
Apple said the version of NeuralHash analyzed by researchers is not the final version that will be used for iCloud Photos CSAM detection.
Информация опасносте там, где этого даже не ожидаешь: например, Эпол не даёт гравировать некоторые фразы и слова при покупке техники (там у них есть сервис бесплатной гравировки). Отличное расследование Citizen Lab
https://citizenlab.ca/2021/08/engrave-danger-an-analysis-of-apple-engraving-censorship-across-six-regions/
https://citizenlab.ca/2021/08/engrave-danger-an-analysis-of-apple-engraving-censorship-across-six-regions/
The Citizen Lab
Engrave Danger
Within mainland China, we found that Apple censors political content including broad references to Chinese leadership and China’s political system, names of dissidents and independent news organizations, and general terms relating to religions, democracy…
У него дыра в безопасности (3Д принтера)
https://www.reddit.com/r/3Dprinting/comments/p7jdhi/wake_up_this_morning_and_see_this_on_my_3d/?utm_source=share&utm_medium=ios_app&utm_name=iossmf
https://www.reddit.com/r/3Dprinting/comments/p7jdhi/wake_up_this_morning_and_see_this_on_my_3d/?utm_source=share&utm_medium=ios_app&utm_name=iossmf
Reddit
From the 3Dprinting community on Reddit: Wake up this morning and see this on my 3D printer (I use octoprint and now I’m scared)
Posted by Ok-Rub-499 - 15,685 votes and 871 comments
Еще в апреле Microsoft обнаружили уязвимость BadAlloc в большим количестве операционных систем и другого ПО. Но одна маленькая и гордая компания под названием BlackBerry, которая владеет операционной системой QNX, не признавалась об этой уязвимости. Старая и уязвимая версия QNX используется в огромном количестве (сотни миллионов) автомобилей, и в другом оборудовании, включая больничное. Короче, их там уже всячески уговаривали и упрашивали публично это анонсировать, потому что большое количество ОЕМ-разработчиков могли просто не узнать о фиксе проблемы. И вот во вторник они наконец-то опубликовали анонс об уязвимости и призвали всех клиентов апдейтить устройства
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649
https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649
https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649
POLITICO
BlackBerry resisted announcing major flaw in software powering cars, hospital equipment
The former smartphone maker turned software firm resisted announcing a major vulnerability until after federal officials stepped in.
T-Mobile, как я и писал выше, продолжает потихоньку сливать информацию о крупном взломе и утечке данных о клиентах (потому что сказать сразу «100500 миллионов записей украли» - это много, а постепенно рассказывать «а тут 7 млн, а вот мы ещё нашли 5 млн» - через какое-то время уже надоест следить и складывать, сколько же данных на самом деле украли. Но, похоже, что «все, что нажито непосильным трудом» - все спиздили: имена, адреса, номера социального страхования, IMEI, информацию о водительских удостоверениях, и тд. Риски для тех, чья информация была таким образом украдена, вполне неиллюзорны: с такой информацией можно оформить кредит в каком-нибудь не очень внимательном банке.
https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation
https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation
T-Mobile Newsroom
T-Mobile Shares Updated Information Regarding Ongoing Investigation into Cyberattack - T-Mobile Newsroom
As we shared yesterday, we have been urgently investigating the highly sophisticated cyberattack against T-Mobile systems, and in an effort to keep our customers and other stakeholders informed we are providing the latest information we have on this event…
Интересный лонгрид об уязвимости в процессе логина в Apple ID, в котором автор постепенно рассказывает о своём исследовании, вплоть до полного перехвата Apple ID. Автор подал информацию в Apple и та в своём духе триллионов корпорации выплатила всего лишь 10 тысяч долларов премии
https://zemnmez.medium.com/how-to-hack-apple-id-f3cc9b483a41
https://zemnmez.medium.com/how-to-hack-apple-id-f3cc9b483a41
Medium
How to Hack Apple ID
Everyone knows what’s inside a computer isn’t really real. It pretends to be, sure, hiding just under the pixels — but I promise you it…
и многократно присланная мне ссылка об уязвимости в драйвере устройств Razer, позволявшая стать админом Windows, просто подключив мышку или клавиатуру производителя к компьютеру
https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/
https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/
BleepingComputer
Razer bug lets you become a Windows 10 admin by plugging in a mouse
A Razer Synapse zero-day vulnerability has been disclosed on Twitter, allowing you to gain Windows admin privileges simply by plugging in a Razer mouse or keyboard.
странная история какая-то (еще и лохматых — до 2018г — лет) о том, как чувак «взламывал» чужие аккаунты iCloud и добывал оттуда фото. причем, я так понимаю, там была какая-то комбинация частично фишинга, частично ему какие-то данные присылали, а делал он это все в поисках обнаженки. а потом плакал «я сожалею о том, что я сделал, но у меня же семья». Короче, если вам нужен был знак, чтобы завести 2FA на iCloud или где угодно на важном аккаунте — это он!
https://www.latimes.com/california/story/2021-08-23/icloud-photo-theft-nude-women
https://www.latimes.com/california/story/2021-08-23/icloud-photo-theft-nude-women
Los Angeles Times
La Puente man steals 620,000 iCloud photos in plot to find images of nude women
Man who tricked thousands of iPhone users into giving up their passwords admits he stole private photos and videos and shared them online.
Эпол обновила сигнатуры для своего встроенного в macOS антивируса
https://www.jamf.com/blog/apple-updates-xprotect-and-mrt/
https://www.jamf.com/blog/apple-updates-xprotect-and-mrt/
Jamf
Apple releases updates to XProtect and MRT
Apple issues updates to XProtect and MRT security software to further protect endpoints against malware, like XCSSET | Jamf | Blog
ну и раз уж про Apple, тут у CitizenLan ОЧЕРЕДНОЙ отчет по поводу NSO Pegasus, и история о 8 активистах из Бахрейна, чьи iPhone были взломаны в период с июня 2020 года по февраль 2021 года. На телефонах некоторых активистов были использованы известные уже уязвимости iMessage, не требующие кликов — KISMET и FORCEDENTRY. Как минимум, 4 из 8 взломов были проведены группировкой LULU, близкой к правительству Бахрейна (телефон одной из жертв был взломан через несколько часов после того, как он в интервью рассказал, чтоо его телефон ранее был взломан с помощью Pegasus в 2019 году).
Apple говоррит, что BlastDoor — механизм в iOS 14, который должен был предотвращать подобные атаки в iMessage, будет улучшен в iOS 15. Надеюсь, что для iOS 14 это улучшение тоже выйдет, а то wtf. KISMET, кстати, как раз с iOS 14 не справляется, а вот FORCEDENTRY работал и на iOS 14.6. Там после предыдущего большого отчета CitizenLab выходил апдейт для iOS, который, похоже, залатывал одну из уязвимостей, позволяющих FORCEDENTRY функционировать, «но это не точно». По ссылке интересные детали с уязвимостями, доменами и прочей информацией:
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
Apple говоррит, что BlastDoor — механизм в iOS 14, который должен был предотвращать подобные атаки в iMessage, будет улучшен в iOS 15. Надеюсь, что для iOS 14 это улучшение тоже выйдет, а то wtf. KISMET, кстати, как раз с iOS 14 не справляется, а вот FORCEDENTRY работал и на iOS 14.6. Там после предыдущего большого отчета CitizenLab выходил апдейт для iOS, который, похоже, залатывал одну из уязвимостей, позволяющих FORCEDENTRY функционировать, «но это не точно». По ссылке интересные детали с уязвимостями, доменами и прочей информацией:
https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/
The Citizen Lab
From Pearl to Pegasus
We identified nine Bahraini activists whose iPhones were successfully hacked with NSO Group’s Pegasus spyware between June 2020 and February 2021. The hacked activists included three members of Waad (a secular Bahraini political society), three members of…
Не знал, что Самсунг может удаленно блокировать свои телевизоры (обещает блокировать украденные). Интересно, что они ещё удаленно умеют
https://www.theregister.com/2021/08/24/samsung_tv_block/
https://www.theregister.com/2021/08/24/samsung_tv_block/
The Register
Samsung: We will remotely brick smart TVs looted from our warehouse
Terminally dumb tellies now ... if they switch on the Wi-Fi
Полная история, хронология и все необходимые детали о Printnightmare — уязвимостях в сервисе Print Spooler Windows
https://www.mdmandgpanswers.com/blogs/view-blog/the-ultimate-guide-to-printnightmare-and-overcoming-it
https://www.mdmandgpanswers.com/blogs/view-blog/the-ultimate-guide-to-printnightmare-and-overcoming-it
MDMGPAnswers.com
View Blog
Where SMART MDM & Group Policy Admins come to Get Smarter.
Похоже, первые кандидаты на блокировку:
https://www.rbc.ru/finances/26/08/2021/61279abf9a79472abc90c997
В письме ЦБ просит получателей указать до 2 сентября наименование VPN-сервиса, который они используют, процесс, для которого он нужен, а также IP-адреса, где он применяется. Регулятор просит банки отвечать на его письмо, если они пользуются сервисами Psiphon, Tunnelbear, Thunder, Redshield и «иными аналогичными сервисами». Как следует из письма, Роскомнадзор планирует «осуществить комплекс мероприятий по ограничению использования сервисов», а информация от кредитных организаций нужна «с целью исключения из политик ограничения доступа VPN-соединений», используемых ими.https://www.rbc.ru/finances/26/08/2021/61279abf9a79472abc90c997
РБК
ЦБ предупредил банки о возможности новых блокировок VPN-сервисов
ЦБ попросил банки назвать VPN-сервисы, которые они используют для работы, чтобы избежать проблем при их блокировке со стороны Роскомнадзора. В частности, запрос касается сервисов Psiphon, Tunnelbear