Правила идентификации пользователей информационно-телекоммуникационной сети "Интернет" организатором сервиса обмена мгновенными сообщениями

https://base.garant.ru/402952098/


При регистрации мессенджеры будут обязаны запрашивать у пользователя номер телефона. После этого они обязаны будут направить запрос мобильному оператору о владельце данного номера.

Оператор должен будет в течение 20 минут предоставить информацию об абоненте из базы данных, включая сведения из паспорта. Если паспортные данные не совпадают или отсутствуют, то мессенджер должен отказать пользователю в регистрации.

В случае же успешной проверки каждому пользователю будет присваиваться уникальный идентификационный код, который необходимо будет обновлять при смене оператора сотовой связи. В случае отказа пользователя от услуг оператора связи, мессенджер должен в течение суток отключить его.

——
Я что-то не очень понял, теперь любой, кто создал хоть какой-то то там мессенджер, может прийти к оператору и сказать «я мессенджер, дай мне паспортные данные пользователя». Ну и вообще тема интересная, конечно

Взломали популярную библиотеку UAParser.js, которая используется для чтения информации в user-agent строках— в неё встроили код, который закачивает криптомайнер на тех системах, где она установлена. 6-7 млн закачек в неделю, по данным npm

https://github.com/advisories/GHSA-pjwm-rvh2-c87w

На страницы канала снова врывается компания NSO Group, печально известная своим ПО Pegasus, которое используется для взлома телефонов удаленно. Был взломан телефон (даже телефоны — оба iPhone) журналиста NYT, который писал о Саудовской Аравии и конкретно о принце Мухаммеде бин Салман, в период с июня 2018 года по июнь 2021 года. (то есть это не то, чтобы «опять новая zero-day», но скорее новость именно о свежеобнаруженной жертве). Интересно, что он пожаловался в NSO в 2020 году на то, что один из операторов (то есть клиентов компании) взломал его телефон в 2018 году. После этого его телефон заражали еще два раза, в июле 2020 года и июне 2021 года. Кто из клиентов NSO Group занимался взломом этого конкретного журналиста — неизвестно. Взлом происходил путем отправки сообщений в iMessage, которые использовали известные NSO уязвимости, чтобы взломать систему и доставить туда вредоносное ПО.

Отчет CitizenLab по конкретно этому взлому, с анализом оставшихся следов в файловой системе — по ссылке:
https://citizenlab.ca/2021/10/breaking-news-new-york-times-journalist-ben-hubbard-pegasus/

Биометрия в телефонах — штука, как известно, неоднозначная. Тем более, когда речь заходит о том, как к ней относятся правоохранительные органы. Собственно, я в канале уже как-то писал про то, что для судебной системы есть неопределенность между разблокировкой телефона паролем (который человек знает и может не разглашать, чтобы не свидетельствовать против себя), и разблокировкой пальцем (или лицом), которые формально у него как бы есть и всё (то есть это не хранящаяся в голове информация). Были какие-то судебные решения о том, что биометрию нельзя использовать для разблокировки устройств людей, которые находятся под следствием, но, очевидно, что это не тот еще легальный прецедент, чтобы это применялось повсюду. В частности, вот история о том, как подозреваемый в штурме Капитолия США 6 января 2021 года был арестован, а затем ФБР, вооруженная решением суда, разблокировала его Samsung S10 с использованием отпечатка пальца подозреваемого.

Конечно, отпечаток пальца или скан лица — это очень удобно, когда не надо вводить пароль (особенно когда пароль сложный и длинный). Но, как видите, есть и недостатки такого удобства. Не зря у некоторых телефонов есть возможности активации режима, когда он переходит в состояние блокировки, где можно только ввести пароль (например, на iPhone это одновременно нажать и подержать side/sleep и кнопку громкости вверх или вниз)

https://www.forbes.com/sites/thomasbrewster/2021/10/25/fbi-given-power-to-unlock-capitol-riot-suspect-phone-with-his-fingerprint/?sh=522915ae1da3

Гугл обещала пользователям WhatsApp бекапы такими формулировками, что можно было подумать, что бекапы будут шифрованными. Но нет, и Google знала об этом

https://twitter.com/PatrickMcGee_/status/1451632722791698432

Motherboard добыли интересный документ о том, как мобильные операторы в США сотрудничают с ФБР, поставляя им информацию по их запросам: информацию о местоположении пользователей, например. Или данные целиком с вышек мобильной связи, чтобы проанализировать, какие телефоны находились в определенное время в определенном месте. Информация об инструментах, которые используют в ФБР для анализа данных. Информация о том, какого типа данные и сколько они хранятся у мобильных операторов, и тд

https://propertyofthepeople.org/document-detail/?doc-id=21088576

Приложение Docket, которое позволяло жителям нескольких штатов в США (Нью-Джерси, Юта) загружать в телефон цифровые сертификаты о вакцинации от Ковид19. Правда, недокументированной функциональностью являлась фича, с помощью которой можно было загрузить не только свой паспорт вакцинации, но и чужой — включая персональную информацию, которая закодирована в QR-коде (имя, дата рождения, статус вакцинации, и тд). Удобно, конечно

https://techcrunch.com/2021/10/27/docket-vaccine-records-covid-security/

продолжая тему с вакцинацией и прочими ковидными штуками, тут вот непонятная история про возможную утечку приватных ключей для генерации сертификатов про Ковид в ЕС (вроде как только французские и польские сертификаты, но они работают в ЕС).

https://github.com/ehn-dcc-development/hcert-spec/discussions/105

Но больше всего доставил комментарий, на который указал читатель канала про сертификаты Гитлера, Спанжбоба Скверпентс и Микки Мауса
https://github.com/ehn-dcc-development/hcert-spec/discussions/105#discussioncomment-1551903

Вот еще ссылка на новость от читателя
https://nltimes.nl/2021/10/27/covid-access-pass-qr-code-issued-adolf-hitler-ministry-investigating

Блог-пост в Microsoft о том, как они обнаружили уязвимость в macOS, позволявшую злоумышленникам обойти SIP (System Integrity Protection) и выполнять действия на компьютере жертвы. SIP — технология, которая ограничивает возможности пользователя root от действий, нарушающих целостность системы. А уязвимость как раз заключалась в том, что установщик, подписанный Apple, запускал системный процесс, доверенный SIP. В итоге появлялась возможность запускать оболочку zsh, в рамках которой можно было выполнять команды из определенной директории.

https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/

Уязвимость была исправлена в macOS 11.6.1
https://support.apple.com/en-us/HT212872

с такой конкуренцией я не смогу тягаться

материал о новых функциях безопасности чипа Tensor, который разработала Google для Pixel 6. Это собственная разработка Google, и чип включает в себя дополнительный чип безопасности Titan M2, схожий с Secure Enclave у устройств Apple. Статья у Google обо всех изменениях безопасности в новых телефонах и как компания будет защищать данные пользователей в комбинации с улучшениями конфиденциальности Android 12

https://security.googleblog.com/2021/10/pixel-6-setting-new-standard-for-mobile.html

Интересный материал об идентификации участнисков группировки REvil, как минимум по версии немецких журналистов и немецкой полиции. Как обычно, дорогие машины, дорогая одежда, отпуска в Европе … с последним, думаю, теперь придётся осторожней

https://www.zeit.de/digital/internet/2021-10/ransomware-group-revil-member-hacker-russia-investigation

Исследователи из Кембриджского университета опубликовали технику незаметной подстановки вредоносного кода в рецензируемые исходные тексты. Подготовленный метод атаки (CVE-2021-42574) представлен под именем Trojan Source и базируется на формировании текста по разному выглядящего для компилятора/интерпретатора и человека, просматривающего код. Примеры применения метода продемонстрированы для различных компиляторов и интерпретаторов, поставляемых для языков C, C++ (gcc и clang), C#, JavaScript (Node.js), Java (OpenJDK 16), Rust, Go и Python.

https://opennet.ru/56083/

Расследуют официально. Интересно, опубликуют ли результаты расследования.

https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/

Воу, воу! Тут Фейсбук обьявил о том, что они закрывают свою программу распознавания лиц в социальной сети и удалят данные на миллиард человек (система позволяла распознавать лица людей на загружаемых в социальную сеть фото и видео).

Следующие новости: «Фейсбук закрывается», ждём!

https://about.fb.com/news/2021/11/update-on-use-of-face-recognition/

В пятницу в США стартовала программа, финансируемая правительством страны, в рамках которой телеком-компании должны удалить из своих сетей оборудование компаний ZTE и Huawei. Компании получат от правительства компенсацию и смогут потратить её на оборудование тех производителей, которые не считаются таковыми, что несут угрозу национальной безопасности. Участниками программы с компенсацией могут быть небольшие операторы с количеством абонентов не более 10млн человек.

https://www.bloomberg.com/news/newsletters/2021-11-01/u-s-telecoms-are-going-to-start-physically-removing-huawei-gear

BlackMatter, группировка, продававшая услуги Ransomware as a Service, объявила о своем закрытии (или "закрытии") — в связи с "давлением властей" и недоступностью участников группировки