а для пользователей Android у меня есть плохие новости каждый день: Check Point тут рассказывает про malware HummingBad, 10 млн зараженных устройств, 300 тыс долларов в месяц заработка. Клево устроились http://blog.checkpoint.com/2016/07/01/from-hummingbad-to-worse-new-in-depth-details-and-analysis-of-the-hummingbad-andriod-malware-campaign/

и снова здравствуйте. Канал плохих новостей, как всегда, спешит порадовать вас. Например, всплыла база хакнутого несколько лет назад сайта Neopets — сайта с "виртуальными питомцами". 27 млн записей, включая имейлы и пароли (которые к тому же хранились в plain text — FACEPALM!) https://haveibeenpwned.com/PwnedWebsites#Neopets

иногда сложно бывает объяснить, почему Apple с ее вертикальной интеграцией софта и железа все-таки лучше зоопарка Android. Я недавно писал про то, как научились дешифровывать зашифрованное содержимое памяти у Android-устройств, используя особенности интеграции ОС с чипами Qualcomm. Там, грубо говоря, получается такая ситуация, что устройства с Android и чипами Qualcomm хранят ключи дешифрации диска в памяти устройства, что делает их уязвимыми для целеустремленных личностей. Так вот, а Qualcomm отбивается, утверждая, что еще в 2014 году об этом сообщили в Google, и даже передали им туда патчи. Но только вот эти патчи так и не дошли до Android OEM-ов, и устройства в итоге остались уязвимыми. Такой вот зоопарк.

а вот интересная какая штука. исследование, в рамках которого авторы этого исследования придумали алгоритм, с помощью которого они могут с 80% точностью определять введенные на клавиатуре цифры (например, PIN-код банкомата) по данным, снимаемым с датчиков носимых устройств. это, понятное дело, пока чисто исследование, но с популяризацией всех этих подключенных к интернету гаджетов — трекеров, умных часов и тд — обязательно появятся какие-нибудь зловредные программы, которые попытаются и таким образом добыть информацию о вас. https://www.semanticscholar.org/paper/Friend-or-Foe-Your-Wearable-Devices-Reveal-Your-Wang-Guo/e867c843844a46d35434f01855d10d9738757037

шифрованные чатики в FB https://fbnewsroomus.files.wordpress.com/2016/07/secret_conversations_whitepaper.pdf

Нееее, ну тогда, конечно, все нормально

Например, кто-то настойчиво пытался зайти на огонек в мой аккаунт LinkedIn, причем старый (там указан не тот имейл, что в актуальной учётке). А все потому что password reuse — есть тулзы, в которые прямо подключаются утекшие базы юзеров, указывается сервис, и пошел перебор вариантов с логинами-паролями. Так что берегите там себя (традиционно)

И о покемонах! (Кто бы мог подумать, что это актуально и здесь). На Android приложение просит столько прав, что это становится несколько некомфортно.

особенно вот в соглашении эта часть хороша — Nintendo может предоставлять информацию о пользователях. Учитывая доступ к локации и микрофону, та же ФБР может получить много нужной им информации, получив ордер и заручившись поддержкой Nintendo: …to government or law enforcement officials or private parties as we, in our sole discretion, believe necessary or appropriate: (a) to respond to claims, legal process (including subpoenas); (b) to protect our property, rights, and safety and the property, rights, and safety of a third party or the public in general; and (c) to identify and stop any activity that we consider illegal, unethical, or legally actionable activity.

а поскольку приложение доступно пока что только в трех странах, то, разумеется, APK для Android появились уже где попало. Сюрприз! (На самом деле нет, конечно) — уже есть APK с трояном https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app

ну и еще, когда вы там через Google будете логиниться, учтите, что у вас там получат полный доступ к Google Account

When you grant full account access, the application can see and modify nearly all information in your Google Account

This “Full account access” privilege should only be granted to applications you fully trust, and which are installed on your personal computer, phone, or tablet.

Ну то есть, чтобы вы понимали, full access означает не только читать вашу почту, но и отправлять вашу почту, читать ваши документы на Google drive, просматривать вашу историю поиска, смотреть фотографии в Google Photos, и тд. Зачем это приложению Pokemon GO — непонятно

и снова здравствуйте! Если вдруг вы скучали по теме покемонов, то вот вам, вдогонку о вчерашнем. Короче, там с этой темой про полный доступ к Google аккаунту у приложения все мутно. Google вроде как заявила, что у Pokemon GO нет доступа к почте, и обещала исправить это дело. А CNN потом написали, что все-таки доступ к почте есть. Во всем обвинили, как обычно, программистов —"Coding error", знаете ли. http://money.cnn.com/2016/07/11/technology/pokemon-go-coding-error-emails/index.html

Вот есть более детальное техническое исследование про токен, который получает Pokemon Go от Google. Там говорится, что напрямую токен, который получает Niantic, не дает возможности читать почту и календарь пользователя. Но с помощью недокументированного механизма обмена токена его можно действительно "проапгрейдить" до полноценного механизма доступа ко всем сервисам Google https://gist.github.com/arirubinstein/fd5453537436a8757266f908c3e41538

кстати, о гитхабе. Вот вам, например, тулзовина, которая умеет проверять совпадение "утекших" паролей на 5 популярных сервисах — FB, Twitter, Reddit, LinkedIn и Instagram. Писать свои модули для других сайтов тоже вроде как несложно. reuse паролей — зло, я не устану это повторять https://github.com/philwantsfish/shard