брутфорс отпечатка пальца на Андроиде

https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/

несколько ссылок с новостями прошлой недели, до которых не дошли руки вовремя:

- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets

- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784

- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/

GitLab has released an emergency security update, version 16.0.1, to address a maximum severity (CVSS v3.1 score: 10.0) path traversal flaw tracked as CVE-2023-2825.

не так то часто вижу уязвимости с 10.0

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

сотрудники ТикТока пересылали друг другу пользовательские данные — водительские удостоверения, адреса, фото

https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html

VPN хорошо, а бесплатный VPN, казалось бы, лучше. Пока не случится неизбежное — например, сервис SuperVPN допустил утечку 360 млн записей своих пользователей — имейлы, оригинальные IP адреса, данные геолокации, данные об использовании сервиса.

https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/

популярное приложение в Google Play начало втихаря регулярно включать микрофон, записывать сегменты с голосом пользователей, и заливать записи в облако.

https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/

Хороший материал от Wired о том, как в Евросоюзе точат ножи на сквозное шифрование переписки и других коммуникаций, и очень хотят его запретить

https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/

История из рубрики “преступление и наказание”.
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
https://t.me/alexmakus/2586

компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring

https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/

миллионы материнок Gigabyte продавались с бэкдором в прошивке. Производитель, скорей всего, оставил его для обновления прошивок, но имплементация оказалась небезопасной и позволяла злоумышленникам использовать её во вредоносных целях

https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

фсб рф утверждает, что якобы агентство национальной безопасности США использовало неизвестное вредоносное ПО для доступа в iOS через уязвимости системы. причем “предусмотренные производителем программные уязвимости.”  — то есть бэкдоры. доказательств, разумеется, фсб рф не предоставили.

https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html

Июньское обновление безопасности для Android — исправление 56 уязвимостей, включая 5 критичных, и одной, которая была в активной эксплуатации

https://source.android.com/docs/security/bulletin/2023-06-01

Также апдейт для Chrome с фиксами трех уязвимостей, из которых как минимум одна эксплуатировалась

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html

вдогонку к истории про уязвимость в iOS, которую обнаружили в ЛК (которая очень похожа на то, что делала Pegasus, а также фсб рф, кажется, объявила бекдором)

https://securelist.com/operation-triangulation/109842/

компания выпустила утилиту, которая проверяет телефон на предмет обнаружения возможных последствий.

https://securelist.com/find-the-triangulation-utility/109867/

прикольная фича в свежеобъявленных версиях операционных систем Apple — браузер будет автоматически отрезать трекинг-часть ссылки в таких штуках
www.examplewebsite.com/top10vacationdestinations?clickId=d77_62jkls

Большой Брат выехал на патрулирование

окей, сейчас будет несколько ссылок, накопившихся за последние пару дней — чтобы не откладывать в длинный ящик

например, вот

Проукраинские хактивисты Cyber Anarchy Squad заявили, что они атаковали систему российского интернет-провайдера «Инфотел», потенциально поставив под угрозу работоспособность финансовой системы российских банков.
«Инфотел» не работает с 8 июня, и на данный момент сайт компании все еще недоступен. Хактивисты утверждают, что до того, как нанести ущерб «Инфотел», они украли конфиденциальные данные компании.

https://www.securitylab.ru/news/538863.php
https://ioda.inetintel.cc.gatech.edu/asn/8299?from=1686098358&until=1686443958

Shell оставил открытой базу данных клиентов компании, которые пользуются зарядными станциями электромобилей. Ну понятно, потому что раз не пользуются нефтепродуктами — пиявки, а не клиенты

https://techcrunch.com/2023/06/09/shell-recharge-security-lapse-exposed-drivers-data/

Роскомнадзор вот это вот все это
https://t.me/rkn_tg/590

Производитель сетевого оборудования Barracuda призывает своих клиентов заменить оборудование, в котором обнаружены уязвимости
https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/