Привет! Вначале редакция канала в лице меня отсутствовала, потому что был отпуск. А потом отсутствовала, потому что сломала ногу, и редакцию транспортировали с горы в больницу. Теперь редакция ожидает операцию на сломанном колене, поэтому апдейты канала могут быть не очень регулярными. А вообще, похоже, что беречь надо не только информацию, но и ноги (и руки, и голову, и все остальное). Так что пока что несколько ссылок по теме канала:
1. Ссылка от читателя Дениса о том, что некоторые Android-смартфоны приходят сразу с предустановленным вредоносным ПО. Причём это могут быть и телефоны известных марок, а установка ПО (софт, ворующий информацию, показывающий рекламу), а установка происходит где-то в цепочке поставки телефонов. А что, удобно, да. https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
1. Ссылка от читателя Дениса о том, что некоторые Android-смартфоны приходят сразу с предустановленным вредоносным ПО. Причём это могут быть и телефоны известных марок, а установка ПО (софт, ворующий информацию, показывающий рекламу), а установка происходит где-то в цепочке поставки телефонов. А что, удобно, да. https://arstechnica.com/security/2017/03/preinstalled-malware-targets-android-users-of-two-companies/
Ars Technica
Malware found preinstalled on 38 Android phones used by 2 companies
Malicious apps were surreptitiously added somewhere along the supply chain.
(Вдогонку к предыдущей ссылке - ссылка на оригинал отчета об этой прекрасной находке http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/)
Check Point Blog
Preinstalled Malware Targeting Mobile Users - Check Point Blog
Check Point mobile threat researchers recently detected a severe infection in 36 Android devices belonging to a large telecommunications company and a
Вот ещё тоже ссылка по теме, присланная читателем Сергеем (вообще скоро мне не надо будет ничего делать, только ссылки репостить) о том, как заражённые флешки используются как вектор атаки. Я как-то уже об этом писал, но повторить не помешает
Forwarded from запуск завтра
66% потерянных флешек содержат вирусы.
Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.
Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.
Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.
Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.
Зараженные флешки — мощный вектор атаки. Подкидываешь жертве флешку с вирусами и получаешь полный доступ к её компьютеру.
Такие зараженные флешки позволили проникнуть в защищенную сеть Пентагона (флешка на парковке). Их использовали для успешного проникновения в изолированную сеть иранской ядерной программы, где вирус повредил центрифуги для обогащения урана. Их регулярно разбрасывают около банков в ходе учений по ИБ.
Атаки бывают простые: вордовские документы с макросами и файлы фотки-из-отпуска.exe. Или сложные: специальные устройства (русская(!) вики, оригинальный пост) (там есть ссылки на видео доклада и pdf презентации 2014-го года(!)). Устройства выглядят как флешки, но при этом содержат дополнительные прошивки/драйверы для виртуальной клавиатуры или сетевого устройства. Они могут печатать на вашей клаве и перехватывать весь сетевой трафик. Вот, черт подери, пошаговая инструкция, как самому приготовить такую флешку.
Классный проект по защите от таких атак — программно-аппаратный комплекс из Raspberry Pi и софта. Получившийся мини-компьютер копирует все файлы с потенциально зараженной флешки на гарантированно чистую. Вирусы или аппаратные закладки остаются на оригинальном диске, на вашем — только чистые файлы в безопасных форматах.
И ещё ссылка от читателя Владимира, о том, как производитель "умных" вибраторов собирал информацию о пользователях, за это на него подали в суд и теперь он выплатит штраф. Думаю, таких историй в будущем будет очень много http://www.ixbt.com/news/2017/03/14/proizvoditel-umnyh-vibratorov-vyplatit-375-mln-za-sbor-konfidencialnyh-dannyh.html
iXBT.com
Производитель умных вибраторов выплатит $3,75 млн за сбор конфиденциальных данных
Около полугода продолжалось судебное разбирательство, в результате которого производитель умных вибраторов компания We-Vibe согласилась подписать мировое соглашение и выплатить 3,75 млн долларов за незаконный сбор конфиденциальных данных.
Накрутка юзеров и лайков - зло!Специалисты ESET обнаружили на Google Play 13 вредоносных приложений для кражи логинов и паролей Instagram. Количество загрузок превысило полтора миллиона.
Приложения использовали один и тот же способ сбора учетных данных. Они предлагали раскрутку аккаунтов в Instagram – быстрый рост числа подписчиков, лайков и комментариев.
После установки приложение запрашивает у пользователя логин и пароль от Instagram. Введенные данные отправляются на удаленный сервер мошенников в виде простого текста. При этом пользователь не сможет войти в учетную запись – приложение выводит на экран сообщение о неверном пароле.
В Instagram предусмотрено оповещение пользователей о несанкционированных попытках доступа. Чтобы авторизоваться во взломанной учетной записи, не вызывая подозрений, мошенники добавили в сообщение о неверном пароле предложение пройти верификацию аккаунта. Предполагается, что пользователь подтвердит «законность» действий злоумышленников.
В ESET отследили серверы, на которые поступали украденные логины и пароли, и связали их с сайтами, продающими услуги раскрутки аккаунтов в Instagram. Взломанные учетные записи использовались для распространения спама, а также «пакетной» продажи подписчиков, лайков и комментариев.
После предупреждения ESET вредоносное ПО было удалено из Google Play. Эксперты ESET рекомендуют пострадавшим сменить пароли от Instagram, а также от других сервисов, если пароль где-либо повторялся.
Приложения использовали один и тот же способ сбора учетных данных. Они предлагали раскрутку аккаунтов в Instagram – быстрый рост числа подписчиков, лайков и комментариев.
После установки приложение запрашивает у пользователя логин и пароль от Instagram. Введенные данные отправляются на удаленный сервер мошенников в виде простого текста. При этом пользователь не сможет войти в учетную запись – приложение выводит на экран сообщение о неверном пароле.
В Instagram предусмотрено оповещение пользователей о несанкционированных попытках доступа. Чтобы авторизоваться во взломанной учетной записи, не вызывая подозрений, мошенники добавили в сообщение о неверном пароле предложение пройти верификацию аккаунта. Предполагается, что пользователь подтвердит «законность» действий злоумышленников.
В ESET отследили серверы, на которые поступали украденные логины и пароли, и связали их с сайтами, продающими услуги раскрутки аккаунтов в Instagram. Взломанные учетные записи использовались для распространения спама, а также «пакетной» продажи подписчиков, лайков и комментариев.
После предупреждения ESET вредоносное ПО было удалено из Google Play. Эксперты ESET рекомендуют пострадавшим сменить пароли от Instagram, а также от других сервисов, если пароль где-либо повторялся.
Тут ещё советница президента Трампа ляпнула "за нами могут следить с помощью микроволновок!". По этому поводу у Wired статья о том, возможно ли на самом деле такое https://www.wired.com/2017/03/kellyanne-conway-microwave-spying/
Wired
Kellyanne Conway Wonders If a Microwave Can Spy On You. Spoiler: It Can't.
It's not coming from inside the house.
Я с этой поломанной ногой сильно отстал от кучи разных интересных новостей на тематику канала:
1. Утечка 33 миллионов персональных записей о гражданах США, включая информацию о военных, которая должна быть засекречена. Конечно же, mongoDB, 52ГБ записей, включая имя, фамилию, номер телефона, адрес, работу, возможный доход, и ещё много чего. Содержит информацию только об американцах. https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/ утечка произошла из сервиса NetProspex, принадлежащего компании Dun&Bradstreet, собирающей информацию о бизнесах и физлицах в США. Молодцы они, да.
2. Вторая и не менее важная ссылка ведёт на министерство юстиции США, где прямым текстом обвиняются российские хакеры и покрывавшие их офицеры ФСБ во взломе аккаунтов Yahoo, а также в несанкционированном доступе к информации банков, СМИ, политиков и многих других организаций в США, России и других странах. Традиционно поддержим скептиков "врут они все", и патриотов "молодцы наши, а!". Но это ещё явно не конец этой истории.
https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions
3. Вчера многие твиттер-аккаунты оказались взломанными и опубликовали твиты на турецком языке, называя некоторые европейские страны нацистскими. На самом деле взломали сторонний сервис Twitter Counter, через который добрались уже и до остальных аккаунтов. Так что лучшее, что вы можете сейчас сделать - это зайти в настройки Твиттера и убедиться, что ни у каких лишних приложений нет доступа к вашему аккаунту. Это можно сделать здесь https://mobile.twitter.com/settings/applications
1. Утечка 33 миллионов персональных записей о гражданах США, включая информацию о военных, которая должна быть засекречена. Конечно же, mongoDB, 52ГБ записей, включая имя, фамилию, номер телефона, адрес, работу, возможный доход, и ещё много чего. Содержит информацию только об американцах. https://www.troyhunt.com/weve-lost-control-of-our-personal-data-including-33m-netprospex-records/ утечка произошла из сервиса NetProspex, принадлежащего компании Dun&Bradstreet, собирающей информацию о бизнесах и физлицах в США. Молодцы они, да.
2. Вторая и не менее важная ссылка ведёт на министерство юстиции США, где прямым текстом обвиняются российские хакеры и покрывавшие их офицеры ФСБ во взломе аккаунтов Yahoo, а также в несанкционированном доступе к информации банков, СМИ, политиков и многих других организаций в США, России и других странах. Традиционно поддержим скептиков "врут они все", и патриотов "молодцы наши, а!". Но это ещё явно не конец этой истории.
https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions
3. Вчера многие твиттер-аккаунты оказались взломанными и опубликовали твиты на турецком языке, называя некоторые европейские страны нацистскими. На самом деле взломали сторонний сервис Twitter Counter, через который добрались уже и до остальных аккаунтов. Так что лучшее, что вы можете сейчас сделать - это зайти в настройки Твиттера и убедиться, что ни у каких лишних приложений нет доступа к вашему аккаунту. Это можно сделать здесь https://mobile.twitter.com/settings/applications
Troy Hunt
We’ve lost control of our personal data (including 33M NetProspex records)
Earlier this week, I read a really interesting piece on 3 things that need to be done to save the web. The first observation was that "we’ve lost control of our personal data" and the author went on to observe the following:
редакция этого канала в лице меня сделает попытку восстановить регулярные трансляции ужасов из мира информационной безопасности, особенно в свете того, что нога сломана и бежать мне особо некуда. по этому поводу расскажу вам интересную историю про мудака, который где-то в конце прошлого года послал через твитер журналисту издания Newsweek моргающую гифку. Журналист страдает эпилепсией (отправляющий знал это), и от просмотра этой гифки у него случился эпилептический приступ. анонимный твиттер-аккаунт, привязаный к припейд СИМ-карте — в общем, интернет-воин думал, что он себя обезопасил. Но оказалось, что его таки нашли. Суд еще только предстоит, но вообще в документах фигурирует обвинение "с целью убийства, нанесения травмы и запугивания", так что результат суда может оказаться неприятным для анонимного бойца интернета.
интересно же то, как его нашли. Полиция запросила у твиттера информацию о владельце аккаунта и получила номер телефона (там еще IP и проч, но это не так важно). Затем полиция пробила через оператора тот факт, что пользователь использовал iPhone 6. Поэтому еще один ордер суда позволил запросить у Apple, нет ли такого номера телефона, который был бы привязан к аккаунту iCloud. Бинго! Такой номер существовал, и был привязан уже более 5 лет к iCloud, что позволило идентифицировать нападающего. Ну а дальше арест и обыск содержимого на телефоне предоставил различные доказательства его вины. В общем, даже анонимная СИМка не спасает; только burner phones, только hardcore! По ссылке — материалы обвинения https://cdn2.vox-cdn.com/uploads/chorus_asset/file/8192819/rivello-complaint.0.pdf
интересно же то, как его нашли. Полиция запросила у твиттера информацию о владельце аккаунта и получила номер телефона (там еще IP и проч, но это не так важно). Затем полиция пробила через оператора тот факт, что пользователь использовал iPhone 6. Поэтому еще один ордер суда позволил запросить у Apple, нет ли такого номера телефона, который был бы привязан к аккаунту iCloud. Бинго! Такой номер существовал, и был привязан уже более 5 лет к iCloud, что позволило идентифицировать нападающего. Ну а дальше арест и обыск содержимого на телефоне предоставил различные доказательства его вины. В общем, даже анонимная СИМка не спасает; только burner phones, только hardcore! По ссылке — материалы обвинения https://cdn2.vox-cdn.com/uploads/chorus_asset/file/8192819/rivello-complaint.0.pdf
помните публикацию материалов ЦРУ на Wikileaks пару недель назад? вот первые цветочки: Cisco пишет, что у 318 моделей свичей может быть получен полный удаленный контроль над устройством после исполнения вредоносного кода https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp
Cisco
Cisco Security Advisory: Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
A vulnerability in the Cisco Cluster Management Protocol (CMP) processing code in Cisco IOS and Cisco IOS XE Software could allow an unauthenticated, remote attacker to cause a reload of an affected device or remotely execute code with elevated privileges.…
еще пара ссылок по теме канала:
1. на прошедшей на прошлой неделе прошла Pwn2Own, где соревнуются хакеры по взлому различных устройств. самый впечатляющий взлом — это взлом браузера Edge, который работал в виртуальной машине, а затем выход из пространства виртуальной машины и захват основного хоста. приз — 105 тыс долл. https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/
2. уязвимость в популярном софте для форумов vBulletin позволила взломать 140 форумов и украсть данные на 942 тыс пользователей (юзернеймы, имейлы и hashed пароли) https://www.troyhunt.com/i-just-added-another-140-data-breaches-to-have-i-been-pwned/
1. на прошедшей на прошлой неделе прошла Pwn2Own, где соревнуются хакеры по взлому различных устройств. самый впечатляющий взлом — это взлом браузера Edge, который работал в виртуальной машине, а затем выход из пространства виртуальной машины и захват основного хоста. приз — 105 тыс долл. https://arstechnica.com/security/2017/03/hack-that-escapes-vm-by-exploiting-edge-browser-fetches-105000-at-pwn2own/
2. уязвимость в популярном софте для форумов vBulletin позволила взломать 140 форумов и украсть данные на 942 тыс пользователей (юзернеймы, имейлы и hashed пароли) https://www.troyhunt.com/i-just-added-another-140-data-breaches-to-have-i-been-pwned/
Ars Technica
Virtual machine escape fetches $105,000 at Pwn2Own hacking contest [updated]
Hack worked by stitching together three separate exploits.
И вдогонку еще пара ссылок:
1. от читателя Марка, хороший обзор опасностей, которые подстерегают пользователей различной "умной" электроники из мира IoT (на русском, в хорошем изложении). тут и про инструменты для взлома IoT-устройств, и про телодвижения регулирующих органов, которые пытаются взять эту отрасль под контроль, и как вам, как пользователю, можно обезопасить себя при использовании IoT-гаджетов https://apparat.cc/world/internet-of-things/
2. и еще ссылка от Дениса о том, как американская Федеральная Комиссия по Коммуникациям собирается провернуть всех пользователей на одном там органе и оставить их наедине с корпорациями в борьбе по защите своих личных данных. в статье есть хороший пример о том, что ничто не остановит, например, интернет-провайдеров делиться со своими партнерами (например, компаниями, которым нужна информация о ваших интересах) о том, что вы ходили по сайтам какой-то определенной тематики. конечно, для тех, кто живет не в америке, это не так актуально, но вообще эти тренды имеют тенденцию распространяться... https://www.engadget.com/2017/03/17/fcc-your-cybersecurity-isnt-our-problem/?sr_source=Twitter
1. от читателя Марка, хороший обзор опасностей, которые подстерегают пользователей различной "умной" электроники из мира IoT (на русском, в хорошем изложении). тут и про инструменты для взлома IoT-устройств, и про телодвижения регулирующих органов, которые пытаются взять эту отрасль под контроль, и как вам, как пользователю, можно обезопасить себя при использовании IoT-гаджетов https://apparat.cc/world/internet-of-things/
2. и еще ссылка от Дениса о том, как американская Федеральная Комиссия по Коммуникациям собирается провернуть всех пользователей на одном там органе и оставить их наедине с корпорациями в борьбе по защите своих личных данных. в статье есть хороший пример о том, что ничто не остановит, например, интернет-провайдеров делиться со своими партнерами (например, компаниями, которым нужна информация о ваших интересах) о том, что вы ходили по сайтам какой-то определенной тематики. конечно, для тех, кто живет не в америке, это не так актуально, но вообще эти тренды имеют тенденцию распространяться... https://www.engadget.com/2017/03/17/fcc-your-cybersecurity-isnt-our-problem/?sr_source=Twitter
Apparat
Опасные предметы: кто и зачем взламывает интернет вещей и как с этим быть
Internet of things или IoT — огромное пространство предметов, о подключении которых к сети всего несколько лет назад трудно было и помыслить. Порой это довольно бесполезные — и потому кажущиеся совершенно безопасными — вещи. Большинство пользователей не ассоциирует…
Гутенморген! С утра только "хорошие" новости. Некая группа хакеров под названием Turkish Crime Family требует у Apple выкуп в 75 тысяч долларов, а иначе 200 (а то и 300, а то и 559) миллионов iPhone 7 апреля будут удаленно очищены. Хакеры предоставили СМИ переписку с командой безопасности Apple, и даже показали видео, на котором они вроде как в один из таких телефонов вламываются и могут просматривать фотографии в iCloud этого аккаунта. Вся эта история выглядит достаточно мутно, конечно, но перестраховаться и сделать локальный бекап на компьютер, наверно, не помешает https://motherboard.vice.com/en_us/article/hackers-we-will-remotely-wipe-iphones-unless-apple-pays-ransom?utm_source=vicefbus
Motherboard
Hackers: We Will Remotely Wipe iPhones Unless Apple Pays Ransom
“I just want my money,” one of the hackers said.
а вот еще интересная тема. вы думали, что джейлбрейк бывает только у телефонов? как насчет джейлбрейка у тракторов? Производитель тракторов John Deere в прошлом году ввел драконские меры, в рамках которых фермерам запрещено делать какие-либо ремонты в технике компании. Все ремонты должны производиться официальными сервисными центрами компании. Контролируются эти ограничения с помощью программного обеспечения — после любого ремонта трактор надо перепрошивать авторизованным ПО для того, чтобы, например, новая коробка передач заработала, иначе трактор просто не выедет из сервиса. Фермеры, конечно, взвыли, потому что официальный сервис - это и дорого, и зачастую долго. Украинские хакеры спешат на помощь! На форумах для фермеров можно купить взломанное ПО для тракторов JD, которое позволяет обходить защиту компании, и осуществлять ремонт техники (обновлять прошивку, снимать лимит скорости, делать сбросы ошибок и проч). На самом деле эта проблема более глобальная, чем просто украинские хакеры и JD. По мере компьютеризации техники (не только тракторов, но и автомобилей) возникает вопрос о том, являетесь ли вы на самом деле владельцем этого автомобиля, или же производитель дает вам им попользоваться (потому что одно дело — владеть просто двигателем и коробкой передач в простом автомобиле 50-летней давности, и совсем другое — это миллионы строк программного кода, который обеспечивает работу современного автомобиля, которые производитель как бы "лицензирует" вам для временного использования). Проблема пока что обсуждается и однозначного решения у нее нет. https://motherboard.vice.com/en_us/article/why-american-farmers-are-hacking-their-tractors-with-ukrainian-firmware
VICE
Why American Farmers Are Hacking Their Tractors With Ukrainian Firmware
A dive into the thriving black market of John Deere tractor hacking.
кстати, вдогонку к этой истории https://t.me/alexmakus/1032 — большое жюри присяжных на этой неделе приравняли GIF к "смертельному оружию", и чувак, пославший её журналисту, видимо, сядет надолго. Конечно, к гифкам с котиками это не относится.
Telegram
Информация опасносте
редакция этого канала в лице меня сделает попытку восстановить регулярные трансляции ужасов из мира информационной безопасности, особенно в свете того, что нога сломана и бежать мне особо некуда. по этому поводу расскажу вам интересную историю про мудака…
Дратути! Вдогонку ко вчерашней новости про хакеров, шантажирующих Apple массовым удалением iCloud-аккаунтов (https://t.me/alexmakus/1036). Apple в заявлении СМИ заявила, что их систему никто не взламывал, а пользовательские учетки iCloud находятся в безопасности. Однако, для тех пользователей, у кого есть re-use логинов-паролей из других сервисов, где произошли утечки (LinkedIn, Yahoo, и проч), сохраняется риск того, что к их индивидуальным аккаунтам может быть получен доступ злоумышленниками. Так что уникальный пароль и двухфакторная авторизация спасут вас! http://fortune.com/2017/03/22/apple-iphone-hacker-ransom/
Telegram
Информация опасносте
Гутенморген! С утра только "хорошие" новости. Некая группа хакеров под названием Turkish Crime Family требует у Apple выкуп в 75 тысяч долларов, а иначе 200 (а то и 300, а то и 559) миллионов iPhone 7 апреля будут удаленно очищены. Хакеры предоставили СМИ…
а Wikileaks сегодня опубликовала несколько документов из в свое время утекших из ЦРУ, где рассказывается о нескольких проектах о доступе к данным на Маках и iPhone. Например, проект "DarkMatter" методом внедрения в EFI устанавливает софт "NightSkies" для перехвата ввода с клавиатуры. DarkSeaSkies, устанавливаемый с флешки, использует уязвимость Thunderbolt, которая была исправлена в 2015 году. Nightskies — это некий физический имплант, который внедряется в телефон жертвы. Der Starke — еще один метод заражения компьютера через EFI, живущий в EFI. Судя по документации, затрагивает машины с 2010 по 2013 год, хотя там есть и документы о том, что вплоть до 2016 года ЦРУ разрабатывала следующую версию этого ПО для внедрения. В любом случае, хорошие новости заключаются в том, что речь пока что идет не об удаленных эксплойтах, а о локальных атаках, когда у сотрудников ЦРУ уже есть доступ к технике. так что можно пока выдыхать https://wikileaks.org/vault7/darkmatter/
совсем забыл, что тут мне какое-то время назад читатель Вячеслав прислал ссылку на интересный новый троян для Маков под названием Proton. Малварь достаточно мощная, но усиливает эффект тот факт, что она еще и подписана настоящим девелоперским сертификатом https://www.cybersixgill.com/proton-a-new-mac-os-rat/
Sixgill
Proton - A New MAC OS RAT
A new malware for MAC OS has been discovered by Sixgill cyber researchers.
а если вы пользуетесь LastPass, то лучше проапдейтиться до последней версии, потому что у них там обнаружили уязвимость, которая позволяла злоумышленникам перехватывать пароли в расширении для браузера https://bugs.chromium.org/p/project-zero/issues/detail?id=1209
Сегодня у нас тоже день фоллов-аппов к предыдущим новостям. Я писал вчера про то, что wikileaks там выложила информацию из утечки ЦРУ. Apple ответила на публикацию этой информации тем, что а) уязвимость с iPhone существовала только в версии iPhone 3G и была исправлена в 2008 году. Все уязвимости Маков, которые там фигурировали, исправлены в всех Маках, выпущенных после 2013 года