ссылку на интересную лажу в iOS прислал читатель Андрей, за что ему спасибо. Якобы (я сам не проверял) если на телефон установить прошивку в режиме DFU, то система на загрузке попросит ввести пароль (что логично), но при этом у системы не будет активировано ограничение на 10 попыток, и, соответственно, количество попыток ввода пароля может быть неограниченным. Упс. Дальше дело техники и гигиены паролей: если у вас 4-значный цифровой пароль на телефоне, то даже вручную 10 тыс вариантов можно перебрать в течение суток, не говоря уже о том, что есть устройства, позволяющие существенно ускорить этот процесс. Короче, не зря Apple просит при настройке iPhone сделать пароль посложнее; в идеале — буквенно-цифровой, тогда этот метод не поможет злоумышленникам. А вообще лажа, да (хотя я бегло погуглил и что-то не заметил "активного обсуждения в сети", как утверждается в статье). Ну, если будет активно обсуждаться, что Apple, думаю, исправит эту проблему — они обычно на такие вещи достаточно оперативно реагируют. http://click-or-die.ru/2017/08/ios-vulnerable/

и говоря о безопасности смартфонов. На Арстехнике интересная статья про результаты исследования, в рамках которого специалисты продемонстрировали возможность захвата данных с экрана устройства после установки модифицированного экрана. Представьте себе, что вы разбили экран телефона, пришли его поменять в сервис, а вам там вместо разбитого экрана поставили новенький, целый, но со специальным чипом, который установлен между экраном и системой. и этот чип может собирать данные с экрана, в том числе логи с клавиатуры, даже устанавливать приложения и отправлять собранные данные злоумышленникам. концепт, конечно, но вообще стремно. в рамках этого исследования результат был продемонстрирован на устройствах с Android, но в статье говорится, что iOS тоже может быть уязвима к подобным атакам. лучше не разбивать экран, конечно. статья https://arstechnica.com/information-technology/2017/08/a-repair-shop-could-completely-hack-your-phone-and-you-wouldnt-know-it/, и сам отчет об исследовании https://iss.oy.ne.ro/Shattered.pdf

ну и в качестве пятничного юмора

и еще интересная ссылка от читателя Александра - о взломанных кошельках trezor https://medium.com/@Zero404Cool/trezor-security-glitches-reveal-your-private-keys-761eeab03ff8

Ну и вдогонку про кошелек trezor (как поправляет меня Дмитрий) - апдейт прошивки для кошелька https://blog.trezor.io/fixing-physical-memory-access-issue-in-trezor-2b9b46bb4522

Короче, про подбор паролей через DFU-восстановление iPhone — это, похоже, какое-то разводилово. нам пишут эксперты из компании Элкомсофт:

"Поменять прошивку без потери данных в DFU насколько я знаю нельзя, а только через iTunes (но для этого уже надо разлочить телефон). Похоже на грандиозный фейк, призванный собирать по $500 баксов с доверчивых покупателей :)"

так что, возможно, лажа никакая не лажа, а красиво закрафченное видео для того, чтобы лучше продавалась коробочка. Неудивительно, что больше нигде эта тема не обсуждается, только журналисты журнализдят друг у друга.

на выходных мы продолжали в кулуарах обсуждать тему с брутфорсом паролей на iPhone. Мне написал автор статьи на click-or-die, утверждая, что он сам все пробовал и у него работает. я мониторил прессу и другие источники, и на techcrunch вышла заметка о том, что якобы да, проблема такая существует, но в финальной версии iOS 11 будет исправлена (и якобы уже исправлена после беты 4). https://techcrunch.com/2017/08/18/a-bug-that-let-a-500-password-cracking-box-open-up-iphone-7-is-patched-as-of-ios-11/ Особых комментариев в традиционных security-источниках я как-то не встречал, только осторожные комментарии, что "возможно, это работает на какой-то конкретной комбинациии устройства и версии iOS, и продавец устройств хайпит тему, чтобы побыстрее продать то, что дальше работать не будет". Фраза в статье TechCrunch "нам Apple подтвердила" звучит весьма подозрительно, обычно Apple такие вещи особо не комментирует. Но при этом внезапно, всего лишь спустя неделю после beta 6, сегодня вышла iOS 11 beta 7, в которой, например, Apple могла бы действительно срочно исправить багу (если она существовала), хотя в релиз-ноте к бете я никаких упоминаний про пароли, dfu и восстановление не нашел. Короче, правда, какая-то мутноватая история, но в любом случае лучше не использовать простой 4-значный цифровой пароль, это вообще полезное правило гигиены паролей.

Б - Безопасность!

Пользователям i{Phone будет полезно знать, что, хотя их любимая платформа и считается более безопасной, но зачастую какие-то данные с телефона начинают сифонить вполне легитимные приложения. Последний скандал — с популярным погодным приложением Accuweather, которое, как оказалось, даже будучи в бекграунде, отправляло на revealmobile.com информацию о местоположении пользователя, информацию о WiFi-роутере, и состояние Bluetooth на данный момент. RevealMobile, конечно же, оказались какими-то рекламщиками, которые собирают данные о пользователях, а потом пытаются продавать эту информацию рекламодателям. "все анонимизировано, блаблабла", но осадок, как говорят, остается. Проблема-то больше в том, что погодное приложение запрашивает доступ к информации о местоположении пользователя под легитимным поводом — показывать правильно погоду и присылать апдейты, а в итоге данные утекают вообще неизвестно куда и непонятно, как на самом деле они потом будут использованы. RevealMobile уже выпустила заявление, что обновленная версия их SDK не будет отправлять данные, если пользователь открыто на это не согласился, но проблема в целом-то более глобальная и многие другие SDK могут делать точно так же, просто мы об этом пока не знаем. https://medium.com/@chronic_9612/advisory-accuweather-ios-app-sends-location-information-to-data-monetization-firm-83327c6a4870

а вот ребята из Лаборатории Касперского рассказывают об интересном трояне для Android, который мало того, что записывает звонки и загружает их на сервера злоумышленников, так еще и пытается воровать данные банковских карт, рисуя свои overlays поверх популярных приложений (в частности, как я понимаю, на скриншотах в статье речь идет о Яндекс.Такси). А в оверлее — поля для данных банковских карт, и оп-оп, данные ушли "куда надо". https://www.kaspersky.com/blog/faketoken-trojan-taxi/18002/

Кстати, о Касперском. Cyberscoop пишет, что ФБР в США уговаривает даже частные компании отказываться от использования продуктов ЛК (это после того, как было принято решение ограничить использование продуктов ЛК в госсекторе). Насколько я помню, у ЛК были достаточно большие планы на американский рынок, но теперь эти большие планы, видимо, накрылись большим медным тазом. Даже предложения Касперского предоставить исходный код продуктов для изучения не принесли результатов. https://www.cyberscoop.com/fbi-kaspersky-private-sector-briefings-yarovaya-laws/

тут появились какие-то слухи об очередной утечке базы данных юзеров Playstation Network, пока без подтверждения. но если что, то лучше все-таки активировать там 2FA, если еще не https://hotforsecurity.bitdefender.com/blog/sony-social-media-accounts-hijacked-as-hackers-claims-to-have-stolen-psn-database-18783.html#new_tab

кстати, о собирании данных и дальнейшей перепродаже их рекламодателям. Пока я был в отпуске, в этом действии засветился популярный VPN-сервис Hotspot Shield — на них подали жалобу в Федеральную Торговую Комиссию, которая должна расследовать поведение этого сервиса. Конечно же, руководство сервиса эти обвинения опровергает. https://www.grahamcluley.com/hotspot-shield-vpn-accused-logging-user-data-selling-advertisers/

несколько читателей уже прислали мне ссылку про интересную дыру в сервисе trello (которая вроде бы смахивает на фичу, но приводит к неприятным последствиям) — сервис оказался доступным через поиск в Google, что позволяет найти информацию о чужих проектах, которая не является общедоступной http://telegra.ph/Publichnye-doski-Trello-indeksiruyutsya-poiskovikami-08-23

И снова здравствуйте :) про вчерашнюю новость о Trello мне написали несколько человек, уточнив, что это всё-таки фича, а у досок есть опция приватности, поэтому просто надо быть внимательней при настройках. То есть как всегда виноват человеческий фактор

Мошенники рассылают письма с «билетами в США», распространяя таким образом троян Win32/PSW.Fareit для кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон успешно оплачен и его можно скачать по ссылке.

Перейдя по ссылке, пользователь может загрузить документ Microsoft Office, содержащий вредоносный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, стартует процесс заражения трояном PSW.Fareit.

Троян PSW.Fareit предназначен для кражи логинов и паролей, сохраненных в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird. Различные версии этой вредоносной программы известны с 2012 года, но она по-прежнему активно используется кибермошенниками.

Троян отправляет украденные пароли на удаленный сервер атакующих, а затем удаляется из системы, стирая все следы активности. Далее эти пароли могут быть использованы для взлома веб-сервисов пользователя.

А вот это крутой фишинг. Обратите внимание на домен, https и сертификат

И только я хотел сегодня написать "хорошие новости — в мире инфосека особо ничего страшного не происходит", как сегодня troy hunt, автор сайта haveibeenpwned.com, на котором публикуются многие утечки пользовательских баз данных с паролями, опубликовал там базу на 711 миллионов уникальных имейлов, которые были обнаружены в базе каких-то спамеров. Так что если вы подписаны на сервис haveibeenpwned.com, и ваш имейл адрес есть в базе, то вы получите соответствующее уведомление. в принципе, можно и проверить самому тут https://haveibeenpwned.com — это всегда полезно знать, в каких базах была утечка ваших пользовательских данных (да, в этом сайте вводить имейл безопасно, Трой Хант — известный чувак). О самой базе и её содержимом можно почитать тут https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/