Фейковый апдейт WhatsApp в Google Play, с юникодным пробелом в имени разработчика. Миллион закачек https://www.reddit.com/r/Android/comments/7ahujw/psa_two_different_developers_under_the_same_name/

Если немного глубже копнуть... в App Store такого нет. И в этом айфон отстаёт от андроида

кстати, нам тут пишут из Эстонии, поправляют про то, что у них там с картами происходит:

Привет. С одной стороны, перевыпуск карт не планируется — для существующих надо только поменять сертификат удалённо или в полиции (при генерации нового сертификата не будет использоваться проблемный блок). То есть, сами карты не заблокированы, а только существующие сертификаты на них. Для новых же карт налаживается этот самый перезапуск.

Вот фрагмент письма от полиции, например:
Уважаемый владелец ID-карты, digi-ID или карты вида на жительство!

Решением генерального директора Департамента полиции и погранохраны от 2 ноября 2017 года за номером 15.2-9/277-1 необновленные сертификаты вашего документа приостановлены начиная с 3 ноября 2017 года.

С приостановленными сертификатами у вас нет возможности пользоваться э-услугами или ставить цифровую подпись до того, как вы обновите сертификаты. Начиная с 6 ноября 2017 года до 31 марта 2018 года вы можете обновить сертификаты в своем компьютере дистанционно либо на месте в бюро обслуживания Департамента полиции и погранохраны.

Начиная с 1 апреля необновленные сертификаты будут аннулированы, для дигитального использования надо будет ходатайствовать в Департаменте полиции и погранохраны новую ID-карту.

В новостях всплыла новость про дешёвую клавиатуру на Алибабе, в которую якобы разу встроен кейлоггер. Такие сенсационные новости расходятся гораздо лучше, чем их опровержения, но вот я постараюсь исправить - в апдейте к статье оказалось, что отправляются не нажатые кнопки, а количество нажатий.

Updated, 11/7/2017, 8:40am PT: An earlier version of the article stated that the keyboard's software was sending key presses. However, in a closer look, it seems that the Cloud Driver software doesn't send the key presses to the Alibaba server but only how many times each key has been pressed.

Такая вот сенсация, что, впрочем, не мешает завтра появиться и клавиатуре с кейлоггером, так что вы там осторожно покупайте что попало
http://www.tomshardware.com/news/mantistek-gk2-collects-typed-keys,35850.html

Тут разворачивается очередная история с ФБР и зашифрованным айфоном. Террорист, расстрелявший 26 человек в церкви в Техасе, оказался владельцем айфона, защищённого Touch ID, и ФБР тут же обвинила шифрование данных в препятствии расследованию (https://www.theverge.com/2017/11/7/16618992/fbi-texas-church-shooting-encryption). А Reuters сегодня опубликовала статью о том, что ФБР не запросила вовремя помощь у Apple, и там упоминается, что якобы в течение 48 часов можно было попробовать разблокировать телефон пальцем убитого террориста. Там, похоже, зависит от того, как давно и как человек умер или погиб, но в некоторых ситуациях приложенный палец трупа может разблокировать телефон с Touch ID (https://www.cnbc.com/2017/11/08/the-fbi-may-have-lost-critical-time-unlocking-texas-shooters-iphone.html) а Apple в свою очередь подтвердила (https://twitter.com/JohnPaczkowski/status/928404789578293248), что компания вызвалась сразу помочь ФБР, но ФБР не воспользовалась предложением, так как рассчитывала воспользоваться навыками своих специалистов. Короче, тот ещё бардак, и как бы сейчас не началось опять «сделайте нам бэкдор»

У драмы с ФБР и айфоном техасского стрелка внезапно появилось продолжение. Хотя, впрочем, вполне ожидаемо. Американское министерство юстиции заявило, что шифрование данных - это плохо, и оно стоит людям жизней, а правоохранительные органы должны иметь возможность получить доступ к данным на телефоне преступника. Как бы опять не началось все то же самое, как было с ФБР полтора года назад, где ФБР требовала от Apple написать кастомную iOS для телефона стрелка из Сан Бернардино. Тогда, к счастью, обошлось. Сейчас времена немного другие, неизвестно, как оно повернётся ещё. http://www.washingtonexaminer.com/rod-rosenstein-criticizes-tech-companies-for-phone-encryption/article/2640147

И об опасностях, которые вас подстерегают. Например, Ethernet кабель со скрытым микрофоном

Или разъём USB с gsm-трекингом. Никому нельзя верить, никому

когда ваша персональная информация опасносте — как суды могут опубликовать ваши персональные данные без вашего разрешения: https://t.me/PlushevChannel/1423

Продолжая тему шифрования устройств и бэкдоров. вот тут издание, пересказывая Арстехнику, пишет:

Первый заместитель генпрокурора США Род Розенштейн считает, что шифрование, к которому власти не будут иметь специального ключа, вредит национальной безопасности. Американские правоохранители, кажется, начинают терять терпение в общении с ИТ-компаниями, пишет ArsTechnica.

Род Розенштейн, первый заместитель генпрокурора США, в недавнем интервью Politico Pro подробно изложил позицию министерства юстиции относительно шифрования. По его мнению, оно не должно стать инструментом в руках преступников для ухода от правосудия.

https://hightech.fm/2017/11/13/strong-encryption

У меня, честно говоря, от таких заявлений руки опускаются. Потому что нихрена они там не понимают рисков, связанных с наличием "специального ключа" и не учатся на своих же ошибках. Они думают, что если у них будет такой "специальный ключ", то он будет только у них, и никуда он не утечет. Как вообще об этом можно говорить, когда чуть ли не каждую неделю Wikileaks выкладывает очередной архив то инструментов NSA, то инструментов ЦРУ, которые используют эти организации для ведения киберборьбы с другими странами и злоумышленниками? Вон буквально на прошлой неделе WL опубликовали исходники и документацию по Hive в рамках релиза Vault 8, из которого в том числе выяснилось, что инструменты подписывались фальшивыми сертификатами, прикидываясь программами Лаборатории Касперского. Поэтому я уверен, что если начнется очередной виток напряженности между министерством юстиции и компанией вроде Apple, то повторится та же история, что полтора года назад.

Тогда, напомню, ФБР хотела, чтобы Apple написала специальную версию iOS для iPhone террориста, которая бы облегчила ФБР процесс подбора пароля для устройства. В итоге все закончилось тем, что израильская компания Cellebrite, специализирующаяся на взломе мобильных устройств, обнаружила уязвимость в iOS (какую — мы до сих пор не знаем, но якобы к новым устройствам и новым версиям iOS она не может быть применена), и смогла получить доступ к данным на устройстве, поэтому ФБР отстала от Apple. Более того, на устройстве еще и никакой полезной информации не было обнаружено, а шуму-то было. я тогда написал пост о том, какие последствия может вызвать для всех нас наличие такого "специального ключа" (а по сути — бэкдора, надо называть вещи своими именами), и с тех пор ничего не поменялось.
https://alexmak.net/blog/2016/02/19/implications/

Тут у New York Times как раз вышла большая статья о последствиях для NSA от утечек, которые публикуют Shadow Brokers. Если вкратце - ничего хорошего https://www.nytimes.com/2017/11/12/us/nsa-shadow-brokers.html

Некие вьетнамцы из компании Bkav утверждают, что им удалось обмануть Face ID с помощью маски, которую они собрали из каких-то подручных материалов и участков, напечатанных на 3Д принтере. Вот страница, где они рассказывают о своём достижении, там же есть видео с демонстрацией
http://www.bkav.com/d/top-news/-/view_content/content/103968/face-id-beaten-by-mask-not-an-effective-security-measure

Прежде чем паниковать и утверждать, что «эпол опять всех нажучила с рассказами про безопасность Face ID”, стоит сделать глубокий вдох и выдох. Во-первых, там есть какой-то скользкий момент на видео, когда маска разблокирует айфон, не видно анимации замочка, показывающего разблокировку от Face ID. Во-вторых, непонятен процесс производства такой маски - как нужно, например, сканировать лицо, чтобы такую маску воспроизвести. Вряд ли её можно сделать по фотографии. В-третьих, стоит дождаться независимой экспертизы от экспертов по безопасности, которые проанализируют детально процесс производства маски и взлома, чтобы оценить, нет ли там какого-то обмана. В-четвёртых, когда впервые появился Touch ID, тоже были демонстрации концептов по обману сканера отпечатка пальца, но это не остановило пользователей и не привело к массовым взломам сканеров отпечатков. И в-пятых, Face ID использует в том числе и машинное обучение, что означает, что в будущем механизм распознавания будет становиться лучше, поэтому даже если сейчас вьетнамцы нашли какую-то хитрость для обмана датчика, то в будущем эту хитрость вполне можно будет и элиминировать. Ну и главное - идеальных систем защиты не существует, да и Apple не обещала 100% защиты. У всех систем есть своя цена взлома, и если кто-то заморочится над печатью вашего лица в 3Д, предварительно его просканировав, да ещё и заполучив физический доступ к вашему устройству, то у вас наверняка гораздо большие проблемы, чем уязвимость у Face ID. Так что берегите там себя!

Мне тут ещё подсказывают, что «там могло быть все проще, они обучили просто faceid этой маске вместе с лицом человека». Помните, что в интернете нельзя никому верить!

храните пароли в оффлайне, говорили они...

Организация Which?, занимающаяся правами потребителей в Великобритании, представила отчет, в котором назвала «умные игрушки» опасными для детей. По данным Which?, игрушки с Bluetooth, Wi-Fi и мобильными приложениями плохо защищены от сторонних вмешательств. В организации уверены, что к такой игрушке может подключиться кто угодно. Если в девайс встроен микрофон и динамик, то преступники (например, педофилы или воры) могут войти в контакт с ребенком и использовать несовершеннолетнего в своих интересах.

https://www.which.co.uk/news/2017/11/safety-alert-see-how-easy-it-is-for-almost-anyone-to-hack-your-childs-connected-toys/

Среди игрушек, которые Which? считает небезопасными, есть знаменитые куклы Furby Connect, роботы i-Que и животные Cloudpets.

По словам Алекса Нилла, занимающегося в Which? домашними продуктами и сервисами, игрушки с беспроводной связью становятся все более популярными. Родители детей должны подумать перед покупкой, смогут ли они обеспечить безопасность своего ребенка, если производитель с этой задачей не справился.

Представитель компании Hasbro (производитель Furby Connect) сказал, что специалисты Which? могли проводить свое исследование «в очень специфичных условиях», требующих серьезной инженерной и технической подготовки, которая, чаще всего, отсутствует у предполагаемых мошенников.

От себя хочу добавить, что в Хасбро какие-то упоротые чуваки сидят, если они на самом деле считают, что такие взломы требуют особой подготовки. Вся информация о подобных уязвимостях и взломах тут же становится доступной в сети и зачастую в виде готовых инструментов. Подобные уходы в отказ только еще больше вредят и производителям, и пользователям.

Вот где страшно - эксперты из министерства национальной безопасности удаленно взломали и проникли в системы Боинга 757, стоящего в аэропорту. Детали взлома и доступ к каким именно системам был получен, разумеется, не разглашаются, но звучит это всё довольно таки стремно. http://www.aviationtoday.com/2017/11/08/boeing-757-testing-shows-airplanes-vulnerable-hacking-dhs-says/

Как говорят американцы, oldie but goodie, то есть старая история, но сильно хорошая. Вчера случайно наткнулся на рассказ о том, как ещё во времена СССР доблестные шпионы смогли внедрить снималку электромагнитных импульсов в новые печатные машинки IBM. С помощью этих снималок они могли получать информацию о положении шарика машинки (там крутая технология была придумана для печати), и расшифровывать набираемые тексты. Вот такая информация опасносте ещё в эпоху до массовой оцифровизации всего

https://arstechnica.com/information-technology/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/

Читатель Михаил послал мне в твиттер универсальный ключ для разблокировки любого устройства и любого приложения

Лаборатория Касперского выложила отчёт о своём расследовании истории из 2014 года, когда с компьютера подрядчика Агентства Национальной Безопасности были украдены (очевидно, русскими хакерами) секретные инструменты и документация Агентства. Есть хорошие новости и плохие. Во-первых, подрядчик сам идиот, и на его компьютере было обнаружено более 120 всяких зараженных файлов, а также бэкдор, через который, видимо, и влезли злоумышленники. Во-вторых, то, что информация с компьютера подрядчика попала на сервера ЛК - это ожидаемое поведение антивируса компании, которая таким образом анализирует обнаруженные угрозы. И в третих, это поведение описано в пользовательском соглашении. Однако, плохая новость тоже в этом заключается: используя продукты ЛК, будьте готовы к тому, что ваши файлы будут скачаны с компьютера на сервера компании, и если вас это не устраивает - не пользуйтесь продукцией ЛК.
Полностью отчёт можно прочитать тут https://securelist.com/investigation-report-for-the-september-2014-equation-malware-detection-incident-in-the-us/83210/

Меня тут ревностно поправляют доблестные сотрудники Лаборатории Касперского, что «не пользуйтесь» продуктами - это слишком радикальное предложение, тем более, что и конкуренты тоже подобными вещами занимаются. Достаточно в настройках отключить опцию отправки подозрительных файлов в облако. Так что отключайте и берегите там себя :)