Несколько читателей прислали ссылку на Тжурнал, где пишут про приключения в эпоху GetContact (софтина, о которой я писал много несколько недель назад)

https://t.me/Group_IB/504

И говоря о данных Фейсбука. Помните, я несколько дней наза писал о том, что можно скачать из ФБ архив своих данных, и узнать, что ФБ знает о вас? (https://t.me/alexmakus/1835). Так вот, тут один человек скачал и изучил содержимое архива (я тоже скачал, но не добрался ещё пока посмотреть, что внутри). А у этого человека внутри оказались история звонков
https://twitter.com/dylanmckaynz/status/976368845635035138
И метаданные звонков
https://twitter.com/dylanmckaynz/status/976371635644018688
исторические данные адресной книги
https://twitter.com/dylanmckaynz/status/976369275324678145
Метаданные сообщений на телефоне
https://twitter.com/dylanmckaynz/status/976369669874491392

Не то, чтобы приложение ФБ прям «украло» эти данные - это вопрос прав доступа на Андроиде (да, у автора сообщений смартфон на Андроид). Подозреваю, что у пользователей iOS ФБ собирает всё-таки меньше информации с телефона, но пользователям Андроид от этого не легче, конечно.

Ссылка от читателя о том, как РосКомНадзор пытается заблокировать сервис Zello
https://www.vedomosti.ru/technology/articles/2018/03/23/754777-roskomnadzor-amazon

Вот, кстати, и Арстехника разобралась, как на Андроиде до октября 2017 года приложение Facebook получало данные о звонках и СМС пользователей (все для того, чтобы сближать людей, разумеется!)
https://arstechnica.com/information-technology/2018/03/facebook-scraped-call-text-message-data-for-years-from-android-phones/

Ещё ссылка по теме https://www.androidcentral.com/facebook-kept-logs-calls-and-messages-android-phones-thanks-early-permissions-model

И официальный ответ ФБ http://newsroom.fb.com/news/2018/03/fact-check-your-call-and-sms-history/

отличный тред в Твиттере о том, сколько информации о вас собирают Гугл и Фейсбук от самой обычной активности (телефоны, приложения, лайки, и тд). Вся ваша цифровая жизнь - там. Надеюсь, что наступит когда-нибудь время, когда наши дети и внуки будут удивляться тому, как мы добровольно отдавали столько информации о себе рекламным компаниям
https://twitter.com/iamdylancurran/status/977559925680467968

Вот, кстати, возвращаясь к предыдущему сообщению, хочется напомнить, что следят за нашей активностью и собирают информацию о нас не только в Фейсбуке. Газеты и другие онлайн-издания могут сколько угодно писать про то, какие в ФБ нехорошие редиски, но сайты этих самых СМИ просто кишат всевозможными трекерами, основная цель которых - сбор информации о пользователях для последующего показа рекламы. Вот хорошая статья, показывающая эту ситуацию на сайтах нескольких крупных западных изданий (хотя я уверен, что и не в западных изданиях ситуация не лучше, а, возможно, даже хуже):

http://blogs.harvard.edu/doc/2018/03/23/nothing/

И не стоит забывать о Google, которая знает о нас, возможно, даже больше Фейсбука (поисковые запросы, использование Хрома, почта - это даже более полезно фоточек о еде и лайков котиков). Вот полезная страничка у Google:

https://myactivity.google.com/myactivity

На ней можно не только увидеть, что уже собрала Google о вас на различных своих сервисах (подозреваю, что увидеть можно не все, но тем не менее), но и удалить эту информацию, и даже потыркать в кое-какие настройки, чтобы меньше информации собиралось. «Ах, что вы делаете, говорит Гугл в процессе удаления и отключения, мы не сможем показывать вам более релевантную информацию (читай - рекламу)», но я, пожалуй, предпочту страдать без релевантной рекламы, да.

Кстати, вот об этом:
https://t.me/alexmakus/1857

Вот тут по ссылке в твите автор признает, что сайт взломали через панель управления Squarespace и воткнули на сайт какой-то вредоносный код
https://twitter.com/iamevltwin/status/976627634066132992

Кто помнит историю про Meltdown и Spectre? (да-да, те самые уязвимости в процессорах. Кажется, что это было очень давно, но на самом деле публикация об этих уязвимостях случилась всего лишь в январе этого года). Уже тогда говорили, что это, скорей всего, не последние уязвимости спекулятивного исполнения в процессорах, поэтому вот, встречайте BranchScope (которая, как я понял, похожа на второй вариант Spectre)

http://www.cs.ucr.edu/~nael/pubs/asplos18.pdf

Несколько ссылок от читателей, которые мне прислали за последние пару дней, и которые я нахожу полезными:

1. Вдогонку про Google и их сбор активности пользователей

https://takeout.google.com/settings/takeout — у Гугла есть ссылка по которой можно скачать архив со всеми данными, которые у компании есть о пользователе

2. Вдогонку про уязвимости процессоров - Утилита Spectre Meltdown CPU Checker от компании Ashampoo.
https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker

3. Школьников с детства приучают к слежке)) goo.gl/3YiwLj

И снова здравствуйте! У меня для вас сегодня есть полезные и забавные записи. Начнем, разумеется, с полезных.

Про скандал с Фейсбуком уже все слышали, я думаю. Плюс пару дней назад я писал про Google — и про то, сколько информации компания собирает, и про то, как можно скачать эту информацию встроенными инструментами, и про то, как можно попробовать минимизировать сбор информации компанией. Это все, разумеется, даже и не новости, потому что про сбор информации компаниями с рекламной бизнес-моделью говорили уже давно. В частности, мне напомнили про компанию Элкомсофт, дружественную этому каналу. Один из сооснователей компании — Владимир Каталов — несколько лет назад показывал вот такую презентацию о Google
https://hitcon.org/2015/CMT/download/day1-b-r0.pdf

У компании, кстати, даже софтина есть для того, чтобы выкачивать максимальное количество информации о пользователе с серверов Google (говорят, там гораздо больше инфы оказывается, чем то, что дает скачать Google).

https://www.elcomsoft.com/ecx.html

Конечно, при стоимости лицензии в 2 тыс долларов это инструмент не для обычного пользователя, но сам факт расхождения между тем, что отдает Гугл, и то, что могут выгружать специализированные приложения, заставляет задаваться вопросом — а что еще есть у Google (или FB, или Microsoft, или Apple, или Amazon), о чем мы не знаем, а они не рассказывают? (и поправил шапочку из фольги)

Где-то здесь должна быть картинка-мем “нельзя так просто взять и удалить Facebook”. Даже если удалить аккаунт в социальной сети и больше никогда туда не заходить, то все равно благодаря Facebook Audience Network компания будет следить за вами. FAN — это, мо сути, рекламая сеть и сервис для анализа приложений (https://developers.facebook.com/products/audience-network/overview/)
Так вот, эта сеть есть в 41% топ-приложений для Android, и оттуда в ФБ передается различная информация, вклчая информацию об устройстве, ваш IP-адрес, название приложений, и другая полезная для Facebook информация. Я уверен, что алгоритмы Facebook умеют скрещивать её с пользовательской информацией и привязывать это все к реальным аккаунтам в ФБ. КАК СТРАШНО ЖЫТЬ

Вот отчет об исследовании этой темы
https://blog.adguard.com/en/one-does-not-simply-delete-facebook/

Можно ли от этого как-то защититься? Мозилла тут попыталась вроде как сделать шаг в правильном направлении, выпустив расширение для Firefox, которое позволяет работать с ФБ типа как в песочнице, ограничивая доступ Фейсбука так, чтобы ФБ не имел доступа к сторонним кукам и трекерам. Идея хорошая, но реализация, как пишет мне читатель, подкачала:

“там пока всё печально, ибо не блочится ни fbcdn, ни messenger. Про facebookcorewwwi.onion они, похоже, и не слышали (уже зарепортил им в гитхаб). Но начинание, имхо, в целом не ахти. uMatrix/Request Policy или хотя бы Privacy Badger не только эффективнее. Они ещё и сделаны с пониманием, что Facebook ниразу не один такой забавный.
О качестве расширения: в самом background.js видим
const FACEBOOK_DOMAINS = ["facebook.com", "www.facebook.com", "fb.com"];
И всё. Зато отрапортоваться уже успели!”

Но так — лучше, чем никак, поэтому вот https://blog.mozilla.org/firefox/facebook-container-extension/

Пользуетесь VPN-сервисом? Потрудитесь почитать, что именно этот сервис хранит о вас (даже если сервис утверждает, что не хранится ничего)
https://thebestvpn.com/118-vpns-logging-policy/

в iOS 11 добавили полезную фишку по распознаванию QR-кодов (как будто ими кто-то пользуется). тут продемонстрировали уязвимость, как можно обмануть распознавалку таким образом, чтобы перенаправить пользователя на совсем другой сайт. Скажем, показывается facebook.com, а на самом деле открывается какой-нибудь фишинговый — потому что УРЛ на самом деле выглядит так https://xxx\@facebook.com:443@infosec.rm-it.de/

Парсер УРЛов немного лох, и вот. Об уязвимости сообщили в Apple еще в декабре прошлого года, но она до сих пор не исправлена. Видимо, имеет низкий приоритет, потому что даже Apple знает, что QR-кодами никто не пользуется.

вот статья об этом https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

PS вот мой любимый сайт на эту тему с фотографиями людей, которые сканируют QR-коды
http://picturesofpeoplescanningqrcodes.tumblr.com

а теперь об относительно забавном:

1. Одна из газет, которая первой написала о скандале с Facebook и Cambridge Analytica — британская газета The Guardian. Напомню, одна из больших частей скандала — это то, что Cambridge Analytica получила данные не только тех людей, которые проходили какой-то там тест, но и всех их друзей. Журналисты молодцы, и все такое, но… Если зайти на страницу политики конфиденциальности приложения для Facebook самой газеты (https://www.theguardian.com/info/2011/sep/22/1), то там можно обнаружить текст о том, что ФБ-приложение газеты точно также выгребает данные не только читателей, но и всех их друзей (ну, по крайней мере, не говорят, что сохраняют за собой право на передачу этих данных третьим лицам)

By granting permission you will be agreeing to share your Facebook user details (including your name, profile picture, gender, networks, user ID and any other information you choose to share according to your Facebook account settings) as well as the user details of your Facebook friends, and information about your use of the App, for example, the articles you are reading.