Будьте очень осторожны, замазывая важную информацию с помощью markup инструмента на iPhone - если использовать неправильный инструмент, то, задрав яркость на скриншоте, можно увидеть замазанный текст. Советуют использовать, например, прямоугольник с заливкой
https://twitter.com/thejohnwickham/status/1009525745864134656

Я тут пару раз уже писал о теме слежки за пользователями мобильных телефонов и их местоположении в США. Вкратце — был такой скандал, где мобильные операторы продавали эти данные другим компаниям, а те перепродавали этот сервис кому попало и как попало, включая их сайты с уязвимостями, позволявшие смотреть информацию вообще без всякой авторизации:

https://t.me/alexmakus/2065
https://t.me/alexmakus/2079

Так вот, сразу несколько новостей по этому поводу:
1. мобильные операторы в США сказали, что они разрывают свои контракты о передаче информации о местоположении телефонов с третьими сторонами
https://krebsonsecurity.com/2018/06/verizon-to-stop-sharing-customer-location-data-with-third-parties/
Вот ответы операторов сенатору Вайдену на его “депутатский” запрос “ДОКОЛЕ?”:
- Verizon https://www.wyden.senate.gov/imo/media/doc/Verizon%20Response%20to%20Sen%20Wyden%2006_15_18.pdf
- AT&T https://www.wyden.senate.gov/imo/media/doc/at&t%20letter%20to%20RW%206.15.pdf
- T-Mobile USA https://www.wyden.senate.gov/imo/media/doc/T%20Mobile%206-15-18%20Ltr%20to%20Sen.%20Wyden.pdf
- Sprint https://www.wyden.senate.gov/imo/media/doc/Sprint%20Letter%20to%20Sen.%20Wyden%206.15.18.pdf

2. Верховный Суд США сегодня принял решение, что правоохранительные органы должны получать ордер суда для того, чтобы запрашивать информацию о местоположении мобильного устройства у мобильных операторов. там еще речь идет о куче другой частной информации, включая банковскую информацию, переписку в СМС и почте, историю поиска в интернете и тд.
https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf

3. Такое решение должно окончательно добить бизнесы типа перепродажи информации о местоположении людей, которые внесли залог в суде, но потом в суде не появились. В США существует целая отрасль “bounty hunters”, которые охотятся за сбежавшими из-под залога, чтобы обеспечить доставку таких людей в суд. Вокруг этого есть еще пачка компаний, вносящих залог “в долг”, а bounty hunters потом находят сбежавших за процент. Короче, мутный бизнес, который активно пользовался сервисами по поиску людей через местоположение мобильного телефона. Большая статья с деталями на motherboard
https://motherboard.vice.com/en_us/article/9k873e/captira-phone-tracking-verizon-tmobile-sprint-securus-locationsmart-bounty-hunters

Если вдруг еще почему-то пользуетесь ICQ, то вам будет интересно узнать об уязвимости, которая позволяла подключаться к любому чату (уязвимость уже исправлена). За ссылку спасибо читателю
https://habr.com/post/414915/

Берегите ваши айфоны. Удаленный джейлбрейк через веб, в том числе и на iOS 12 какой-то из бет - показали на конференции. К релизу, думаю, Apple дырку пропатчит, но если вы на бете и параноите, то я бы по каким попало сайтам не ходил (правда, видео сейчас не грузится)
https://twitter.com/bellis1000/status/1010069992883343360

А вот ещё интересное видео - перебор 4-6 значных пинов на айфоне, вплоть до iOS 12, включая обход опции с удалением данных. Если вы ещё не используете сложный пароль на айфоне вместо простого ПИНа (впрочем, не только на айфоне), то я не знаю, зачем вы читаете этот канал
https://vimeo.com/276506763

Статья об этом видео
https://www.zdnet.com/article/a-hacker-figured-out-how-to-brute-force-an-iphone-passcode/

Короче, по поводу этого сообщением выше 👆оказалось, что все не так, как выглядит на видео (а выглядит как уязвимость в iOS, позволяющая обходить опцию удаления данных на устройстве при неправильно введённых паролях). Вот что пишет об этом автор видео:

https://twitter.com/hackerfantastic/status/1010631766087032832

По сути, автор посылал одной строкой пачку кодов для ввода, а оказалось, что iOS воспринимала их как один пин, хотя и выглядело это так, как будто пин-коды вводились по очереди.

А вот что сказала по этому поводу Apple:
"The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing"

Короче, автор поспешил и погнался за сенсационностью, но оказалось, что то, что он видит - не то на самом деле :)

Ещё статья по этому поводу
https://www.zdnet.com/article/a-hacker-figured-out-how-to-brute-force-an-iphone-passcode/

Злоумышленники совсем обленились. Теперь вместо заражения компьютера вирусом просто рассылают письмо “ВСЕ ВАШИ УСТРОЙСТВА ЗАРАЖЕНЫ WANNACRY, НЕ ПЫТАЙТЕСЬ СБЕЖАТЬ”. Деградация налицо :)

в интернете никому верить нельзя. Тут пытаются впаривать пользователям Android-смартфонов приложение для якобы улучшения работы от аккумулятора (потому что аккумулятору все хуже и хуже), а затем отправляют пользователя в Google Play скачать приложение, которое запрашивает массу прав. В том числе, изменение системных настроек, чтение СМС и проч. В целом приложение убивает какие-то процессы при низком заряде аккумулятора, и мониторит состояние аккумулятора, но в качестве бонуса предлагает еще и кликер по рекламам, а также сливает кучу информации с телефона.

https://www.riskiq.com/blog/interesting-crawls/battery-saving-mobile-scam-app/

Клевая штука - микроавтобус, напичканный всякой электроникой, позволяющей взламывать устройства на расстоянии до 500 метров. Устройства могут быть как смартфоны на iOS и Android, так и компьютеры с Windows и macOS. оборудование включает в себя перехватчики WiFi, заставляющие устройства подключаться к сети микроавтобуса, в комплекте, я так понимаю, идут уязвимости, позволяющие заражать смартфоны и компьютеры. Стоит такой микроавтобус всего от 3,5 до 5 млн долл

https://www.forbes.com/sites/thomasbrewster/2018/06/25/iphone-hacking-truck-sold-by-israeli-surveillance-company/

я вчера давал ссылку на статью о TLBleed (https://www.theregister.co.uk/2018/06/22/intel_tlbleed_key_data_leak/)- результат исследований, реализованный в виде концепта, позволяющий перехватывать 256-битные ключи на процессорах Intel, эксплуатируя технологию Hyper-Threading и кэши процессорах (что, в общем, тоже давно известная проблема - статья 2005 года! https://www.theregister.co.uk/2005/05/16/intel_ht_vuln_fix_pledge/). Сама атака нетривиальна, и это проблема не масштаба Spectre/Meltdown, но самые параноики уже отключают поддержку Hyper-Threading в операционной системе по умолчанию (https://www.itwire.com/security/83301-openbsd-disables-hyperthreading-support-for-intel-cpus-due-to-likely-data-leaks.html). Хотя, подозреваю, вряд ли это станет массовым трендом.

Хорошие новости (которые так редко бывают в этом канале). Началась сертификация роутеров с поддержкой WPA3. Поддержка WPA3 должна сделать роутеры гораздо безопасней (до тех, конечно, пока не сломают WPA3)
https://www.theverge.com/circuitbreaker/2018/6/26/17501594/wpa3-wifi-security-certification

Еще хорошие новости для любителей двухфакторной авторизации (и одновременно с этим пользователей твиттеров). Если вас одолевает паранойя и кажется, что вокруг только враги, то у Твиттера теперь есть 2ФА с поддержкой security keys, типа того Yubikey

https://help.twitter.com/en/managing-your-account/two-factor-authentication#security-key

между прочим, паранойя - она часто не просто так. вот японский блогер, эксперт по кибербезопасности и интернет-троллям, поехал читать лекцию на тему того, как справляться с троллями, а 15 минут спустя в туалете его истыкал ножом какой-то чувак, который всячески троллил блогера в интернете. такие вот дела
https://www.nytimes.com/2018/06/26/world/asia/japan-okamoto-blogger-killed.html

Сегодня у нас будет один материал, но из серии лонг-рид (как известно, в современном интернете все, что больше 280 символов - уже лонгрид)

В 2015 году Center For Democracy and Technology в Вашингтоне обратился в Федеральную торговую комиссию и предупредил, что некоторые компании используют технологию SilverPush для того, чтобы отследить когда и какую именно телерекламу смотрят пользователи мобильных телефонов. Технология якобы отслеживает ультразвуковые сигналы, которые подмешиваются в звук рекламы. Вот ссылка на обращение:
https://cdt.org/files/2015/11/10.16.15-CDT-Cross-Device-Comments.pdf

Перекрестное слежение за устройствами пользователя - сама по себе штука не новая, и активно применяется в интернете. Это то, что очень нужно рекламодателям, чтобы следить за эффективностью рекламы, которая окружает нас везде.
SilverPush как компания действительно существует и проект с «подмешиванием» в рекламу у них также был. Это индийский стартап, который запустил свой проект в 2014 году. Их модернизированная идея трекинга рекламы на сегодня заключается в том, что на «умных» устройствах - смартфонах, телевизорах, и тд - могут быть установлены приложения,содержащие специальный код компании (SDK). Когда из рекламы раздаётся определенный звук (не обязательно ультразвук, а нечто вроде цифрового отпечатка рекламы, похожее на тот механизм, который использует Шазам для распознавания музыки), приложения, в которых используется СДК приложения, распознают этот «отпечаток», и таким образом позволяют связывать рекламу на ТВ и, например, последующие визиты на вебсайты и покупки в онлайне.

По сути, это очень продвинутый и глубокий вид перекрестной слежки за устройствами пользователей, который таит в себе неизвестное количество опасностей для персональной информации пользователей. В первую очередь - по деанонимизации пользователей в интернете. Поэтому Федеральная Комиссия по Телекоммуникациям в США запретила приложениям в США использовать эти механизмы. На сегодня компания SilverPush работает на азиатском рынке, количество пользователей, которые могут быть затронуты их СДК, неизвестно. СДК используется в приложениях для смартфонов на платформе Android.

К чем это все я тут рассказываю? Интересно, что Facebook подал заявку на регистрацию патента примерно о том же - BROADCAST CONTENT VIEW ANALYSIS BASED ON AMBIENT AUDIO RECORDING. Вот первая и самая важная часть из патента:

1. A computer implemented method comprising: receiving, by an online system from a client device, a data set comprising an identifier of an individual associated with the client device, an ambient audio fingerprint representing ambient audio captured by the client device during a broadcast by a household device in a vicinity of the client device, and time information indicating a length of time of the ambient audio captured by the client device; identifying a user profile associated with the online system based on the identifier of the individual received from the client device; identifying a content item associated with the broadcast based on the ambient audio fingerprint; determining that there was an impression of the identified content item by the identified user associated with the client device in response to the length of time of the ambient audio exceeding a detection threshold; logging the impression of the identified content item in association with the user profile in a data store of the online system; determining if impression data in the data store exceeds a threshold impression value; and responsive to determining that the impression data in the data store exceeds the threshold impression value, sending an instruction to a content provider to increase broadcasting frequency of the content item on the household device.

http://www.freepatentsonline.com/20180167677.pdf

В патентах всегда записывают как можно более широко расписанные возможности потенциального алгоритма или устройства, поэтому все это надо делить на 10, а то и на 100, но вкратце речь идёт о системе распознавания неких звуков неким устройством Facebook. если вообще в трёх словах, то это «Shaza

m для рекламы» - устройство, которое бы распознавало играющую вокруг рекламу и, привязав это к конкретному пользователю, например, передавало бы эту информацию в датацентры Фейсбука. Скорей всего, Facebook придумали (или, точнее, «придумали» этот алгоритм в рамках разработки «умной колонки», слухи о которой ходили в этом году до того, как вспыхнул весь этот скандал с Facebook и Cambridge Analytica, и, говорят, Facebook просто отложил запуск колонки на какое-то время.

Некоторые журналисты уже успели поистерить с воплями «АААААА, ТЕПЕРЬ ФЕЙСБУК БУДЕТ ВСЕГДА ЧТО-ТО СЛУШАТЬ ЧЕРЕЗ МИКРОФОНЫ СМАРТФОНОВ», но это, скорей всего, не так (да, я знаю про популярный миф «фейсбук всегда и так слушает»). Звучит эта патентная заявка не менее отвратительно, конечно, но надо помнить, что патенты (а тем более заявки на них) - это еще не реальная функциональность в устройстве, и до неё может просто не дойти. Но если вдруг Facebook таки выпустит свою колонку (я практически уверен, что это вопрос даже не «если», а «когда»), то стоит ожидать подвоха и очень внимательно читать все мелкие тексты к описанию продукта. С Фейсбуком надо держать ухо востро (а в случае этого патента - так еще в буквальном смысле).

у Gentoo на Github какие-то не очень хорошие новости
https://gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

читатель прислал ссылку, что вроде как взломали сайт американского Adidas — по крайней мере, компания уведомляет покупателей, которые регистрировались на сайте и что-то там покупали, о том, что ничего важного вроде как не украли.

Today, we are alerting you about a potential data security incident involving information about certain consumers who purchased on adidas.com/US. On June 26, we became aware that an unauthorized party claims to have acquired limited data associated with these consumers. We are notifying you out of an abundance of caution.

adidas is committed to the privacy and security of our consumers' personal data. We immediately began taking steps to determine the scope of the issue and to alert relevant consumers. adidas is working with leading data security firms and law enforcement authorities to investigate the issue. According to the preliminary investigation, the limited data includes contact information, usernames and encrypted passwords. We have no reason to believe that any credit card or fitness information was impacted.

adidas understands the importance of your personal information. We take the protection of that information very seriously and we are sorry to have to write to you in these circumstances.

Should you have questions please reach out to our Customer Service Team on +1-800-982-9337 or customerservice@us.adidas.com.

The adidas team
————
И ссылка по теме https://cnet.com/news/adidas-says-certain-customers-may-have-been-impacted-by-data-breach/

Я тут как-то писал про эпидемию скрытых камер в Южной Корее (https://t.me/alexmakus/2135). А вот тут интересная новость из штата Висконсин, о том, что у мужчины, у которого была встроена камера в туфлю для подглядывания за подюбочным пространством женщин, взорвалась батарейка, и он попал в больницу с мелкими травмами. Не знаю, насколько этому можно верить, как и тому, что он добровольно признался в этом (учитывая, что в штате такое подглядывание запрещено, с наказанием до 3,5 лет заключения), но новость вот есть, да
https://host.madison.com/wsj/news/local/crime/shoe-camera-explodes-foiling-man-s-plans-to-take-videos/article_8c5f90f5-ef35-5baf-9f83-92ab70317cfd.html

Вот еще тоже ссылка от читателя, полезно будет всем, кто из России:

https://www.vedomosti.ru/technology/articles/2018/06/28/774110-pravitelstvo-yarovoi

записи переговоров в интернете, текстовые сообщения, видео- и иной контент, пересылаемый их клиентами, должен храниться полгода. Это касается данных пользователей, зарегистрировавшихся и авторизующихся с российских IP-адресов, указавших при регистрации российский номер телефона, паспорт или иной документ государственного образца. Также предписано записывать и хранить электронную переписку пользователей, о нахождении которых в России онлайн-сервисам сообщат правоохранительные органы.

Туда же - статья о том, как это все будет работать
https://www.kommersant.ru/doc/3670738