между прочим, паранойя - она часто не просто так. вот японский блогер, эксперт по кибербезопасности и интернет-троллям, поехал читать лекцию на тему того, как справляться с троллями, а 15 минут спустя в туалете его истыкал ножом какой-то чувак, который всячески троллил блогера в интернете. такие вот дела
https://www.nytimes.com/2018/06/26/world/asia/japan-okamoto-blogger-killed.html

Сегодня у нас будет один материал, но из серии лонг-рид (как известно, в современном интернете все, что больше 280 символов - уже лонгрид)

В 2015 году Center For Democracy and Technology в Вашингтоне обратился в Федеральную торговую комиссию и предупредил, что некоторые компании используют технологию SilverPush для того, чтобы отследить когда и какую именно телерекламу смотрят пользователи мобильных телефонов. Технология якобы отслеживает ультразвуковые сигналы, которые подмешиваются в звук рекламы. Вот ссылка на обращение:
https://cdt.org/files/2015/11/10.16.15-CDT-Cross-Device-Comments.pdf

Перекрестное слежение за устройствами пользователя - сама по себе штука не новая, и активно применяется в интернете. Это то, что очень нужно рекламодателям, чтобы следить за эффективностью рекламы, которая окружает нас везде.
SilverPush как компания действительно существует и проект с «подмешиванием» в рекламу у них также был. Это индийский стартап, который запустил свой проект в 2014 году. Их модернизированная идея трекинга рекламы на сегодня заключается в том, что на «умных» устройствах - смартфонах, телевизорах, и тд - могут быть установлены приложения,содержащие специальный код компании (SDK). Когда из рекламы раздаётся определенный звук (не обязательно ультразвук, а нечто вроде цифрового отпечатка рекламы, похожее на тот механизм, который использует Шазам для распознавания музыки), приложения, в которых используется СДК приложения, распознают этот «отпечаток», и таким образом позволяют связывать рекламу на ТВ и, например, последующие визиты на вебсайты и покупки в онлайне.

По сути, это очень продвинутый и глубокий вид перекрестной слежки за устройствами пользователей, который таит в себе неизвестное количество опасностей для персональной информации пользователей. В первую очередь - по деанонимизации пользователей в интернете. Поэтому Федеральная Комиссия по Телекоммуникациям в США запретила приложениям в США использовать эти механизмы. На сегодня компания SilverPush работает на азиатском рынке, количество пользователей, которые могут быть затронуты их СДК, неизвестно. СДК используется в приложениях для смартфонов на платформе Android.

К чем это все я тут рассказываю? Интересно, что Facebook подал заявку на регистрацию патента примерно о том же - BROADCAST CONTENT VIEW ANALYSIS BASED ON AMBIENT AUDIO RECORDING. Вот первая и самая важная часть из патента:

1. A computer implemented method comprising: receiving, by an online system from a client device, a data set comprising an identifier of an individual associated with the client device, an ambient audio fingerprint representing ambient audio captured by the client device during a broadcast by a household device in a vicinity of the client device, and time information indicating a length of time of the ambient audio captured by the client device; identifying a user profile associated with the online system based on the identifier of the individual received from the client device; identifying a content item associated with the broadcast based on the ambient audio fingerprint; determining that there was an impression of the identified content item by the identified user associated with the client device in response to the length of time of the ambient audio exceeding a detection threshold; logging the impression of the identified content item in association with the user profile in a data store of the online system; determining if impression data in the data store exceeds a threshold impression value; and responsive to determining that the impression data in the data store exceeds the threshold impression value, sending an instruction to a content provider to increase broadcasting frequency of the content item on the household device.

http://www.freepatentsonline.com/20180167677.pdf

В патентах всегда записывают как можно более широко расписанные возможности потенциального алгоритма или устройства, поэтому все это надо делить на 10, а то и на 100, но вкратце речь идёт о системе распознавания неких звуков неким устройством Facebook. если вообще в трёх словах, то это «Shaza

m для рекламы» - устройство, которое бы распознавало играющую вокруг рекламу и, привязав это к конкретному пользователю, например, передавало бы эту информацию в датацентры Фейсбука. Скорей всего, Facebook придумали (или, точнее, «придумали» этот алгоритм в рамках разработки «умной колонки», слухи о которой ходили в этом году до того, как вспыхнул весь этот скандал с Facebook и Cambridge Analytica, и, говорят, Facebook просто отложил запуск колонки на какое-то время.

Некоторые журналисты уже успели поистерить с воплями «АААААА, ТЕПЕРЬ ФЕЙСБУК БУДЕТ ВСЕГДА ЧТО-ТО СЛУШАТЬ ЧЕРЕЗ МИКРОФОНЫ СМАРТФОНОВ», но это, скорей всего, не так (да, я знаю про популярный миф «фейсбук всегда и так слушает»). Звучит эта патентная заявка не менее отвратительно, конечно, но надо помнить, что патенты (а тем более заявки на них) - это еще не реальная функциональность в устройстве, и до неё может просто не дойти. Но если вдруг Facebook таки выпустит свою колонку (я практически уверен, что это вопрос даже не «если», а «когда»), то стоит ожидать подвоха и очень внимательно читать все мелкие тексты к описанию продукта. С Фейсбуком надо держать ухо востро (а в случае этого патента - так еще в буквальном смысле).

у Gentoo на Github какие-то не очень хорошие новости
https://gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

читатель прислал ссылку, что вроде как взломали сайт американского Adidas — по крайней мере, компания уведомляет покупателей, которые регистрировались на сайте и что-то там покупали, о том, что ничего важного вроде как не украли.

Today, we are alerting you about a potential data security incident involving information about certain consumers who purchased on adidas.com/US. On June 26, we became aware that an unauthorized party claims to have acquired limited data associated with these consumers. We are notifying you out of an abundance of caution.

adidas is committed to the privacy and security of our consumers' personal data. We immediately began taking steps to determine the scope of the issue and to alert relevant consumers. adidas is working with leading data security firms and law enforcement authorities to investigate the issue. According to the preliminary investigation, the limited data includes contact information, usernames and encrypted passwords. We have no reason to believe that any credit card or fitness information was impacted.

adidas understands the importance of your personal information. We take the protection of that information very seriously and we are sorry to have to write to you in these circumstances.

Should you have questions please reach out to our Customer Service Team on +1-800-982-9337 or customerservice@us.adidas.com.

The adidas team
————
И ссылка по теме https://cnet.com/news/adidas-says-certain-customers-may-have-been-impacted-by-data-breach/

Я тут как-то писал про эпидемию скрытых камер в Южной Корее (https://t.me/alexmakus/2135). А вот тут интересная новость из штата Висконсин, о том, что у мужчины, у которого была встроена камера в туфлю для подглядывания за подюбочным пространством женщин, взорвалась батарейка, и он попал в больницу с мелкими травмами. Не знаю, насколько этому можно верить, как и тому, что он добровольно признался в этом (учитывая, что в штате такое подглядывание запрещено, с наказанием до 3,5 лет заключения), но новость вот есть, да
https://host.madison.com/wsj/news/local/crime/shoe-camera-explodes-foiling-man-s-plans-to-take-videos/article_8c5f90f5-ef35-5baf-9f83-92ab70317cfd.html

Вот еще тоже ссылка от читателя, полезно будет всем, кто из России:

https://www.vedomosti.ru/technology/articles/2018/06/28/774110-pravitelstvo-yarovoi

записи переговоров в интернете, текстовые сообщения, видео- и иной контент, пересылаемый их клиентами, должен храниться полгода. Это касается данных пользователей, зарегистрировавшихся и авторизующихся с российских IP-адресов, указавших при регистрации российский номер телефона, паспорт или иной документ государственного образца. Также предписано записывать и хранить электронную переписку пользователей, о нахождении которых в России онлайн-сервисам сообщат правоохранительные органы.

Туда же - статья о том, как это все будет работать
https://www.kommersant.ru/doc/3670738

Лол

Несколько ссылок на почитать на выходных, которые прислали читатели канала (за что им спасибо):

- https://xakep.ru/2018/06/29/rampage/

Специалисты Амстердамского свободного университета, индийского Университета «Амрита», Калифорнийского университета в Санта-Барбаре, а также эксперты EURECOM опубликовали доклад (PDF) об уязвимости RAMpage, получившей идентификатор CVE-2018-9442. Баг является новейшей вариацией атаки Rowhammer и угрожает всем устройствам на Android, произведенным после 2012 года. новая техника атак концентрируется на подсистеме памяти Android, ION, появившейся в составе ОС в 2011 году, после релиза Android 4.0 (Ice Cream Sandwich). По сути, ION – это часть операционной системы, отвечающая за распределение ячеек памяти между приложениями и ОС. RAMpage помогает атакующему нарушить границы между приложениями и ОС, что в итоге позволяет установить абсолютный контроль над уязвимым устройством.


- https://www.wired.com/story/exactis-database-leak-340-million-records/

Очередная утечка данных на проживающих в америке, на 340 миллионов человек и десятки миллионов компаний: телефоны, адреса, имейлы, и тд. Файл маркетинговой компании лежал в открытом доступе


- https://habr.com/post/415251/

Хороший материал с кучей ссылок, как сотрудники крупнейших компаний протестуют против контрактов с правительством и отказываются разрабатывать проекты, которые помогли бы властям следить за людьми

Привет! Сегодня в связи с большой загрузкой тоже сразу несколько ссылок с комментариями, часть ссылок прислали читатели канала, и я нашел их интересными:

Тему про Spectre все помнят? Там еще разработчики операционных систем выпускали всякие апдейты, чтобы минимизировать последствия атак с использованием этой уязвимости. Так вот, есть предположение, что эту защиту удалось обойти:

https://alephsecurity.com/2018/06/26/spectre-browser-query-cache/

вот ссылка на русском
https://xakep.ru/2018/07/02/browsers-spectre/

Proof-of-concept эксплоиты специалистов сумели обмануть защиту Edge, Chrome и Safari, а затем, эксплуатируя оригинальную уязвимость Spectre (CVE-2017-5753, она же вариант 1), извлечь через браузеры пользовательские данные. Так как инженеры Mozilla реализовали свою версию защиты иначе, тот же трюк не удалось повторить с браузером Firefox.

А вот в России собираются принять закон по борьбе с кражами смартфонов и серым ввозом устройств, пишут Ведомости (за paywall). Тема-то такая давно фигурирует, но она опять получила новое дыхание. Формально повод хороший, но я так понимаю, что уже имеюущиеся на рынке телефоны нужно будет тоже зарегистрировать. А когда будет существовать некая единая база телефонов и привязанных к ним владельцам, то это может быть очень удобно одним и очень неудобно другим

https://www.vedomosti.ru/technology/articles/2018/07/02/774308-blokirovat-kradenie-telefoni

Объединенная группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад , в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. Две из них являются пассивными и позволяют отследить LTE трафик и узнать различные подробности о целевом объекте. С помощью третьей, получившей название aLTEr, атакующие могут подменять отправляемые на устройство данные и определить, какие сайты посещает жертва с гаджета.

https://www.securitylab.ru/news/494194.php

Хорошие новости для пользователей Tinder. Похоже, что Tinder наконец-то начал шифровать изображения пользователей
https://twitter.com/matthew_d_green/status/1012717738236743680

машинное обучение распознает лица даже под гримом. Никуда не скрыться от этого всего вообще
https://twitter.com/tahkion/status/1013547463758643200

тот неловкий момент, когда хранишь в базе пароли в hash и в plain text (via troyhunt)

Тут пишут, что смартфоны Самсунг внезапно начали случайным образом отправлять на случайные контакты случайно выбранные фотографии

https://gizmodo.com/a-bug-in-samsungs-default-texting-app-is-sending-random-1827291759

https://www.reddit.com/r/GalaxyS9/comments/8u36jz/my_s9_sent_my_entire_photo_gallery_to_my/

https://us.community.samsung.com/t5/Galaxy-S9-Questions-and-Answers/Samsung-Messages-Bugs-With-the-RCS-Advanced-Messg-Update-on-T-Mo/td-p/350134

В некоторых случаях отправлялись все фотографии, через приложение Сообщения от Samsung. Возможно, это как-то связано с обновлениями инфраструктуры операторов для системы передачи сообщений

Привет. Тут какая-то история разворачивается про то, как различные сторонние сервисы (не говоря уже о разработчиках самой Google) могут читать почту пользователей Gmail. Открыла эту тему WSJ (статья за пейволлом)
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4

А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/


В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики

Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions

620 миллионов закачек у 2,7 млн приложений для Android и iOS, которые благодаря неправильно настроенным базам Firebase сливали все - от паролей в plain text до финансовых и медицинских данных пользователей. 113ГБ данных с кучей информации

https://www.androidauthority.com/firebase-apps-user-details-leaks-882316/
в статье есть ссылка на отчёт, который требует регистрации для скачивания.

Ну и история дня - о том, как польские исследователи птиц прикрепили к аисту трекер, чтобы отследить его миграцию в Африку. В трекере была вставлена СИМ-карта для передачи данных. В Африке c птицы сняли трекер, вынули СИМ-карту, и наговорили 20 часов разговоров на 2700 долларов. Счета придётся оплатить
http://www.thenews.pl/1/11/Artykul/370157,Stork-incurs-hefty-phone-bill