Кстати, про двухфакторную авторизацию. Читатель прислал парочку полезных статей об этой теме:

http://www.outsidethebox.ms/18372/

http://www.outsidethebox.ms/18835/

Про USB Accessories mode в iOS я писал уже много раз. Там, как в своё время обнаружили эксперты Элкомсофт, можно задержать включение режима блокировки подключения новых устройств - именно путём подключения аксессуаров ДО ТОГО, как истёк таймер в 1 час с момента последней разблокировки устройства. Вот по ссылке - список устройств, которые протестированы экспертами и их статус в возможности отложить активацию режима известен

https://www.magnetforensics.com/blog/ios-11-4-1-follow-up-delaying-usb-restricted-mode/

Тут накопали, что Epic Games собираются версию Fortnite Mobile для Android распространять со своего сайта - очевидно, экономя 30%, которые берет Google за покупки внутри приложения.

https://www.xda-developers.com/fortnite-mobile-on-android-google-play-store/

Один важный момент, который связан с безопасностью - это то, что пользователям придётся в Android указать опцию установки из Unknown sources, что, скорей всего, приведёт к ухудшению ситуации с безопасностью для миллионов пользователей, которые не до конца понимают последствия включения такой опции.

Привет, с вами после длинного викенда снова воодушевленная разными новостями редакция канала “информация опасносте” в моем лице.

1. Начнем с поправки касательно Fortnite и её распространения на Android мимо Google Play. Меня несколько человек поправили, что в целом инсталляция одного приложения на android без Google Play в последнее время немного модифицировалась и можно временно “снять” галку для одной установки, после чего опция установки из других источников выключится (или включится?) обратно. То есть конкретно для этого кейса это как бы безопасно, хотя сам факт распространения приложения не через официальный канал потенциально несет в себе угрозу для пользователей. Уже даже сейчас в интернете встречаются вредоносные приложения для Android, маскирующиеся под Fortnite, а с выходом официальной наверняка появятся и перепакованные версии, несущие в себе отдельные “бонусы”. Короче, имхо, жадность за 30% выручки перевесила потенциальные эффекты для безопасности пользователей, и это немножко удручает.

https://www.eurogamer.net/articles/digitalfoundry-2018-fortnite-on-android-doesnt-use-google-play-confirmed

АПД Эти ваши Андроиды хрен разберешь. Читатель пишет, что “Опция, которая автоматически отключается — фича производителя, а не ОС. Первым её сделал Самсунг 3 года назад. В самой ОС же механизм изменился только в 8-ке: теперь опции нет. Теперь есть пермишен
https://myachinqa.blogspot.com/2017/10/android-80-2-target-android-80-api.html?m=1”


2. А вот тут еще вчера Wall Street Journal писал о переговорах Facebook с банками в США по совместному обмену данными. Заголовок звучит достаточно устращающе — “Facebook to Banks: Give Us Your Data, We’ll Give You Our Users”
https://www.wsj.com/articles/facebook-to-banks-give-us-your-data-well-give-you-our-users-1533564049

Известно, что Фейсбук собирает много оффлайн-данных для скрещивания с онлайн-данными для получения более полной картины о пользователях. Так-то вроде бы речь идет о том, что ФБ предлагал бы пользователям возможность продажи-покупки товаров в социальной сети, проверку баланса счета, уведомления о мошеннических операциях. При этом, конечно, в этот список попадает и такая полезная информация, как данные по транзакциям по картам. Фейсбук, правда, утверждает, что он не будет использовать эту информацию для таргетирования рекламы или передавать эти данные третьим лицам, но все равно звучит как-то стремно и неприятно. К счастью, банки в США — те еще консерваторы и любят хранить данные о своих клиентах у себя и не делиться ими по возможности с кем попало, поэтому я надеюсь, что ФБ их так легко не уговорит.


3. На прошлой неделе я писал про развод по почте с вымогательством выкупа за якобы имеющиеся записи неприличного поведения получателя письма на каком-то порно-сайте (https://t.me/alexmakus/2280). Вот еще по этому поводу статья https://www.the-parallax.com/2018/08/06/porn-extortion-scam-breached-passwords/, резюмировать которую можно так:
- Игнорируйте это
- Не реюзайте пароли
- Пользуйтесь менеджерами паролей
- Чаще применяйте двухфакторную авторизацию.


4. 200 тысяч роутеров Mikrotik в Бразилии заразили вредоносным ПО для майнинга криптовалюты.

https://twitter.com/bad_packets/status/1024868429797322753

Злоумышленники использовали уязвимость в прошивке роутера для, по сути того, чтобы организовать MiTM атаку, и вставлять майнинговый html/js код в страницы, которые загружали пользователи на устройствах, подключающихся через роутеры
https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/

По просьбе знакомых даю ссылку на вакансию директора по IT-безопасности. уверен, в канале найдется немало подходящих кандидатов
https://www.rferl.org/jobs/detail/TEC2039-1801.html

Хотел завтра опубликовать (то есть позже сегодня по времени многих из вас), но держаться нету сил. У Snapchat, оказывается, утекла часть исходного кода приложения для iOS, который обнаружился на GitHub. Snapchat прислал тут же DMCA запрос на блокировку доступа

https://github.com/github/dmca/commit/7f359b0798e924363ac16910514b1f0e5a9d6fa1

Правда, в интернете как утекло, так уже и не вырубишь топором, потому что некоторые юзеры пишут, что у них код остался
https://twitter.com/iSn0we/status/1026738393353465858

Немножко смешной (и одновременно грустный) твит чувака, который купил машину и тут же у дилера, используя известную уязвимость, хакнул мультимедийную систему и поставил туда Android Auto. Автопроизводители еще долго будут осознавать, что software is hard

https://twitter.com/0xAmit/status/1027341134228533250

какой интересный проект — Social Mapper. использует распознавание лиц для того, чтобы находить людей в разных социальных сервисах. Видимо, чтото типа нашумевшего FindFace, распознававшего пользователей в ВК, но тут поддерживается список сетей побольше:
LinkedIn
Facebook
Twitter
GooglePlus
Instagram
VKontakte
Weibo
Douban

Можно использовать для поиска информации о жертве в разных соцсетях (не то, чтобы я призываю вас это делать)

https://github.com/SpiderLabs/social_mapper

современные СМИ такие СМИ. Статья о том, что ААААА, МИЛЛИОНЫ СМАРТФОНОВ С УЯЗВИМОСТЯМИ, блаблабла (якобы Министерство безопасности США обладает информацией о уязвимостях в смартфонах, позволяющих получить полный контроль над телефоном, доступ к данным и тд), но никакой технической информации в статье не присутствует — что за платформа, какие версии, какие производители, и тд, и тп.). Так и рождаются мифы о том, что “к микрофонам всех телефонов можно скрытно подключиться и слушать их”
https://www.fifthdomain.com/show-reporters/black-hat/2018/08/07/manufacturing-bugs-allow-millions-of-phones-to-be-taken-over-dhs-project-to-announce/

Я тут много писал про iOS и USB Accessories Mode, так вот этот пост не о нем 🙂 Пару дней назад, как вы, возможно, знаете, вышла финальная версия Android 9 (он же Pie), и Elcomsoft опубликовал у себя в блоге сравнение функциональности по включению фич безопасности между iOS и Android. Теперь в обеих системах, если вы чувствуете какую-то опасность, вы можете сделать так, что отключится разблокировка телефона по сканированию пальца (или лица), на экран перестанут выводиться уведомления и тд. В принципе, и в iOS, и в Android идея одна и та же, разница, однако, как всегда, в нюансах. Например, на iOS достаточно даже в кармане зажать две кнопки, а на Android нужно еще на меню выбрать специальную опцию (не говоря уже о том, что этот режим Lockdown выключен по умолчанию). Почитайте сравнение, мне показалось, что в iOS это все-таки сделано лучше
https://blog.elcomsoft.com/2018/08/android-pie-lockdown-option-a-match-for-ios-sos-mode/

Читатель прислал ссылку на статью в, простите, “Известиях”, о якобы уязвимости в Телеграмме, которая позволяет вычислить номер телефона пользователя. Там тоже детали никто не раскрывает, только уточняется, что по запросам МВД уже ведется поиск пользователей. Честно говоря, выглядит как пугалка какая-то, да и источник так себе. Вообще беглый гуглинг показывает прям какую-то вспышку новостей про страшно уязвимый и небезопасный Телеграм, как будто это какая-то спланированная кампания по дискредитации мессенджера. (собакаподозревака.жпг)
https://iz.ru/769085/anzhelina-grigorian/deanonimnyi-telegram-v-populiarnom-messendzhere-nashli-uiazvimost

еще парочка ссылок на почитать:

- взлом WPA PSK https://hashcat.net/forum/thread-7717.html
(скорей бы уже распространился WPA3)

- производитель процессоров TSMC (делает процессоры для iPhone) признался, что у них был простой в производстве из-за того, что непропатченные Windows 7 компьютеры (!!!) подхватили WannaCry (!!!)
https://www.v3.co.uk/v3-uk/news/3037154/tsmc-chip-production-knocked-offline-by-wannacry-virus-outbreak-affecting-unpatched-windows-7

вдогонку про Телеграм и “деанонимизацию”, сразу несколько пользователей прислали различные объяснения этой истории, я скопирую парочку сюда, и закроем эту тему

(АПД. Тут какието странные ссылки были, которые почемуто вели на каналы, а не на конкретные посты, поэтому я их пока что убрал). Но, суть, короче, в том, что все отталкивается от баз номеров телефонов.
https://t.me/tlgblog/336
https://t.me/tgmarketing/956

Как известно, самый безопасный интернет - это когда никакого интернета!

Привет. Поскольку трудо выебудни заканчиваются и впереди выходные, сегодня набор ссылок вам на почитать на выходных:

1. Хардварный бэкдор в процессорах x86
прежде чем вы побежите выбрасывать свой компьютер с процессором Intel, отмечу, что речь идёт о процессорах VIA C3, используемых в промышленной автоматизации, кассовых аппаратах, банкоматах и медицинском оборудовании. Последующие поколения процессоров не содержат этого бэкдора

https://github.com/xoreaxeaxeax/rosenbridge/blob/master/README.md

2. Кстати, об уязвимостях банкоматов. Коммерсант пишет об уязвимости в банкоматах NCR, используемых российскими банками, которая позволяет устанавливать на сейфовую часть банкомата, выдающую купюры, устаревшее программное обеспечение и отправлять команды на снятие наличных (УДОБНО!). Собственно, прикол в том, что об уязвимости известно еще с февраля этого года, но российские банки почему-то не знали об этой проблеме и её исправлении. Чтобы исправить её, нужно вручную подключаться к каждому устройству, а поскольку таких банкоматов в России около 40 тысяч, то, видимо, банки особо не спешат это делать, а попытки успешных взломов скрывают.

https://www.kommersant.ru/doc/3708881

Дополнение про проблему с шифрованием WiFi, о которой я писал вчера (https://t.me/alexmakus/2304) прислал читатель канала:

Про уязвимость WPA ( https://hashcat.net/forum/thread-7717.html ) - уязвим только WPA Enterprise (802.1X) с включенными расширениями роуминга 11r/k/i/q, т.е. потенциально уязвимы только "серьезные" корпоративные сети. Стоит напомнить, что например у популярного Ubiquity роуминга на базе 11r/k/i/q нет.

В Вегасе в эти дни проходит конференция Black Hat, и там вообще много всего интересного рассказывают. В частности, два эксперта обнаружили способ скомпрометировать новый Мак, прямо из коробки при первом подключении к WiFi. Уязвимость связана с поддержкой систем mobile device management и device enrollment program. Мак при первом включении обращается к Apple, чтобы уточнить, что он принадлежит к какой-то корпорации и должен пройти автоматический процесс установки софта и настроек. Этим обычно занимается третья сторона - провайдер МДМ-решения. Так вот, исследователи нашли уязвимость, позволяющую «воткнуться» между сервером МДМ-сервиса и устройством жертвы, и во время настройки «натолкать» в Мак всякого вредоносного ПО. Атака сама по себе довольно нетривиальная и сложно реализуемая, но нельзя сказать, что невозможная. Исследователи смогли продемонстрировать ее только потому, что один из них работает в МДМ-вендоре и смог без проблем установить такой промежуточный MITM-сервер между компьютером и MDM-решением. Дополнительные детали по ссылке, но вообще полезно будет узнать, что в 10.13.6 эта уязвимость уже исправлена.

https://www.wired.com/story/mac-remote-hack-wifi-enterprise/

В рамках пятничного развлечения можете почитать статью, как хакеры, собравшиеся на DEF CON в Вегасе, развлекаются с доступными им устройствами (то термостат хакнут, то флешки с вирусами разбросают, и тд)
https://mashable.com/2018/08/09/def-con-hackers-break-las-vegas/

Привет. История дня — это статья в Associated Press о том, что Google следит за вашим местоположением на телефоне, даже если вы запретили в настройках приватности для Google Maps отправлять вашу информацию о местоположении на сервера Google. В общий котёл сваливается информация о местоположении, когда вы просто запустили приложение Maps, если вы открывали погодное приложение на Android. Поисковые запросы в интернете тоже сохраняются в ваш Google Account.

Чтобы полностью отключить трекинг местоположения, привязанный к аккаунту, нужно хорошенько покопаться в настройках Google на вебе. Раздел Web and App activity можно поставить на паузу, и тогда активность с любого вашего устройства не будет сохраняться в аккаунте.
настройки аккаунта тут
https://myaccount.google.com/activitycontrols

(причём там же в настройках просто Location History отключить недостаточно, пишет AP).


Детали статьи AP можно почитать по ссылке ниже

https://apnews.com/828aefab64d4411bac257a07c1af0ecb