Привет! Сегодня отличные ссылки!

1. У Лаборатории Касперского в прошлом году были определенные трудности в США: обыски ФБР у сотрудников американского офиса, запрет на покупку лицензий в госорганах, отказ основного розничного партнера от продажи продуктов компании, и тд. Это связано с различными обвинениями в сторону компании, и в том числе и о причастности компании к утечке материалов NSA (что потом было опровергнуто). На Politico вышла вчера статья о том, как та же ЛК сдала NSA их подрядчика, который "вынес" с работы 50ТБ (терабайт) данных, и почему-то пытался связаться с Евгением Касперском. Поскольку сотрудникам ЛК этот Мартин показался связанным с Shadow Brokers, они сообщили о нем в NSA.

2. Google решила ограничить для многих приложений доступ к SMS и истории звонков, если это не является основной или необходимой функциональностью приложения.
https://support.google.com/googleplay/android-developer/answer/9047303?hl=ru

3. Хотите заработать 2млн долларов? Все, что вам нужно — это обнаружить уязвимость нулевого дня, обеспечивающую удаленный джейлбрейк iOS. Там есть и выплаты за другие операционные системы, но больше всего денег дают все-таки на обнаруженные уязвимости в iOS.
https://zerodium.com/program.html

4. Невероятной интересности тред в Твиттере про поимку El Chapo. Там все, что автор писал в последние несколько дней, выглядит как сериал Narcos в текстовом режиме, но этот тред особенно интересен. Мне особенно понравилось, что El Chapo попросил своего IT-шника установить на телефон жены программное обеспечение для слежения за ней (Flexi-Spy). Затем этот IT-шник начал сотрудничать с ФБР, рассказал им об этом факте, ФБР пришла с ордером к разработчику этого ПО, и получила доступ к переписке El Chapo с женой. (та же история с двумя его любовницами). Неожиданный вектор атаки.
https://twitter.com/alanfeuer/status/1083033189956964353

5. Бага в выдаче результатов поиска Google, позволяющая с помощью пары символов в адресной строке выдавать какие угодно результаты в knowledge graph
https://wietzebeukema.nl/blog/spoofing-google-search-results

PS редакция на несколько дней уйдет в себяоффлайн, поэтому обновления канала возобновлятся на где-то на следующей неделе. Не сломайте тут интернет, пока меня не будет.

Привет! После небольшого, но приятного перерыва, редакция с новыми силами врывается в мир новостей информационных опасностей. Поскольку за время отсутствия редакции появилось много интересного материала, то начнем с коллекции ссылок про различные утечки.

1. Исследователь обнаружил некорректно настроенный сервер Jira, принадлежащий NASA, на котором любой желающий мог узнать имена и электронные адреса сотрудников NASA, а также проекты, над которыми они работали.

https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

2. Незащищенный сервер с миллионами записей о звонках и текстовых сообщениях на протяжении длительного времени был доступен в интернете с открытым доступом. Если вам кажется, что вы испытываете чувство дежавю, то вам не кажется. В ноябре похожая история была с компанией Vovox (https://t.me/alexmakus/2513), на серверах которой хранились миллионы текстовых сообщений, включая коды сбросов паролей и двухфакторной аутентификации. Теперь отличилась компания Voipo с десятками гигабайт пользовательской информации.
https://rainbowtabl.es/2019/01/15/voipo-data-leak/

3. Система бронировки авиабилетов Amadeus, которую используюсь многие крупные авиакомпании мира, позволяла изменить чужое резервирование, зная только номер бронировки человека — путем подстановки кода бронировки в веб-адрес израильской авиакомпании El Al.

https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/

4. Очередной незащищенный инстанс MongoDB на 854ГБ данных содержал более 200 млн резюме, включая различную персональную информацию, такую как номера телефонов, рост-вес, и тд. Судя по скриншотам, речь идет о китайских пользователях, информация о которых собиралась с различных сайтов на протяжении многих лет.
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

5. Исследователь по безопасности обнаружил ряд уязвимостей в программном обеспечении популярных хостинговых сайтов (Bluehost, DreamHost, Hostgator, OVH, iPage), которые позволяли захват пользовательских учетных записей.
https://www.websiteplanet.com/blog/report-popular-hosting-hacked

6. На Филиппинах субподрядчик по выдаче гражданских паспортов после разрыва контракта "ушел" со всеми данными, и теперь тем гражданам страны, которым нужно обновить паспорт, часто приходится приносить свидетельства о рождении. Какой-то WTF! (тоже своего рода утечка)
https://www.philstar.com/headlines/2019/01/12/1884444/dfa-passport-maker-runs-all-data

Вчера сайт Have I Been Pwned обновился новыми материалами по утекшим логинам и паролям. В результате многие подписчики этого сайта, в том числе и я, получили такую нотификацию:
(https://alexmak.net/wp-content/uploads/2019/01/Screen-Shot-2019-01-17-at-10.39.46-AM.png)


Проект, созданный известным экспертом по безопасности Трой Хантом, давно специализируется на слежении за известным утечками, и обеспечивает уведомление подписчиков о том, что их логин или пароль обнаружены среди утекших материалов. В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

В целом, нельзя сказать, что это какая-то особенная новость, но я решил об этом написать, потому что:
а) ко мне обратились читатели с вопросом, можно ли вообще доверять этому сайту. Вообще, конечно, в интернете нельзя доверять никому!
б) другой читатель прислал материал из одного канала, в котором сайт HIBP вообще обозвали фейком и мошенническим. "Это старинный прием спамеров". Рука, встречай лицо.

Я не буду пытаться вам доказывать, можно или нельзя доверять Трою или его сайту. Достаточно будет сказать, что я не видел у других экспертов по инфобезопасности предметной критики этого проекта или призывов не доверять данным этого сайта, или призывов не вводить адрес электронной почты и пароли для проверки на предмет утечки. Вот есть еще материал о том, как обеспечивается проверка пароля на утечку и как обеспечивается его анонимность. Популярные менеджеры паролей тоже интегрируются с HIBP для того, чтобы проводить аудит логинов и паролей, сохраненных в менеджере паролей. Так что да, фейк и мошенничество это все.

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: "there is no such thing as an IoT security camera".
https://twitter.com/ErrataRob/status/1084567735990919168

Еще несколько интересных и актуальных ссылок на тему канала:

1. Заметка о модной штуке в ФБ и других соцмедиа — постах с фотографиями за 10 лет. Автор рассуждает на тему того, что такие посты хорошо помогают тренировать алгоритмы об изменениях человека с возрастом, что дает социальным сетям дополнительную информацию о нас. Что само по себе как бы не плохо, просто факт.
https://www.wired.com/story/facebook-10-year-meme-challenge/

2. Исследование о том, что пользователи очень плохо представляют себе масштабы сбора информации Фейсбук о них. Я с этим сталкиваюсь каждый раз, когда натыкаюсь на очередное обсуждение слухов о том, что "фейсбук нас слушает через микрофон смартфона".
http://www.pewinternet.org/2019/01/16/facebook-algorithms-and-personal-data/

3. Интересный feature request к Google для того, чтобы внедрить специальный PIN на телефоне, который бы приводил к удалению данных на устройстве. Конечно, риски случайно удалить данные есть, но для некоторых ситуаций это может оказаться полезным
https://issuetracker.google.com/issues/121372590

4. Илон Маск выставил Tesla в соревновании по взлому Pwn2Own
https://www.theverge.com/2019/1/14/18182539/teslas-model-3-pwn2own-cansec-west-bug-bounty-hacked

5. Уязвимость в Fortnite позволяла злоумышленникам перехватывать учетные записи пользователей.
https://research.checkpoint.com/hacking-fortnite/

6. Большой материал о Magecart, группировке, которая взламывает сайты и подключает свое вредоносное ПО для кражи данных о банковских картах
https://www.riskiq.com/blog/labs/magecart-adverline/

7. Как Твиттер раскрывал информацию о местоположении пользователей
https://arxiv.org/pdf/1901.00897.pdf

Оставлю вас на выходные с большой коллекцией ссылок на почитать.

1. Федеральный судья в США постановил, что полиция не может принудить человека разблокировать iPhone c помощью Face ID или Touch ID, таким образом приравняв биометрическую безопасность устройств к паролям. Я как-то писал об этой коллизии между биометрией и паролями "в голове", так что официальное решение суда по этому поводу вносит какую-то ясность в этот вопрос.

https://www.documentcloud.org/documents/5684083-Judge-Says-Facial-Recognition-Unlocks-Not.html

2. У The Verge вышло интервью с техническим директором компании Vizio, крупного производителя телевизоров в США. В свое время компания оказалась участником скандала, в рамках которого обнаружилось, что компания скрытно собирала информацию о том, что пользователи смотрят на экране телевизоров. Эта история опять всплыла, когда на CES Apple анонсировала, что в телевизорах Vizio (а также Samsung, LG, Sony) появится поддержка AirPlay и HomeKit. Тут же последовали вопросы, как Apple, которая борется за конфиденциальность данных своих пользователей, будет мириться с такими практиками в современном телемире. (ответ на этот вопрос был такой, что у Apple условие с телепроизводителями, что данные, идущие по AirPlay/HomeKit, собираться и обрабатываться не могут). Но речь немного не об этом. Так вот, в интервью он признал, что сбор данных, по сути, частично отбивает стоимость телевизоров, иначе телевизоры (без smart-функциональности) были бы просто дороже. (Прекрасно, прекрасно!). Так что за дешевые телевизоры пользователи просто платят своими данными, и очевидно, что дальше будет хуже.

https://www.theverge.com/2019/1/7/18172397/airplay-2-homekit-vizio-tv-bill-baxter-interview-vergecast-ces-2019

3. Тим Кук, генеральный директор Apple, опубликовал заметку в журнале Time, в которой призвал к принятию в США закона о конфиденциальности пользовательских данных. Все, как он неоднократно говорил: 1. минимизация сбора данных, 2. право на знание о том, что за данные собираются и зачем, 3. Право на доступ пользователей к своей информации, включая изменение и удаление, и 4. право на безопасность данных. Не то, чтобы европейский GDPR внезапно сделал нам всем хорошо и безопасно, но лучше, конечно, чтобы и на этой стороне водоема под названием Атлантический океан что-то такое было.

http://time.com/collection/davos-2019/5502591/tim-cook-data-privacy/

4. Твиттер рассказал о баге, который привел к тому, что часть твитов у защищенных аккаунтов на смартфонах с Android оказывалась публично доступной. На протяжении нескольких лет.
https://help.twitter.com/en/protected-tweets-android

5. Популярный плагин для WordPress — Social Network Tabs, используемый для подключения аккаунтов социальных сетей к сайту, оставлял токены прямо в исходном коде сайтов на WordPress.
https://twitter.com/fs0c131y/status/1085828186708066304

Отлично

Читатель прислал интересную ссылку
https://habr.com/ru/company/cisco/blog/436662/

Привет! После неожиданного затишья — снова большая коллекция интересных ссылок на тему того, как практически вся информация находится опасносте! В ней каждый найдет для себя что-то интересное.

1. Хакеры взламывают и управляют промышленными кранами
https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/

2. Новый отчет о состоянии кибербезопасности в министерстве обороны США . Незакрытые серверные боксы, передача незашифрованных данных через USB-флешки, отсутствие двухфакторной аутентификации, пароли по умолчанию во многих системах — это только некоторые из сотен проблем, обнаруженных комиссией по исследованию проблемы.
https://media.defense.gov/2019/Jan/11/2002078551/-1/-1/1/DODIG-2019-044.PDF

2а. Кстати, а вот еще интересный PDF — "Национальная стратегия разведки США" на 2019 год.
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf

3. Полиция в США часто применяет камеры для распознавания номеров автомобилей. Журналист TechCrunch обнаружил более 150 устройств для распознавания автомобильных номеров, которые подключены к интернету, и данные на которых доступны к просмотру. Как правило, речь идет о паролях по умолчанию, которые описаны в документации, и которые никто не меняет.
https://techcrunch.com/2019/01/22/police-alpr-license-plate-readers-accessible-internet/

4. Все, как я люблю — хакеры подключились к камере Nest и напугали владельцев камеры объявлением, что на США летят ракеты Северной Кореи. А все потому, что повторное использование паролей — зло!
https://www.mercurynews.com/2019/01/21/it-was-five-minutes-of-sheer-terror-hackers-infiltrate-east-bay-familys-nest-surveillance-camera-send-warning-of-incoming-north-korea-missile-attack/

5. Apple выпустила вчера апдейты для своих операционных систем, и там всегда интересно читать содержимое исправлений безопасности
iOS 12.1.3
macOS Mojave 10.14.3
tvOS 12.1.2
watchOS 5.1.3

(10 исправлений уязвимостей, обнаруженных разработчиками Google, в iOS 12.1.3)

6. Эксперт и архитектор по безопасности, работавший в Apple, перешел в правозащитную организацию ACLU и рассказывает в интервью о наблюдении, опасности бэкдоров и других интересных вещах
https://motherboard.vice.com/en_us/article/wjmqgw/apples-security-expert-joined-the-aclu-to-tackle-authoritarian-fever

7. Забавный хэштег в Твиттере — shodansafari, где выкладывают всякие интересности в широко известном в узких кругах поисковике Shodan. Этот поисковик используется для обнаружения незащищенных и открытых устройств и баз данных. Камеры, роутеры, устройства для обнаружения взрывчатки и много всего другого... Иногда интересно, иногда вызывает депрессию.
https://twitter.com/hashtag/shodansafari?src=hash&ref_src=twsrc7Ctwcamp7Ctwterm%5E1062457924679811073&ref_url=https2F%2Ftechcrunch.com2F012Fshodan-safari%2F

8. Апдейт от Google про 2018 год в G Suite. Из которого, в частности, мне было интересно узнать, что каждую минуту система обрабатывает почти 10 млн спам и фишинговых писем.
https://cloud.google.com/blog/products/g-suite/2018-in-g-suite-a-year-in-review

9. Уязвимость в WiFi прошивке затрагивает ноутбуки, смартфоны, роутеры. Уязвимость в прошивке чипсета Marvell Avastar 88W8897, используемого в Sony PlayStation 4, Xbox One, ноутбуках Microsoft Surface и Samsung Chromebooks, в смартфонах Samsung Galaxy J1 и тд.
https://www.zdnet.com/article/wifi-firmware-bug-affects-laptops-smartphones-routers-gaming-devices/

По-прежнему не набирается основательного материала для отдельной заметки (что, учитывая направленность канала, хорошо), поэтому коллекция интересных ссылок на тему. Часть ссылок прислана читателями, за что им спасибо.

1. Помните "ОГРОМНЫЙ СЛИВ НА 773 МИЛЛИОНА АККАУНТОВ", о котором трубили многие СМИ? Я о нем тоже писал на прошлой неделе. Я там, в частности, упомянул, что это не является чем-то необычным:

В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

Но читателям канала будет интересно также ознакомиться с материалом у Брайана Кребса, который разыскал автора этой коллекции. Тот рассказал, что именно "Коллекции 1" примерно 2-3 года, и собрана она была из всяких разных утечек, размещаемых русскими хакерами на всяких форумах дарквеба. ууууу, страшно, опять эти вездесущие русские хакеры. Но вывод из этого один: повторное использование пароля — зло, и самое главное — это защитить хотя бы один, самый главный аккаунт — почту, к которой привязаны многие другие аккаунты.
https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old/

2. Мама залогинилась удаленно, посмотреть в видеоняню, и обнаружила в кадре чужую спальню. Еще одна причина избегать установки дома лишних камер. КЛИКАЙ, ЧТОБЫ УВИДЕТЬ, ЧТО ПРИВЕЛО ЕЁ В ВОСТОРГ!
https://www.news.com.au/lifestyle/parenting/babies/terrified-mum-sees-strangers-bedroom-after-logging-into-remote-video-baby-monitor/news-story/683a9d4bc2650340d327c48ef4a6f3d9

3. Только вчера я писал о том, что хакеры подключались к камере Nest и озвучивали предупреждение о ракетной атаке. Теперь хулиганы делают то же самое, но призывают подписываться все на того же ютюбера Pewdiepie. Ранее призывы к подписке рассылали на чужие принтеры и даже на телевизоры
https://motherboard.vice.com/en_us/article/xwb8j7/watch-a-hacker-access-nest-cameras-and-demand-people-subscribe-to-pewdiepie

4. Abusing Exchange: One API call away from Domain Admin
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

========= РЕКЛАМА ========
16–17 февраля на площадке Digital October в Москве пройдут два интенсива от @binarydistrict_ru и Академии кибербезопасности BI.ZONE. А для подписчиков канала действует скидка 10% по промокоду alexmakus

Безопасность веб-приложений
Практический интенсив по безопасности веб-приложений с экспертами из BI.ZONE при поддержке Академии кибербезопасности. Вы узнаете:

- Актуальные киберугрозы для веб-приложений и виды уязвимостей
- Подход к анализу защищенности веб-приложений от А до Я
- Как выявлять уязвимости в веб-приложениях
- Как исправлять уязвимости и разрабатывать безопасные веб-приложения

На интенсиве будет много практики и разбор кейсов из опыта спикеров.
Регистрируйтесь: https://goo.gl/GbeFJ8

Расследование кибератак для бизнеса
Интенсив по компьютерной криминалистике от эксперта Академии кибербезопасности BI.ZONE.
Вы узнаете, какие атаки совершают на корпоративный и частный секторы и научитесь создавать криминалистические образы накопителей и оперативной памяти, восстанавливать и извлекать артефакты работы вредоносного ПО, представлять сценарий проведения атаки и предоставлять рекомендации после расследования.

Помимо этого:
- На курсе будет возможность охватить весь процесс криминалистического анализа инцидента для ОС Windows
- Для прохождения практики будет предоставлен специально подготовленный флеш-накопитель с требуемым ПО
- Вы разберете кейсы из опыта спикера и сможете обсудить собственные
Регистрируйтесь: https://goo.gl/SsXXBM
========= РЕКЛАМА ========

Хорошая неделя была: хорошо, что заканчивается!

1. Поэтому начнем с хороших новостей. Ну как... Относительно. NYT пишет (paywall), что Цукерберг распорядился интегрировать WhatsApp, Instagram и Facebook Messenger. Диванные эксперты говорят, что это на случай, если вдруг американские конгрессмены решат раздеребанить ФБ на части. Но хорошая часть заключается в том, что Цукерберг также сказал, что все мессенджеры должны поддержать оконечное (e2e) шифрование переписки. Пока что это умеет только WhatsApp, и у Messenger есть Secret Conversations, но об этой функциональности мало кто знает.
Не paywall https://outline.com/9v69jV

2. Интересный отчет про стеганографию (вшивание информации) в изображения и использование JavaScript для доставки вредоносного ПО на Маки через рекламу в браузерах
https://blog.confiant.com/confiant-malwarebytes-uncover-steganography-based-ad-payload-that-drops-shlayer-trojan-on-mac-cd31e885c202

3. В США из компании Ascension утекли данные десятков тысяч пользователей, бравших ипотеку в американских банках. База данных Elasticsearch с данными за десятки лет, содержит в себе массу финансовой информации на ничего не подозревающих пользователей. Пффф, тоже мне новость, скажут регулярные читатели канала, "каждый день что-то утекает". На самом деле интересно то, что данные утекли из подрядчика компании, который занимался сканированием и распознаванием данных. Поэтому потом обнаружился еще второй сервер, на котором лежали просканированные оригиналы документов. Это я к тому, что мало защищать себя, прочность системы определяется тем, насколько слабо самое слабое звено цепочки.
Обнаружил эту базу исследователь Mayhem Day One, а подробные отчеты были опубликованы на techCrunch:
https://techcrunch.com/2019/01/23/financial-files/
https://techcrunch.com/2019/01/24/mortgage-loan-leak-gets-worse/

Не по теме, но смешно

читатель прислал очень интересное, хотя трюк и не новый
https://t.me/MicrosoftRus/715

Поздравляю читателей канала с Днем Защиты Данных, который отмечается 28 января! Во всем мире проходят праздничные демонстрации и парады, чеканят шаг хакеры в белых головных уборах, стройными рядами, выдерживая равнение, маршируют эксперты по безопасности, и тд, и тп. Ну вы понели

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление "будет выпущено на этой неделе".

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать "Выключить FaceTime".
На iPhone или iPad, нужно зайти в приложение "Настройки", найти там FaceTime, и отключить верхнюю галку.

Берегите свою информацию!


Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.


Источник:
https://www.idownloadblog.com/2019/01/28/apple-disables-group-facetime-after-critical-privacy-bug-surfaces/

Вчера на TechCrunch вышел материал о приложении Facebook Research для iOS и Android. Это приложение распространяется через сторонние сервисы под соусом "исследования аудитории", вот страница для регистрации по участию в сервисе (кроме Applause, используются сервисы BetaBound и uTest). Требование к аудитории — проживание в США и возраст от 13 до 37 лет. Участие в исследовании предполагает оплату 20 долларов в месяц, а в обмен на это приложение собирает с телефонов пользователей практически все, что можно с телефонов собрать. Дело в том, что:
а) приложение для iOS распространяется с использованием сертификата разработчика Apple для корпоративных приложений, что дает Facebook практически полный доступ к данным пользователей на телефонах, включая фото и видео, почту, историю в браузерах, информацию о местоположении и тд.
б) приложение является замаскированным VPN-клиентом Onavo, принадлежащим Facebook, и, соответственно, дает Facebook доступ ко всему сетевому трафику устройств, на которых установлено такое приложение.
В некоторых случаях приложение даже просит аплоадить скриншоты истории покупок на Amazon (что вообще?).

Про Onavo вы можете помнить из истории еще летом, когда оказалось, что Facebook собирает слишком много информации о пользователях, не предупреждая их об этом, и в итоге Onavo убрали из App Store. Именно Onavo, кстати, в свое время показал Фейсбуку рост популярности WhatsApp, что привело к приобретению сервиса компанией Facebook. Но тут ситуация осложняется не только тем, что сервисы, распространяющие это приложение, не раскрывают полный набор данных, собираемых этим приложением (достаточно посмотреть на описание внизу страницы регистрации).

“By installing the software, you’re giving our client permission to collect data from your phone that will help them understand how you browse the internet, and how you use the features in the apps you’ve installed . . . This means you’re letting our client collect information such as which apps are on your phone, how and when you use them, data about your activities and content within those apps, as well as how other people interact with you or your content within those apps. You are also letting our client collect information about your internet browsing activity (including the websites you visit and data that is exchanged between your device and those websites) and your use of other online services. There are some instances when our client will collect this information even where the app uses encryption, or from within secure browser sessions.”

Большинство пользователей, особенно подростки, в мир которых так хочет заглянуть Facebook, не способны полноценно осознать масштабы сбора информации, который осуществляет это приложение. Что именно собирает приложение, точно сказать невозможно, не посмотрев на логи на сервере, но зная Facebook, можно предположить, что все, до чего могли дотянуться их руки, они собирают.

Проблема еще и в том, что корпоративный сертификат разработчика Apple нельзя использовать для распространения приложений таким образом. Enterprise сертификаты могут использоваться для подписи приложений, которые будут использоваться сотрудниками компании для внутренних нужд, с целью разработки и тестирования. Непонятно, какой будет реакция Apple в этой ситуации. Теоретически компания может (и должна) отозвать корпоративный сертификат разработчика Facebook, но там и до полноценной войны между двумя корпорациями недалеко. У Apple не так много рычагов для влияния на Facebook — не станет же Apple удалять приложение Facebook из App Store. Но это настолько очевидная пощечина Apple с её борьбой за конфиденциальность пользовательских данных, что компания просто обязана как-то отреагировать. Пора доставать попкорн.

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в "исследовании" пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что "мы там всех предупреждали и запрашивали разрешения".

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
- публикуется новость
- фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
- затем наступает фаза "Мы ничего не нарушали, но мы прекращаем эту практику"
- затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
- затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
- Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что "фейсбук как всегда" не так уж далека от правды.

Reuters опубликовали материал о проекте Raven и ПО Karma, которое позволяло, используя некую уязвимость в iMessage, получать доступ к пользовательским данных на iPhone, включая фото, почту, текстовые сообщения и информацию о местоположении. Проектом занимались бывшие представители разведки США, которые осуществляли атаки для Объединенных Арабских Эмиратов с целью получения информации на активистов, дипломатов и зарубежных лидеров.

Интересно то, что уязвимость, которая была использована (деталей, к сожалению, нет), позволяла получить доступ к данным без необходимости пользователю кликнуть на какую-то ссылку. Достаточно было в систему ввести Apple ID (номер телефона или адрес электронной почты жертвы), жертва получала сообщение, но при этом никакого взаимодействия не требовалось. После получения сообщения происходила установка некоего вредоносного ПО, видимо, после этого происходил джейлбрейк устройства и данные начинали передаваться с устройства на сервер разведчиков.


Мне это напомнило историю с "Троицей" уязвимостей в iOS, которые Apple срочно исправляла в iOS 9.3.5. Происходило это во второй половине 2016 года, и вызывает вопросы, не связаны ли эти истории, или же не использовались ли похожие уязвимости в Trident и Karma (например, для того же джейлбрейка "втихаря" и последующей доставки вредоносного ПО). На данный момент неизвестно, применяется ли Karma, и были ли исправлены в iOS уязвимости, которые этим ПО эксплуатировались. В статье отмечается, что к концу 2017 года обновления в iOS сделали Karma гораздо менее эффективным. Apple никак не прокомментировала информацию, изложенную в материале Reuters. Все же не зря за уязвимости в iOS платят по 2 млн долларов, чтобы потом можно было их использовать в том числе и для такой активности.

PS Кроме того, в статье упоминается, что "Karma не работало на устройствах с Android", что вообще-то очевидно, учитывая, что для взлома использовалась уязвимость в iMessage, которого на Android нет.