так-так-так, а что это тут у нас? похоже, что у google есть такое же “исследование”, как у Facebook, за который FB только что получил лишение девелоперского сертификата https://support.google.com/audiencemeasurement/answer/7573812?hl=en&ref_topic=7574346

и статья на TechCrunch опять о Google Screenwise https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.
Про бан https://alexmak.net/2019/01/30/payback-facebook/
Программа Google https://support.google.com/audiencemeasurement/answer/7573812?hl=en&ref_topic=7574346
И об этой программе https://techcrunch.com/2019/01/30/googles-also-peddling-a-data-collector-through-apples-back-door/

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей.
https://www.wired.com/story/collection-leak-usernames-passwords-billions/

HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)
Про багу https://alexmak.net/2019/01/28/facetime/
Про disclosure https://en.wikipedia.org/wiki/Responsible_disclosure
Про прокуратуру https://www.theverge.com/2019/1/30/18204213/apple-facetime-bug-new-york-state-investigation

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

PS WTF, нормально же все было!

Черт. Только стоило мне запостить пост, и оказалось, что Apple отозвала корпоративный сертификат и у Google!
https://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-apps-developer-certificate

Сегодня у нас несколько follow-ups для новостей этой недели, и несколько очень интересных статей для почитать на выходных.

1. После того, как Apple обнаружила, что Facebook и Google распространяли приложения с сертификатом для разработки корпоративных приложений среди пользователей, включая подростков, фруктовая компания отозвала эти сертификаты. Это внесло некоторый бардак в работу F/G, поскольку у них перестали работать многие внутренние приложения. Так вот, сегодня Apple выдала этим компаниям новые сертификаты, и конфликт, видимо, исчерпан. F/G придётся, конечно, пересобрать все свои внутренние приложения, чтобы они начали работать у сотрудников компаний. Интересно, что они пообещали Apple в обмен на такое решение? Уверен, эти вопросы решились на уровне первых лиц компаний.
FB https://twitter.com/mikeisaac/status/1091103868463636481?s=21
G https://twitter.com/mhbergen/status/1091168798856556544?s=21
Интересная статья о том, что происходило в FB, когда внутренние приложения перестали работать
https://www.nytimes.com/2019/01/31/technology/apple-blocks-facebook.html

2. Помните историю с багом FaceTime, позволявшим подслушивать собеседника до того, как он ответил на звонок? Изначально Apple обещала исправить багу на этой неделе. Сегодня компания сказала, что бага на серверной стороне исправлена, а вот апдейт с iOS выйдет на следующей неделе. Тогда же компания и включит функциональность обратно. Заодно компания поблагодарила обнаруживших баг, извинилась за него, а также пообещала улучшить процесс подачи информации о подобных находках. Хотя, конечно, осадочек остался.

3. Zeroidum предлагает более 100 тыс долларов за информацию об уязвимостях нулевого дня в роутерах MikroTik
https://twitter.com/Zerodium/status/1090950214121222144

4. Уязвимости в протоколе SS7, используемом мобильными операторами для синхронизации передачи текстовых сообщений и звонков, реально применяются уже для атак на банковские счета пользователей в Великобритании и Германии (злоумышленницам все равно надо знать логин и пароль пользователя, но всеми утечками и данными в интернете это обычно не проблема). Злоумышленники заводят новых получателей и делают на них переводы, перехватывая SMS. Двухфакторная аутентификация через SMS должна умереть.
https://motherboard.vice.com/en_us/article/mbzvxv/criminals-hackers-ss7-uk-banks-metro-bank
https://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

5. Airbus признал, что у компании вследствие взлома произошла утечка персональных данных сотрудников
https://thehackernews.com/2019/01/airbus-data-breach.html

6. Не новость, но хорошая заметка от ACLU, известной правозащитной организации в США о Ghost Proposal, рекомендациях британской разведки для внедрения бэкдоров для скрытного «прослушивания» переписки. Казалось бы, что может пойти не так?
https://www.aclu.org/blog/privacy-technology/consumer-privacy/spies-want-make-facetime-eavesdropping-bug-feature

7. Ещё одна история про сайт с информацией о ДНК и как это помогло решить одно нераскрытое убийство в штате Орегон. Информация о ДНК с места преступления позволила найти семью убийцы (тот был казнен в 1999 году), и они подтвердили, что 40 лет назад тот действительно находился в поездке на северо-западе побережья Тихого океана.
https://www.portlandoregon.gov/police/news/read.cfm?id=199719&ec=1&ch=twitter

8. Прогноз о том, что ситуация со взломами будет ухудшаться (пффф, тоже мне новость):
https://www.pehub.com/vc-journal/this-will-be-the-worst-year-yet-for-cyberbreaches/

В этот знаменательный день Более безопасного интернета у меня для вас такие новости:

1. В ЕС идет отзыв детских смартчасов ENOX Safe-KID-One, потому что слежка, никакой защиты данных (данные передаются на сервер без шифрования), да еще и компания с непонятными концами в Китае. Все очень плохо.
https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en

2. В своей борьбе за конфиденциальность Apple, кажется, выплеснула ребенка вместе с водой (хотя это может быть просто ошибка). В бете 12.2 для Safari появилась опция ограничения доступа к данным о движении и ориентации (не сексуальной). Правда, это ограничило функциональность для рекламы с использованием дополненной реальности (AR) или 360-градусных видео. Конечно, надо будет зайти в настройки и включить эту опцию, но это для многих пользователей может оказаться слишком непосильной задачей.

3. Любитель подменить чужую SIM-карту, чтобы перехватить пароль из 2FA и украсть немного криптовалюты согласился на предложенный ему срок 10 лет тюрьмы.
https://www.mercurynews.com/2019/02/04/cryptocurrency-thief-cops-to-million-dollar-hacking-scheme-as-tech-squad-builds-rep/

4. В WhatsApp для iOS добавили дополнительную защиту для входа в приложение по Touch ID/Face ID
https://9to5mac.com/2019/02/03/whatsapp-update-face-id-ios/

5. Какая-то прекрасная история про аккаунт admin@kremlin.ru в 2000 MongoDB базах
https://www.zdnet.com/article/unsecured-mongodb-databases-expose-kremlins-backdoor-into-russian-businesses/

6. Еще ссылка от читателя про магическое устройство для защиты российского интернета от киберопасносте
https://ssau.ru/news/16293-uchenye-razrabotali-ustroystvo-obespechivayushchee-kiberbezopasnost-rossiyskogo-interneta
и комментарии по этому поводу, лол
https://t.me/zatelecom/8460

1. Огромный материал от Motherboard об отрасли "разблокировки" ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из "Связки Ключей" в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.



3. Google запустила свой собственный сервис проверки утекших паролей, и для этого опубликовала свое расширение для Chrome:
https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
Google утверждает, что передача всех данных зашифрована, и Google не видит ваши данные, которые передает расширение. А пароли в самой базе данных Google хешированы и зашифрованы.

4. Военно-морским силам США нужна помощь в удалении данных. У них там скопилось 2 тонны оборудования, которые нужно сжечь в пыль, чтобы убедиться, что секретная информация, хранящаяся на устройствах, была полностью уничтожена. Вот это, я понимаю, OpSec.
https://www.nextgov.com/cybersecurity/2019/02/navy-needs-2-tons-storage-devices-burned-ash/154629/

5. Одной строкой
ADV190007 | Guidance for "PrivExchange" Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007

Google Patches Critical .PNG Image Bug
https://threatpost.com/google-patches-critical-png-image-bug/141524/

Reverse RDP Attack: Code Execution on RDP Clients
https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Popular South Korean Bus App Series in Google Play Found Dropping Malware After 5 Years of Development
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malbus-popular-south-korean-bus-app-series-in-google-play-found-dropping-malware-after-5-years-of-development/

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!

Собственно, проблема не столько в самом сборе пользовательских данных приложениями, аналитика для этого и существует. Проблемы в данном случае больше в том, что:
а) если приложения и предупреждают пользователя о том, что они что-то там сохраняют из пользовательской информации, то это предупреждение записано где-то мелким текстом на 158 странице пользовательского соглашения, и туда вообще редко какая птица долетит. Среди тех приложений, которые изучили журналисты TechCrunch, в пользовательском соглашении о записи экрана не говорит вообще никто.
б) эти мобильные СДК, сохраняя данные о пользовательских сессиях, зачастую плохо маскируют некоторые действительно конфиденциальные данные, такие как адрес электронной почты или данные банковской карты, что действительно очень нехорошо.

Кроме того, часть приложений отправляет данные на сайт самой аналитической компании, часть — на свои сервера, и что там происходит с этими данными, как они хранятся, и кто к ним имеет доступ, вообще мало кто рассказывает. Но важно также и понимать, что подобные приложения могут сохранять запись сессии только внутри своего приложения, доступа к экранам других приложений или системы приложения, использующие эти SDK, не имеют (а то некоторые журналисты уже понаписали заголовков, как будто там пишут всех и все). В самой iOS есть функция записи экрана, но она контролируется через API системы и явно демонстрирует, когда запись активна. Было бы неплохо, чтобы Apple и Google со своей стороны активнее форсила такие приложения декларировать свои намерения по записи сессий в приложении.

Facebook для показываемых вам реклам даст возможность увидеть, кто загрузил вашу пользовательскую информацию (номер телефона, адрес электронной почты) для последующего таргетинга.
https://www.facebook.com/AdvertiserHub/posts/announcing-new-custom-audience-transparency-updatesthroughout-2018-we-introduced/1895864350540354/

«Ведомости»: Google начал удалять из выдачи сайты по требованию Роскомнадзора
https://rtvi.com/news/vedomosti-google-nachal-udalyat-iz-vydachi-sayty-po-trebovaniyu-roskomnadzora/

“В Роскомнадзоре заявили ТАСС, что наладили с Google конструктивный диалог и довольны сотрудничеством с компанией.”

И дополнение с хорошим комментарием
https://t.me/usher2/760

Я писал про скандал, который разворачивается в США, по поводу того, что местные мобильные операторы активно приторговывали информацией о местоположении пользователей. Это позволяло получить доступ к этой информации практически произвольным людям за относительно небольшую сумму, чем активно пользовались bounty hunters (охотники за людьми, обнаруживающие их за выплату гонорара). Тогда казалось, что это был какой-то экстремальный случай, а не то, чтобы устоявшаяся практика. Новый материал на Motherboard показывает, что это происходило в гораздо больших масштабах, чем представлялось ранее, с десятками тысяч запросов от разных компаний для поиска беглецов из-под залога. Вроде бы даже за операторов решили взяться в Конгрессе США по этому поводу, посмотрим, насколько небольшим штрафом они отделаются в этот раз.
https://motherboard.vice.com/en_us/article/43z3dn/hundreds-bounty-hunters-att-tmobile-sprint-customer-location-data-years

WeWork, компания-организатор коворкинговых пространств, приобрела компанию Euclid, которая занимается трекингом людей и их поведения в реальном мире. WeWork планирует использовать разработки Euclid для мониторинга поведения посетителей коворкинга. Это норма!
https://techcrunch.com/2019/02/07/wework-just-acquired-spatial-analytics-platform-euclid-to-bolster-its-software-offerings/

Apple выпустила апдейт для iOS 12 (iOS 12.1.4), который исправляет ошибку в работе групповых звонков FaceTime, позволявшую "подслушивать" микрофон абонента на второй стороне звонка, до того, как абонент ответил на звонок. О самой ошибке было достаточно материалов в канале (раз, два, три), а вот теперь, после небольшой задержки вышло и исправление. Подозреваю, что и функциональность групповых звонков на серверах тоже скоро включат за хорошее поведение.

Это прекрасно. чуваки через щель для почты в двери управляют с помощью Алексы термостатом соседа снизу (потому что когда снизу тепло, то можно свой термостат выключить)

Вчера Apple выпустила обновление iOS 12.1.4, которое исправляет ошибку в групповых звонках FaceTime. Но оказалось, что кроме этой ошибки (и еще одной проблемы с Live Photos), в апдейте были исправлены еще две уязвимости:

CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

Деталей, к сожалению, пока нет, но вообще говорят об эскалации прав и получении доступа к устройству. Ben Hawkes, руководитель проекта Google Project Zero, написал в твите, что обе эти уязвимости были известны какое-то время злоумышленникам и уже применялись:

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.— Ben Hawkes (@benhawkes) February 7, 2019

Так что обновление iOS до последней версии лучше не затягивать.

По следам истории с приложениями, скрытно записывающими действия пользователей с помощью стороннего SDK Glassbox, Apple отреагировала оперативно и заявила следующее:

“Protecting user privacy is paramount in the Apple ecosystem. Our App Store Review Guidelines require that apps request explicit user consent and provide a clear visual indication when recording, logging, or otherwise making a record of user activity. We have notified the developers that are in violation of these strict privacy terms and guidelines, and will take immediate action if necessary”

Таким образом, разработчики должны прямо запросить разрешения пользователя на запись активности в приложении, а также предоставить четкий визуальный индикатор записи действий пользователя. В противном случае приложениям грозит удаление из App Store.
https://techcrunch.com/2019/02/07/apple-glassbox-apps/

Комментарий: Google начал цензурировать поисковую выдачу в России?
https://www.dw.com/ru/комментарий-google-начал-цензурировать-поисковую-выдачу-в-россии/a-47427466

Целая пачка ссылок на тему превращения рунета в суверенный чебурнет (прислали несколько читателей, и я так понимаю, в России эта тема сейчас очень актуальна)
Атака изнутри: операторы протестируют закон об устойчивости Рунета
https://www.rbc.ru/technology_and_media/08/02/2019/5c5c51069a7947bef4503927
Эксперты: Для устойчивости Рунета необходима полная карта электросвязи
https://vz.ru/news/2019/2/7/963164.html
Правительство РФ намерено поддержать законопроект о защите российского сегмента интернета и его устойчивой работы, однако авторам предложено доработать документ ко второму чтению.
http://sozd.duma.gov.ru/bill/608767-7

Все мобильные устройства зарегистрируют в базе данных Россвязи
Любой новый телефон или планшет при ввозе в Россию будет проходить проверку на подлинность по международному идентификатору мобильного оборудования (IMEI, включает данные о происхождении, модели и серийном номере). Аппараты, не прошедшие проверку и не включенные в специальную российскую базу данных (ее оператором может стать Россвязь), просто не смогут подключаться к сетям операторов мобильной связи.
(то ли у меня дежавю, то ли такое уже было?)
https://rg.ru/2019/02/07/vse-mobilnye-ustrojstva-zaregistriruiut-v-baze-dannyh-rossviazi.html

Читатели вчера прислали мне примерно 100500 миллионов раз ссылку на статью про “странности в алгоритмах ГОСТ Кузнечик и Стрибог”, из которой можно сделать выводы про возможное наличие бекдоров в российских алгоритмах шифрования.
https://m.habr.com/ru/company/virgilsecurity/blog/439788/