Ну наконец-то, первый компьютер, который нельзя хакнуть (по утверждениям его создателя, а также его мамы). Несите ваши денежки побыстрее, идея компьютера пришла ему во сне!
https://www.kickstarter.com/projects/microsafex/worlds-first-patented-unhackable-computer-ever
https://www.kickstarter.com/projects/microsafex/worlds-first-patented-unhackable-computer-ever
Kickstarter
World's First Patented Unhackable Computer Ever (Canceled)
The Unhackable Computer. A new PATENTED hardware design of a Computer line that does not let any virus and Malware into it.
Я как-то пропустил совершенно на прошлой неделе новость у Reuters о том, что якобы западные разведывательные организации в прошлом году взломали Яндекс в попытках слежки за пользовательскими аккаунтами. Статья в целом изобилует интересными деталями (такими, как название malware, использованного для взлома - Regin), которое применяется разведками 5 стран, известных как Five Eyes. Взлом произошел в период с октября по ноябрь 2018 года. Целью были разработчики Яндекса и технология аутентификации пользователей сервиса. Яндекс подтвердил историю, но заявил, что попытка была быстро нейтрализована без ущерба для пользовательских данных.
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive/exclusive-western-intelligence-hacked-russias-google-yandex-to-spy-on-accounts-sources-idUSKCN1TS2SX
https://www.reuters.com/article/us-usa-cyber-yandex-exclusive/exclusive-western-intelligence-hacked-russias-google-yandex-to-spy-on-accounts-sources-idUSKCN1TS2SX
Reuters
Exclusive: Western intelligence hacked 'Russia's Google' Yandex to spy on accounts - sources
WASHINGTON/LONDON/SAN FRANCISCO (Reuters) - Hackers working for Western intelligence agencies broke into Russian internet search company Yandex in late 2018, deploying a rare type of malware in an attempt to spy on user accounts, four people with knowledge…
а вот еще одна история из прошлой недели, которую я пропустил. Если пред-сохранить альбом перед выходом в Spotify, нужно согласиться на дополнительные права лейблам, которые дают им возможность следить за всей музыкой, которую прослушивает этот пользователь, за какими исполнителями следит. Не то, чтобы это незаконно — это не так, но передача этих прав происходит както так легко и незаметно, что пользователи и не догадываются, что стали передавать гораздо больше информации о себе, чем раньше. Слежка — она везде.
https://www.billboard.com/articles/business/8517869/when-you-listen-they-watch-pre-saving-albums-allow-labels-track-users-spotify
https://www.billboard.com/articles/business/8517869/when-you-listen-they-watch-pre-saving-albums-allow-labels-track-users-spotify
Billboard
When You Listen, They Watch: Pre-Saving Albums Can Allow Labels to Track Users on Spotify
Users who “pre-save†upcoming releases to their Spotify accounts can hear music as soon as it’s out — but may not realize how much data they’re giving up in order to do so.
вредоносное ПО для Мака — OSX/CrescentCore, причем реально циркулирует. не ставится, если есть антивирус (удобно), когда ставится, маскируется под Flash (кто вообще ставит себе Flash в эти дни?), и потом пытается скачать и установить какой-то дополнительный мусор в систему
https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/
https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/
The Mac Security Blog
OSX/CrescentCore: Mac malware designed to evade antivirus - The Mac Security Blog
Meet OSX/CrescentCore, the next generation of fake Flash Player malware—now redesigned to evade antivirus detection. Hot on the heels of Intego's
Мощный отчет Motherboard/Guardian/Süddeutsche Zeitung/NYT о том, как при пересечении границы Китая туристов заставляют устанавливать шпионское ПО на их смартфоны с Android, которое сканирует сообщения, адресную книгу, фотографии и тд.
The following information is gathered:
• All calendar entries, phone contacts, country codes and dialed numbers;
• General information about the Phone (IMEI, IMSI, PhoneSN, WifiMac,
BluetoothMac, and if the device is rooted);
• Information about the Android Model (CPU_ABI, BOARD, HARDWARE);
• All stored text messages (SMS);
• Information about the current base-station;
• Information about the used hardware (Mac Addresses);
• All information accessible for various installed apps + an MD5 hash of the app;
• Mac Addresses;
• Current phone number;
• Extracted information searched by the GetVirAccount application which searches
the /sdcard for specific data of specific China-related apps. This information contains phone numbers and email addresses.
статья
https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware
и технический отчет
https://cure53.de/analysis-report_bxaq.pdf
The following information is gathered:
• All calendar entries, phone contacts, country codes and dialed numbers;
• General information about the Phone (IMEI, IMSI, PhoneSN, WifiMac,
BluetoothMac, and if the device is rooted);
• Information about the Android Model (CPU_ABI, BOARD, HARDWARE);
• All stored text messages (SMS);
• Information about the current base-station;
• Information about the used hardware (Mac Addresses);
• All information accessible for various installed apps + an MD5 hash of the app;
• Mac Addresses;
• Current phone number;
• Extracted information searched by the GetVirAccount application which searches
the /sdcard for specific data of specific China-related apps. This information contains phone numbers and email addresses.
статья
https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware
и технический отчет
https://cure53.de/analysis-report_bxaq.pdf
Vice
China Is Forcing Tourists to Install Text-Stealing Malware at its Border
The malware downloads a tourist’s text messages, calendar entries, and phone logs, as well as scans the device for over 70,000 different files.
немножко ссылок про умные гаджеты, умный дом, IoT, все как вы любите
https://blackmarble.sh/zipato-smart-hub/
https://www.vpnmentor.com/blog/report-orvibo-leak/
https://www.kaspersky.ru/blog/hacking-things/23017/?es_p=9633637
https://blackmarble.sh/zipato-smart-hub/
https://www.vpnmentor.com/blog/report-orvibo-leak/
https://www.kaspersky.ru/blog/hacking-things/23017/?es_p=9633637
BlackMarble
Breaking & Entering with Zipato SmartHubs
Breaking & Entering with Zipato SmartHubs using Pass-The-Hash vulnerability to unlock doors remotely.
модный стартап почты Superhuman использует всякие хитрости типа скрытого пикселя, чтобы радовать пользователей неожиданными функциями типа информации о том, сколько раз получатель открывал письмо
https://mikeindustries.com/blog/archive/2019/06/superhuman-is-spying-on-you
https://mikeindustries.com/blog/archive/2019/06/superhuman-is-spying-on-you
Mike Industries
Superhuman is Spying on You » Mike Industries
Over the past 25 years, email has weaved itself into the daily fabric of life. Our inboxes contain everything from very personal letters, to work correspondence, to unsolicited inbound sales pitches. In many ways, they are an extension of our …
Привет! После длинных выходных редакции канала мы возобновляем свежие трансляции в мире инфоопасностей. К счастью, за время отсутствия обновлений интернет сломали всего лишь два раза (и починили), так что вы ничего особенного не пропустили. Для разминки предлагаю посмотреть на мнение организации OpenID Foundation по поводу системы Sign In With Apple (о которой я писал недавно тут
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/). Это система аутентификации пользователей с применением Apple ID, которую Apple построила на базе OpenID, но без полной совместимости со стандартном. Это, по мнению организации, создаёт определенные риски для пользователей, которые будут пользоваться Sign In With Apple, поэтому организация призывает довести соответствие стандарту до полной совместимости.
Письмо организации
https://openid.net/2019/06/27/open-letter-from-the-openid-foundation-to-apple-regarding-sign-in-with-apple/
Список отличий реализации Apple
https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/). Это система аутентификации пользователей с применением Apple ID, которую Apple построила на базе OpenID, но без полной совместимости со стандартном. Это, по мнению организации, создаёт определенные риски для пользователей, которые будут пользоваться Sign In With Apple, поэтому организация призывает довести соответствие стандарту до полной совместимости.
Письмо организации
https://openid.net/2019/06/27/open-letter-from-the-openid-foundation-to-apple-regarding-sign-in-with-apple/
Список отличий реализации Apple
https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md
alexmak.net
Впечатления от WWDC2019 — Sign In with Apple
Я со своей колокольни “информационной опасносте” хотел бы отметить один из интереснейших анонсов на WWDC, касающийся вопросов приватности и конфиденциальности пользовательских данных — сервис Sign …
пользуясь случаем, компания Logitech передаёт привет своим пользователям! В нескольких клавиатурах, мышах и других устройствах компании, использующих Unifying USB Receiver, обнаружены уязвимости, позволяющие перехватывать набранный текст, а также отправлять свои текстовые команды на компьютер жертвы. Часть уязвимостей уже исправлена компанией Logitech, но некоторые пока остаются активными. Logitech обещает исправить их в августе. Как показывает материал по ссылке (за неё спасибо читательнице канала), найти и обновить прошивку устройства тоже не так просто.
https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html
https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html
c't Magazin
Logitech keyboards and mice vulnerable to extensive cyber attacks
Several Logitech keyboards, mice and wireless presenters suffer from security vulnerabilities, Not only can attackers eavesdrop on keystrokes, they can even infect the host system. c't has established which products are affected and what you should do now.
от читателя, zero day в Mac-клиентах Zoom https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
Medium
Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website!
Vulnerability in the Mac Zoom Client allows any malicious website to enable your camera without your permission. The flaw potentially…
с Zoom, конечно, адосик тот еще:
Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a
AAAAAAAAAAA
и ответ Zoom
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/
короткая версия: “обновитесь до последней версии”
но вообще, возвращаясь к оригинальному репорту, лучше последовать его рекомендациям и удалить эту штуку
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a
localhost
web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.AAAAAAAAAAA
и ответ Zoom
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/
короткая версия: “обновитесь до последней версии”
но вообще, возвращаясь к оригинальному репорту, лучше последовать его рекомендациям и удалить эту штуку
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
Zoom Blog
Response to Video-On Concern
This week, a researcher published an article raising [security] concerns about our video experience. What follows is our response to these concerns ...
Про преступления и наказания.
РАЗ
преступление: British Airway допустила взлом сайта и утечку данных около 500 тыс пользователей
https://t.me/alexmakus/2386
наказание: возможный штраф 183 млн фунтов
https://www.bbc.com/news/business-48905907
ДВА
преступление: взлом Starwood/Marriott, утечка данных на почти 400 млн человек
https://t.me/alexmakus/2531
наказание: штраф в 99 млн фунтов
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
а говорили, что GDPR совершенно бесполезный.
РАЗ
преступление: British Airway допустила взлом сайта и утечку данных около 500 тыс пользователей
https://t.me/alexmakus/2386
наказание: возможный штраф 183 млн фунтов
https://www.bbc.com/news/business-48905907
ДВА
преступление: взлом Starwood/Marriott, утечка данных на почти 400 млн человек
https://t.me/alexmakus/2531
наказание: штраф в 99 млн фунтов
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
а говорили, что GDPR совершенно бесполезный.
Telegram
Информация опасносте
Сегодня как-то накопилось несколько интересных ссылок, поэтому выпуск сегодня скорее похож на дайджест. Итак, поехали.
1. Полиция Нью-Йорка установила массу камер по городу для наблюдения и предотвращения угроз. IBM использовала изображения с этих камер…
1. Полиция Нью-Йорка установила массу камер по городу для наблюдения и предотвращения угроз. IBM использовала изображения с этих камер…
а прекрасная история про то, как подростки пробрались в ночью в свою школу, чтобы нарисовать там на стене свастику и прочие расистские оскорбления . маски на голову натянули, чтобы их не узнали. Только не учли, что их смартфоны автоматически, используя логины, подключились к сети школы, и их таким образом идентифицировали
The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.
https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/
The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.
https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/
Washington Post
They covered their school in racist graffiti. They apologized. But will they change?
A black principal, four white teens, and the ‘senior prank’ that became a hate crime.
Эта информация будет полезна читателям с устройствами на базе Android.
Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.
Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
Вот материал об этом на русском http://www.content-review.com/articles/47214/
А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith
https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/
Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.
Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
Вот материал об этом на русском http://www.content-review.com/articles/47214/
А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith
https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/
Тема с Zoom (популярное решение для телеконференций) и вебсервером, который разворачивало на Маке их решение, вчера, кажется, дошла до логического окончания. Вчера Apple протолкнула на Маки скрытый апдейт, который просто вычистил этот сервер от греха подальше. (веб-сервер, напомню, позволял другим пользователям без ведома подключаться к чужим конференциям, и оставался на Маке даже после удаления приложения). От пользователей никаких действий не требуется, все происходит в автоматическом режиме
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
TechCrunch
Apple has pushed a silent Mac update to remove hidden Zoom web server
Apple has released a silent update for Mac users removing a vulnerable component in Zoom, the popular video conferencing app, which allowed websites to automatically add a user to a video call without their permission.
Кстати, еще про Apple. Похоже, что кто-то сообщил компании об уязвимости в приложении Walkie-Talkie (такая рация на Apple Watch). Эта уязвимость позволяла стороннему человеку подслушивать с микрофона iPhone без согласия владельца (ЧТОВООБЩЕКАК)
We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.
Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/
We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.
Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/
TechCrunch
Apple disables Walkie Talkie app due to vulnerability that could allow iPhone eavesdropping
Apple has disabled the Apple Watch Walkie Talkie app due to an unspecified vulnerability that could allow a person to listen to another customer’s iPhone without consent, the company told TechCrunch this evening. Apple has apologized for the bug and for the…
Никогда такого не было и вот опять.Сотрудники Google прослушивают аудио, записанные колонками Google Home и Google Assistant на смартфонах. Сотрудники прослушивают некоторые записи, чтобы улучшить систему распознавания, хотя пользователи не в курсе того, что это происходит. По некоторым записям, содержащим личную информацию, журналисты смогли вычислить персональные данные людей, чьи записи оказались в базе, и подтвердить с ними тот факт, что это их записи. Кроме того, в некоторых случаях там в анализируемые записи попадают фрагменты, которые не должны были быть записаны, потому что прозвучала фраза, похожая на “окейгугл”, но не Okay, Google. NOT CREEPY AT ALL
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/
VRT.be
Google employees are eavesdropping, even in your living room, VRT NWS has discovered
VRT NWS has discovered that Google employees listen to audio picked up by smart speakers and Google Assistant, even when it was never intended for Google.
УТЕЧКА ДАННЫХ
https://twitter.com/11rcombs/status/1149219046598086656
https://twitter.com/11rcombs/status/1149219046598086656
на выходные у меня для вас есть 48 страниц отчета по изучению прошивок телекоммуникационного оборудования Huawei. Исследователи изучили 1,5 миллиона файлов из почти 10 тыс образов к 558 различным корпоративным устройствам Huawei. Выводы исследователи делают неутешительные. Если коротко — то все плохо, оборудование менее безопасно, сотни потенциальных уязвимостей для бэкдоров, включая захардкоженные логины и пароли и встроенные криптографические ключи. Масса непропатченных известных уязвимостей из опенсорса, потому что в некоторых случаях разработчики почемуто решали использовать древние 20-летние библиотеки вместо современных аналогов. Несмотря на обещания Huawei улучшать безопасность устройств, исследователи делают вывод, что она со временем ухудшается.
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf