Ну наконец-то, первый компьютер, который нельзя хакнуть (по утверждениям его создателя, а также его мамы). Несите ваши денежки побыстрее, идея компьютера пришла ему во сне!
https://www.kickstarter.com/projects/microsafex/worlds-first-patented-unhackable-computer-ever

Когда-нибудь в прекрасном будущем СМИ перестанут иллюстрировать хакеров в таком виде. Но мы вряд ли доживем до этих светлых времён

Я как-то пропустил совершенно на прошлой неделе новость у Reuters о том, что якобы западные разведывательные организации в прошлом году взломали Яндекс в попытках слежки за пользовательскими аккаунтами. Статья в целом изобилует интересными деталями (такими, как название malware, использованного для взлома - Regin), которое применяется разведками 5 стран, известных как Five Eyes. Взлом произошел в период с октября по ноябрь 2018 года. Целью были разработчики Яндекса и технология аутентификации пользователей сервиса. Яндекс подтвердил историю, но заявил, что попытка была быстро нейтрализована без ущерба для пользовательских данных.

https://www.reuters.com/article/us-usa-cyber-yandex-exclusive/exclusive-western-intelligence-hacked-russias-google-yandex-to-spy-on-accounts-sources-idUSKCN1TS2SX

а вот еще одна история из прошлой недели, которую я пропустил. Если пред-сохранить альбом перед выходом в Spotify, нужно согласиться на дополнительные права лейблам, которые дают им возможность следить за всей музыкой, которую прослушивает этот пользователь, за какими исполнителями следит. Не то, чтобы это незаконно — это не так, но передача этих прав происходит както так легко и незаметно, что пользователи и не догадываются, что стали передавать гораздо больше информации о себе, чем раньше. Слежка — она везде.
https://www.billboard.com/articles/business/8517869/when-you-listen-they-watch-pre-saving-albums-allow-labels-track-users-spotify

вредоносное ПО для Мака — OSX/CrescentCore, причем реально циркулирует. не ставится, если есть антивирус (удобно), когда ставится, маскируется под Flash (кто вообще ставит себе Flash в эти дни?), и потом пытается скачать и установить какой-то дополнительный мусор в систему
https://www.intego.com/mac-security-blog/osx-crescentcore-mac-malware-designed-to-evade-antivirus/

Мощный отчет Motherboard/Guardian/Süddeutsche Zeitung/NYT о том, как при пересечении границы Китая туристов заставляют устанавливать шпионское ПО на их смартфоны с Android, которое сканирует сообщения, адресную книгу, фотографии и тд.

The following information is gathered:
• All calendar entries, phone contacts, country codes and dialed numbers;
• General information about the Phone (IMEI, IMSI, PhoneSN, WifiMac,
BluetoothMac, and if the device is rooted);
• Information about the Android Model (CPU_ABI, BOARD, HARDWARE);
• All stored text messages (SMS);
• Information about the current base-station;
• Information about the used hardware (Mac Addresses);
• All information accessible for various installed apps + an MD5 hash of the app;
• Mac Addresses;
• Current phone number;
• Extracted information searched by the GetVirAccount application which searches
the /sdcard for specific data of specific China-related apps. This information contains phone numbers and email addresses.

статья
https://www.vice.com/en_us/article/7xgame/at-chinese-border-tourists-forced-to-install-a-text-stealing-piece-of-malware

и технический отчет
https://cure53.de/analysis-report_bxaq.pdf

немножко ссылок про умные гаджеты, умный дом, IoT, все как вы любите
https://blackmarble.sh/zipato-smart-hub/
https://www.vpnmentor.com/blog/report-orvibo-leak/
https://www.kaspersky.ru/blog/hacking-things/23017/?es_p=9633637

модный стартап почты Superhuman использует всякие хитрости типа скрытого пикселя, чтобы радовать пользователей неожиданными функциями типа информации о том, сколько раз получатель открывал письмо
https://mikeindustries.com/blog/archive/2019/06/superhuman-is-spying-on-you

Привет! После длинных выходных редакции канала мы возобновляем свежие трансляции в мире инфоопасностей. К счастью, за время отсутствия обновлений интернет сломали всего лишь два раза (и починили), так что вы ничего особенного не пропустили. Для разминки предлагаю посмотреть на мнение организации OpenID Foundation по поводу системы Sign In With Apple (о которой я писал недавно тут
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/). Это система аутентификации пользователей с применением Apple ID, которую Apple построила на базе OpenID, но без полной совместимости со стандартном. Это, по мнению организации, создаёт определенные риски для пользователей, которые будут пользоваться Sign In With Apple, поэтому организация призывает довести соответствие стандарту до полной совместимости.

Письмо организации
https://openid.net/2019/06/27/open-letter-from-the-openid-foundation-to-apple-regarding-sign-in-with-apple/
Список отличий реализации Apple
https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md

пользуясь случаем, компания Logitech передаёт привет своим пользователям! В нескольких клавиатурах, мышах и других устройствах компании, использующих Unifying USB Receiver, обнаружены уязвимости, позволяющие перехватывать набранный текст, а также отправлять свои текстовые команды на компьютер жертвы. Часть уязвимостей уже исправлена компанией Logitech, но некоторые пока остаются активными. Logitech обещает исправить их в августе. Как показывает материал по ссылке (за неё спасибо читательнице канала), найти и обновить прошивку устройства тоже не так просто.

https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html

от читателя, zero day в Mac-клиентах Zoom https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

с Zoom, конечно, адосик тот еще:

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

AAAAAAAAAAA

и ответ Zoom
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

короткая версия: “обновитесь до последней версии”

но вообще, возвращаясь к оригинальному репорту, лучше последовать его рекомендациям и удалить эту штуку
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Про преступления и наказания.

РАЗ

преступление: British Airway допустила взлом сайта и утечку данных около 500 тыс пользователей
https://t.me/alexmakus/2386

наказание: возможный штраф 183 млн фунтов
https://www.bbc.com/news/business-48905907

ДВА

преступление: взлом Starwood/Marriott, утечка данных на почти 400 млн человек
https://t.me/alexmakus/2531

наказание: штраф в 99 млн фунтов
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

а говорили, что GDPR совершенно бесполезный.

а прекрасная история про то, как подростки пробрались в ночью в свою школу, чтобы нарисовать там на стене свастику и прочие расистские оскорбления . маски на голову натянули, чтобы их не узнали. Только не учли, что их смартфоны автоматически, используя логины, подключились к сети школы, и их таким образом идентифицировали

The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.

https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/

Эта информация будет полезна читателям с устройствами на базе Android.

Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.

Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf

Вот материал об этом на русском http://www.content-review.com/articles/47214/


А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith

https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/

Тема с Zoom (популярное решение для телеконференций) и вебсервером, который разворачивало на Маке их решение, вчера, кажется, дошла до логического окончания. Вчера Apple протолкнула на Маки скрытый апдейт, который просто вычистил этот сервер от греха подальше. (веб-сервер, напомню, позволял другим пользователям без ведома подключаться к чужим конференциям, и оставался на Маке даже после удаления приложения). От пользователей никаких действий не требуется, все происходит в автоматическом режиме
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/

Кстати, еще про Apple. Похоже, что кто-то сообщил компании об уязвимости в приложении Walkie-Talkie (такая рация на Apple Watch). Эта уязвимость позволяла стороннему человеку подслушивать с микрофона iPhone без согласия владельца (ЧТОВООБЩЕКАК)

We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.

Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/

Никогда такого не было и вот опять.Сотрудники Google прослушивают аудио, записанные колонками Google Home и Google Assistant на смартфонах. Сотрудники прослушивают некоторые записи, чтобы улучшить систему распознавания, хотя пользователи не в курсе того, что это происходит. По некоторым записям, содержащим личную информацию, журналисты смогли вычислить персональные данные людей, чьи записи оказались в базе, и подтвердить с ними тот факт, что это их записи. Кроме того, в некоторых случаях там в анализируемые записи попадают фрагменты, которые не должны были быть записаны, потому что прозвучала фраза, похожая на “окейгугл”, но не Okay, Google. NOT CREEPY AT ALL
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/

УТЕЧКА ДАННЫХ
https://twitter.com/11rcombs/status/1149219046598086656

на выходные у меня для вас есть 48 страниц отчета по изучению прошивок телекоммуникационного оборудования Huawei. Исследователи изучили 1,5 миллиона файлов из почти 10 тыс образов к 558 различным корпоративным устройствам Huawei. Выводы исследователи делают неутешительные. Если коротко — то все плохо, оборудование менее безопасно, сотни потенциальных уязвимостей для бэкдоров, включая захардкоженные логины и пароли и встроенные криптографические ключи. Масса непропатченных известных уязвимостей из опенсорса, потому что в некоторых случаях разработчики почемуто решали использовать древние 20-летние библиотеки вместо современных аналогов. Несмотря на обещания Huawei улучшать безопасность устройств, исследователи делают вывод, что она со временем ухудшается.

Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.

https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf