а прекрасная история про то, как подростки пробрались в ночью в свою школу, чтобы нарисовать там на стене свастику и прочие расистские оскорбления . маски на голову натянули, чтобы их не узнали. Только не учли, что их смартфоны автоматически, используя логины, подключились к сети школы, и их таким образом идентифицировали
The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.
https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/
The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.
https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/
Washington Post
They covered their school in racist graffiti. They apologized. But will they change?
A black principal, four white teens, and the ‘senior prank’ that became a hate crime.
Эта информация будет полезна читателям с устройствами на базе Android.
Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.
Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
Вот материал об этом на русском http://www.content-review.com/articles/47214/
А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith
https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/
Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.
Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf
Вот материал об этом на русском http://www.content-review.com/articles/47214/
А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith
https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/
Тема с Zoom (популярное решение для телеконференций) и вебсервером, который разворачивало на Маке их решение, вчера, кажется, дошла до логического окончания. Вчера Apple протолкнула на Маки скрытый апдейт, который просто вычистил этот сервер от греха подальше. (веб-сервер, напомню, позволял другим пользователям без ведома подключаться к чужим конференциям, и оставался на Маке даже после удаления приложения). От пользователей никаких действий не требуется, все происходит в автоматическом режиме
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
TechCrunch
Apple has pushed a silent Mac update to remove hidden Zoom web server | TechCrunch
Apple has released a silent update for Mac users removing a vulnerable component in Zoom, the popular video conferencing app, which allowed websites to
Кстати, еще про Apple. Похоже, что кто-то сообщил компании об уязвимости в приложении Walkie-Talkie (такая рация на Apple Watch). Эта уязвимость позволяла стороннему человеку подслушивать с микрофона iPhone без согласия владельца (ЧТОВООБЩЕКАК)
We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.
Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/
We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent. We apologize again for this issue and the inconvenience.
Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/
TechCrunch
Apple disables Walkie Talkie app due to vulnerability that could allow iPhone eavesdropping
Apple has disabled the Apple Watch Walkie Talkie app due to an unspecified vulnerability that could allow a person to listen to another customer’s iPhone without consent, the company told TechCrunch this evening. Apple has apologized for the bug and for the…
Никогда такого не было и вот опять.Сотрудники Google прослушивают аудио, записанные колонками Google Home и Google Assistant на смартфонах. Сотрудники прослушивают некоторые записи, чтобы улучшить систему распознавания, хотя пользователи не в курсе того, что это происходит. По некоторым записям, содержащим личную информацию, журналисты смогли вычислить персональные данные людей, чьи записи оказались в базе, и подтвердить с ними тот факт, что это их записи. Кроме того, в некоторых случаях там в анализируемые записи попадают фрагменты, которые не должны были быть записаны, потому что прозвучала фраза, похожая на “окейгугл”, но не Okay, Google. NOT CREEPY AT ALL
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/
VRT.be
Google employees are eavesdropping, even in your living room, VRT NWS has discovered
VRT NWS has discovered that Google employees listen to audio picked up by smart speakers and Google Assistant, even when it was never intended for Google.
УТЕЧКА ДАННЫХ
https://twitter.com/11rcombs/status/1149219046598086656
https://twitter.com/11rcombs/status/1149219046598086656
на выходные у меня для вас есть 48 страниц отчета по изучению прошивок телекоммуникационного оборудования Huawei. Исследователи изучили 1,5 миллиона файлов из почти 10 тыс образов к 558 различным корпоративным устройствам Huawei. Выводы исследователи делают неутешительные. Если коротко — то все плохо, оборудование менее безопасно, сотни потенциальных уязвимостей для бэкдоров, включая захардкоженные логины и пароли и встроенные криптографические ключи. Масса непропатченных известных уязвимостей из опенсорса, потому что в некоторых случаях разработчики почемуто решали использовать древние 20-летние библиотеки вместо современных аналогов. Несмотря на обещания Huawei улучшать безопасность устройств, исследователи делают вывод, что она со временем ухудшается.
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf
Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.
https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf
у Evite унесли в начале года данные на пользователей, которые регистрировались в сервисе до 2013 года (потенциально имена, пароли и другую информацию). 101 млн записей, в основном адреса электронной почты приглашенных на события пользователей.
https://www.evite.com/security/update?usource=lc&lctid=1800182
https://www.evite.com/security/update?usource=lc&lctid=1800182
полезная заметка о паролях и о том, что не так важна сила пароля, брат, как MFA
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984
TECHCOMMUNITY.MICROSOFT.COM
Your Pa$$word doesn't matter | Microsoft Community Hub
When it comes to composition and length, your password (mostly) doesn’t matter.
интересная тема с фоточками у Фейсбука. при загрузке фотографии на ФБ, я так понял, ФБ добавляет в фотографию немного своей информации в виде некоего тэга. Поэтому если кто-то, например, скачает такую фотографию, а потом зальет её на ФБ, то ФБ на основании своей добавленной инфы сможет просечь происхождение фотки и связать между собой этих двух людей.
https://twitter.com/oasace/status/1149181539000864769
Оказалось, что это не новость и обсуждалось еще в 2015 году
https://stackoverflow.com/questions/31120222/iptc-metadata-automatically-added-to-uploaded-images-on-facebook
вот еще комментарий на Реддите по этому поводу о возможностях трекинга
https://www.reddit.com/r/privacy/comments/ccndcq/facebook_is_embedding_tracking_data_inside_the/etoz2m9/
ничего удивительного в том, что у Инстаграмма тот же механизм обнаружился
https://www.reddit.com/r/privacy/comments/ccrtlv/instagram_is_also_embedding_tracking_data_in_the/
Корпорация добра!
https://twitter.com/oasace/status/1149181539000864769
Оказалось, что это не новость и обсуждалось еще в 2015 году
https://stackoverflow.com/questions/31120222/iptc-metadata-automatically-added-to-uploaded-images-on-facebook
вот еще комментарий на Реддите по этому поводу о возможностях трекинга
https://www.reddit.com/r/privacy/comments/ccndcq/facebook_is_embedding_tracking_data_inside_the/etoz2m9/
ничего удивительного в том, что у Инстаграмма тот же механизм обнаружился
https://www.reddit.com/r/privacy/comments/ccrtlv/instagram_is_also_embedding_tracking_data_in_the/
Корпорация добра!
X (formerly Twitter)
Edin Jusupovic (@oasace) on X
#facebook is embedding tracking data inside photos you download.
I noticed a structural abnormality when looking at a hex dump of an image file from an unknown origin only to discover it contained what I now understand is an IPTC special instruction. Shocking…
I noticed a structural abnormality when looking at a hex dump of an image file from an unknown origin only to discover it contained what I now understand is an IPTC special instruction. Shocking…
Я, кстати, хотел добавить комментарий про FaceApp (модный в последние пару дней проект, в котором приложение, используя ML, “старит” человека на фотографии). А то там в интернете чего только не напишут по этому поводу, включая то, что якобы приложение передает всю библиотеку фотографий на сервер разработчиков приложения (на самом деле нет).
Тот факт, что разработчики из России, добавляет истеричности многим комментаторам. Исследования сетевого трафика показали, что передачи всех фотографий не происходит, а в iOS приложение использует специальное системное API, дающее пользователю возможность указать одну фотографию для доступа приложения. Но при этом обработка фотографии происходит на сервере, и разработчик недостаточно четко коммуницирует эту информацию, что фотография передается на сервер. Что еще происходит с собранными фотографиями на сервере — тоже непонятно; сколько они хранятся, удаляются ли после обработки, передаются ли третьим сторонам. Короче, на ваше усмотрение.
ВАЖНЫЙ АПДЕЙТ
Разработчики FaceApp написали касательно вопросов о приложении, включая про хранение и удаление фотографий
We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:
1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696). We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.
Тот факт, что разработчики из России, добавляет истеричности многим комментаторам. Исследования сетевого трафика показали, что передачи всех фотографий не происходит, а в iOS приложение использует специальное системное API, дающее пользователю возможность указать одну фотографию для доступа приложения. Но при этом обработка фотографии происходит на сервере, и разработчик недостаточно четко коммуницирует эту информацию, что фотография передается на сервер. Что еще происходит с собранными фотографиями на сервере — тоже непонятно; сколько они хранятся, удаляются ли после обработки, передаются ли третьим сторонам. Короче, на ваше усмотрение.
ВАЖНЫЙ АПДЕЙТ
Разработчики FaceApp написали касательно вопросов о приложении, включая про хранение и удаление фотографий
We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:
1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696). We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.
Если вы создавали свою учетную запись в Slack до марта 2015 года, то сегодня вам могут сбросить пароль. Ситуация связана со взломом 4-летней давности, когда взломали инфраструктуру Slack, и украли некоторую пользовательскую информацию, включая хеши паролей. В свете свежеобнаруженной информации Slack решил еще вдогонку некоторым пользователям сделать принудительное повышение безопасности
https://slackhq.com/new-information-2015-incident
https://slackhq.com/new-information-2015-incident
Slack
New information about Slack’s 2015 security incident
Slack is where work flows. It's where the people you need, the information you share, and the tools you use come together to get things done.
Тред у Мозиллы по поводу интернет-инноваций в Казахстане, где теперь все пользователи интернета должны улучшить свой интернет путем установки сертификата "для улучшения безопасности" — по сути, такая прекрасная государственная MiTM атака. Читать-то https-трафик хочется.
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
материал по поэтому поводу
https://meduza.io/news/2019/07/19/zhiteley-kazahstana-obyazali-ustanovit-sertifikat-bezopasnosti-dlya-zaschity-ot-hakerskih-atak-i-prosmotra-protivopravnogo-kontenta
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114
материал по поэтому поводу
https://meduza.io/news/2019/07/19/zhiteley-kazahstana-obyazali-ustanovit-sertifikat-bezopasnosti-dlya-zaschity-ot-hakerskih-atak-i-prosmotra-protivopravnogo-kontenta
bugzilla.mozilla.org
1567114 - MITM on all HTTPS traffic in Kazakhstan
RESOLVED (wthayer) in CA Program - CA Certificate Root Program. Last updated 2024-03-05.
Тут пошли дополнительные материалы (я видел на неделе, но ждал подтверждения) о «взломе ФСБ». На самом деле взломали вроде как субподрядчика - компанию Сайтэк, и украли 7.5ТБ различных данных, включая секретные проекты по деанону Тора. Будет весело.
https://www.bbc.com/russian/features-49050982
https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#19519ccb6b11
https://www.bbc.com/russian/features-49050982
https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#19519ccb6b11
BBC News Русская служба
Москит, Надежда, Наутилус: хакеры раскрыли суть проектов тайного подрядчика ФСБ
Хакеры взломали сервер крупного подрядчика российских спецслужб и ведомств, а затем поделились с журналистами описаниями десятков непубличных проектов в области интернета: от деанонимизации пользователей браузера Tor до исследования уязвимости торрентов.
Всеобщая компьютеризация до добра точно не доведет. Вот болгар не довела. Кто-то хакнул налоговую Болгарии и получил все данные на 5 миллионов человек (все население страны — 7 млн человек, видимо, остальные 2 миллиона это дети). Забавно, что злоумышленник увидел адрес файла архива в каком-то там телевизионном репортаже, где его показали, не особо опасаясь, потому что "файл же запаролен". В итоге чувак скачал файл, и попросил на каком-то сервисе взломать пароль. Ему пароль взломали, и внутри архива оказась персональная информация, включая финансовые данные. ну и база, конечно, оказалась и у СМИ, и в интернете. Так что теперь там у них весело.
https://www.zdnet.com/article/hacker-steals-data-of-millions-of-bulgarians-emails-it-to-local-media/
https://www.zdnet.com/article/bulgarias-hacked-database-is-now-available-on-hacking-forums/
PS пару лет назад взломали Equifax, кредитное бюро в США, украли все персональные данные на 150млн человек. Сегодня была новость о том, что Эквифакс заплатит 400 млн долларов "пострадавшим". Ага, вся информация человека, получается, стоит 2,5 доллара. Ну окей.
https://www.zdnet.com/article/hacker-steals-data-of-millions-of-bulgarians-emails-it-to-local-media/
https://www.zdnet.com/article/bulgarias-hacked-database-is-now-available-on-hacking-forums/
PS пару лет назад взломали Equifax, кредитное бюро в США, украли все персональные данные на 150млн человек. Сегодня была новость о том, что Эквифакс заплатит 400 млн долларов "пострадавшим". Ага, вся информация человека, получается, стоит 2,5 доллара. Ну окей.
ZDNet
Hacker steals data of millions of Bulgarians, emails it to local media
Source of the data breach appears to be the country's National Revenue Agency.
ссылка с прошлой недели о том, как расширения для Chrome/Firefox собирали пользовательские данные в виде истории браузера. Собирались адреса, названия сайтов, и часто — встроенные в странице ссылки. Это приводило к получению информации о видео в популярных сервисах видеонаблюдения, финансовых документов, информации о посещении врачей, информации о путешествиях, и тд
https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/
https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/
Security with Sam
Security with Sam | DataSpii | Cybersecurity & Threat Research | Sam Jadali
A technical professional and cybersecurity expert, Sam shares his research with users world wide! Dataspii is a global data leak, discovered by Sam.
органам все не дает покоя сквозное шифрование. тут вот генпрокурор США убеждает всех, что потребителям придется сжиться с рисками безопасности при наличии бэкдоров в шифровании
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/
TechCrunch
US attorney general William Barr says Americans should accept security risks of encryption backdoors
U.S. attorney general William Barr has said consumers should accept the risks that encryption backdoors pose to their personal cybersecurity to ensure law enforcement can access encrypted communications.
вчера у пользователей техники Apple был patch day, и, как обычно, есть хорошие поводы обновить свои устройства.
37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346
44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348
Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355
Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить
37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346
44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348
Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355
Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить
Apple Support
About the security content of iOS 12.4
This document describes the security content of iOS 12.4.