Для чего только в эти дни не делают приложения, чтобы помогало найти друзей по интересам. Тиндер, грайндер, и вот тут Трифан (3Fun), которое, как вы можете догадаться, позволяет пользователям находить любителей секса, где больше двух человек.

Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:

https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/

Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...

(раньше было проще, никаких приложений)

мне уже с утра прислали несколько раз ссылки с содержанием "ааааа, face id взломали!!!" (face id — система сканирования лица для разблокировки в устройствах Apple). Если не обращать внимания на любителей дешевых кликов, и почитать оригинал, то оттуда можно узнать интересные детали. Действительно, на BlackHat исследователи показали интересную уязвимость в технологии Face ID, которая позволяет обойти так называемую "детекцию жизни" или, возможно, "одушевленности". Эта фишка используется для определения того, смотрит ли человек в камеру, так называемая детекция внимания — полезная опция в Face ID. Короче, суть в том, что если на жертву надеть очки со специально размещенной на линзах черной и белой лентой, то Face ID переключится в немного другой режим распознавания, и разблокирует телефон, даже если человек не смотрит в телефон. то есть для успешной атаки нужен человек-владелец iPhone, и в идеале он должен быть без сознания. Тогда на него можно надеть эти очки, и просканировать его лицо с помощью Face ID. Уверен, российские полицейские с радостью возьмут этот метод на вооружение — привести жертву в состояние "без сознания" им не составит никакого труда.

https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/

A new harmful virus has been discovered which records victims' desktops when they visit an adult website in a blackmail scam.
The malware, named Varenyky, has sparked fears that hackers could use the footage to extort users for money, antivirus maker ESET said in a report.

Какое интересное название у вируса

Анонимность? Какая анонимность? Signal, конечно, лучше, но хотя бы номер телефона от всех скройте в настройках Телеграма (АПДъ Короче, все тлен и бессмысленно, можно не скрывать)

https://meduza.io/feature/2019/08/10/kto-takoy-tovarisch-mayor

кто бы мог подумать, что IBM была такой прогрессивной компанией много лет назад. Это как бы и реклама компании, лет 30 что ли, назад, но и также уведомление о том, что часть инфы о юзерах они собирали зря, и удалили её.

Сегодня такой день, что могу только бросить вам несколько ссылок, присланных читателями! (обещаю исправиться)

Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили
https://telegra.ph/rAskReddit-CHast-82-08-11

уязвимости в протоколе Picture Transfer Protocol (PTP) в камерах Canon, позволяют получить контроль над устройством и даже установить шифрующе-вымогающее ПО. Можно отключить WiFi, можно поставить апдейт прошивки камеры
https://www.bleepingcomputer.com/news/security/canon-dslr-camera-infected-with-ransomware-over-the-air/

уязвимость в SQLite, приводящая к исполнению кода, с примером на iOS, потому что Apple забила на исправление баги
https://research.checkpoint.com/select-code_execution-from-using-sqlite/

Бойтесь друзей, кабели для айфона приносящие (удаленный доступ к компьютеру, к которому подключен кабель — бесплатный бонус с помощью импланта в кабеле)

https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer

по наводке читателя: уязвимость в Windows, аналогичная нашумевшей BlueKeep (CVE-2019-0708), только этот раз не надо выпускать патч для Windows XP. Затронуты версии от Windows 7 SP1 до Windows 10, включая различные серверные версии. Уязвимости, как пишет Microsoft, "wormable", то есть имеют свойство размножаться между компьютерами без помощи пользователей.

https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/

апдейты брать тут
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

Кто не проапдейтился, тот сам себе Кевин Митник.

смешная история про то, как подросток нашел уязвимости в информационной системе школы (а также района), позволявшей получить доступ ко всем записям о студентах и проч. Говорит, разработчик системы игнорировал его информацию об уязвимостях, поэтому он отправил сообщение всем пользователям, зарегистрированным в системе. Так его заметили и на два дня отстранили от занятий (можно это, конечно, назвать наказанием).
https://techcrunch.com/2019/08/09/school-data-student-security-def-con/

еще одна смешная история. Я все склонялся к тому, что статья не очень по теме канала, но мне её столько раз прислали уже, что, видимо, я все-таки ошибаюсь (никогда такого не было, и вот опять!). Короче, статья о том, как чувак в Калифорнии зарегистрировал себе автомобильный номер NULL, возможно, надеясь, что это уменьшит количество штрафов, которые он будет получать. (ну и номер прикольный, да). Но оказалось, что штрафы в Калифорнии для их местного ГАИ выписывает коммерческий подрядчик, у которого в системе все было гораздо проще: если номер не распознался или отсутствует, в базу записывается NULL. Поэтому чуваку пришли все такие штрафы, на 12 тыс долларов. Хорошо.
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/

у меня когда-то давно, когда я был молодой и глупый, был такой номер. вообще штрафов не приходило 🙂

историю про банк Capital One и утечку сотни миллионов пользовательских записей помните, да? (https://t.me/alexmakus/2958) Похоже, что Пейдж Томпсон, обвиняемая в этой утечке, получила доступ к данным еще 30 компаний. Говорят, что среди потенциальных жертв могут оказаться Unicredit, Vodafone, Ford. Основное подозрение, что Томпсон, как бывший сотрудник Amazon, знала о какой-то уязвимости в AWS (ну, или забыли у нее права отобрать при уходе), и таким образом получила доступ к информации. Доказательств, что она данные успела куда-то слить или продать, нет. А вообще там яркая личность: преследование других людей, угрозы устроить стрельбу в офисе, угрозы сделать "самоубийство полицией".

Вот документы, поданные прокуром в суд по этому делу
https://www.scribd.com/document/421860692/Thompson-New-Memorandum

Но ладно Capital One. Британская компания Suprema, которая предоставляет услуги банкам, полиции и другим организациям по аутентификации сотрудников для доступа в защищенные здания, оставила базу с информацией доступной в интернете всем желающим. 1 миллион человек, биометрическая информация о распознавании лиц и отпечатков пальцев, незашифрованные пароли и другая личная информация пользователей системы Biostar 2 (логи доступа, фотографии, уровни доступа к информации, и тд). При этом в базе хранились не хеши отпечатков, которые нельзя отреверсить (как это сделано, например, при хранении биометрии в айфонах и андроид-смартфонах), а прямо сканы отпечатков, которые при желании можно и воспроизвести.

Базу данных нашли исследователи безопасности, и информации о том, был ли доступ к базе у злоумышленников, нет. При этом исследователи говорят, что они могли даже добавлять новых пользователей в базу. более того, разработчик системы еще к тому же не очень-то шел на сотрудничество.

https://www.vpnmentor.com/blog/report-biostar2-leak/

тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.

пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1

рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/

PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV

хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632

Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/

странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.

статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html

информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286

Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.

на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.

https://alexmak.net/2019/08/08/lk-fas-apple/