Кстати, про апдейты. Там еще если кто использует WhatsApp Desktop, нужно поставить апдейт в связи с этой уязвимостью. Она приводила к возможности чтения локальных файлов, если кликнуть по специальной ссылке из пришедшего сообщения.
https://www.facebook.com/security/advisories/cve-2019-18426
https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/

Пользуетесь планшетом Wacom на Маке? а он в рамках сбора аналитики сообщает производителю список всех приложений, которые вы запускаете у себя на компьютере. Даже те, которые к планшету никакого отношения не имеют. И вот так с этим везде — все пытаются собирать информацию, которая им не нужна, но зачем-то все равно собирают. каждая такая мелкая история со слежкой накапливается и уже чувствуется, что люди от этого устали.
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/

Возвращаемся к новости из далекого 2016 года. Там была история про видеокамеры наблюдения компании XiongMai Technologies, с использованием которых была организована DDoS атака. Благодаря этой атаке прилегли ресурсы у половины американского интернета
https://t.me/alexmakus/767

А исследователь безопасности Владислав Ярмак опубликовал детали о механизме бэкдора, который он обнаружил в прошивке устройств этой компании, включая камеры и записывающие устройства. Сами устройства работают на SoC HiSilicon, но проблема именно в прошивке компании Xiongmai (Hangzhou Xiongmai Technology Co, XMtech)
https://habr.com/en/post/486856/

И к новостям не таким давним. Пару недель назад я писал про компанию ClearView AI. Там стартапер-основатель, обпившись смузи, насобирал фоточек людей по социальным сетям и другим ресурсам, сделал нейронку с распознаванием лиц, и продает эти сервисы правоохранительным органам. Когда компании, у которых эти фоточки слили, услышали об этом, их юристы пустили слюну и тут же побежали в правильном направлении. Google, YouTube (то есть тоже Google), Twitter, и прочие уже прислали письма компании со словами немедленно прекратить использование фотографий, полученных с их сервисов, для распознавания лиц (потому что как правило документы с условиями использования таких сервисов открыто запрещают подобный сбор информации). Это пока не остановило основателя компании, который дал тут интервью, рассказывая, что то, что он делает, совершенно законно (нет), и защищено первой поправкой к конституции США (нет). Короче, чуваку явно нужен адвокат получше, а за этой сагой редакция канала продолжит следить с большим интересом.

https://www.cbsnews.com/news/clearview-ai-google-youtube-send-cease-and-desist-letter-to-facial-recognition-app/

Не очень длинная, но в целом познавательная статья о том, как перетекает информация из оффлайнового мира в онлайновый. В частности, речь идет о том, как онлайновые сервисы узнают о ваших намерениях и покупках в физическом ритейле, как после посещения магазина вас может преследовать реклама этого магазина и тд. Статья о том, как это устроено в США, но, думаю, в других странах ситуация может быть похожей.

Td;dr версия
Трекинг всего и вся: входы через открытые сети WiFi, приложения брендов и магазинов, заходы на сайты компаний, датчики Bluetooth в магазинах, информация о геолокации, пассивный трекинг через MAC-адреса устройств, последующий микс собранной персональной и неперсонифицированной информации для того, чтобы проследить конкретного пользователя. Частично помогает отключение BT и WiFi, но кто из нас реально это делает в своих телефонах? Не говоря уже о том, что мобильные операторы тоже занимаются продажей информации о пользователях всевозможным брокерам данных.

Короче, только лес, избушка, отсутствие электричества и интернета. И никакого ритейла.

https://www.vox.com/recode/2019/12/19/21011527/retail-tracking-apps-wifi-bluetooth-facebook-ads

Есть некая ирония в том, что у Фейсбука взломали корпоративный твиттер-аккаунт

https://twitter.com/Facebook/status/1225959837709697025

Исполнение кода на телефоне с правами демона Bluetooth в случае, если BT активирован на смартфоне с Android с 8.0 и 9.0 (на 10.0 демон просто падал)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022

Исправлена в патче за февраль (спасибо читателям, которые прислали ссылку)
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/

Тут ссылка на тред в твиттере, где, я так понимаю, пишут, что база данных избирателей в Израиле со всеми 6,5млн записей утекла в интернет
https://twitter.com/barzik/status/1226567613964312576

если сильны в иврите, то можно еще тут почитать (для подписчиков)
https://www.haaretz.co.il/captain/net/.premium-1.8509086

ДОПОЛНЕНИЕ

Статья на английском
https://www.haaretz.com/israel-news/elections/.premium-app-used-by-netanyahu-s-likud-leaks-israel-s-entire-voter-registry-1.8509696

История про Equifax - кредитное бюро в США, которое взломали в 2017 году, и украли практически все возможные данные на 150 млн американцев — получила свое продолжение сегодня.

Напомню, что об этой истории я писал неоднократно, в том числе и потому, что меня лично она, похоже, тоже затронула:
https://t.me/alexmakus/1352
https://t.me/alexmakus/1355
https://t.me/alexmakus/1367
https://t.me/alexmakus/1554
https://t.me/alexmakus/2551

Если интересно, походите по ссылкам, там и о взломе, и о том, какие данные украли, и о том, как этот взлом можно было предотвратить (потому что Equifax мудаки, конечно, и не исправили дыру в Apache Struts, о которой им сообщили задолго до взлома). Но сегодня я пишу об этом, потому что суд в США предъявил обвинение 4 членам китайской Народной Освободительной Армии именно во взломе инфраструктуры Equifax.

По ссылке — само обвинение:
https://www.justice.gov/opa/press-release/file/1246891/download

Почитав его, можно узнать о том, как происходил сам взлом, выгребание данных, маскировка от систем детекции взлома и тд. Все на английском, конечно, но что ж поделать. Представляю себе расследование со всеми логами промежуточных сервисов и серверов, которое привело в конце к фотографиям обвиняемых в конце этого документа.

https://meduza.io/feature/2020/02/10/ideya-prosta-ne-uprashivat-microsoft

на ночь глядя лучше не читать во избежание кошмаров

Уязвимости во множестве устройств Cisco, сразу 5 штук. Вместе с информацией об апдейтах и возможностях минимизации рисков

https://www.armis.com/cdpwn/

Очень хороший материал о том, как некоторые компании, предлагая клиентам бесплатные почтовые клиенты, зарабатывают сбором, обработкой и продажей пользовательских данных, не особо это раскрывая своим пользователям.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox

Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71

В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.

В продолжение темы с изображениями, содержащими сцены насилия над детьми, и сервисом Apple iCloud, о которой я немного писал тут:
https://t.me/alexmakus/3225

В Forbes вышел материал о том, как работает система детекции подобных изображений в почте. Вкратце, алгоритмы сравнивают хеш изображений (не только в облачной библиотеке с фотографиями, но и в почте), и сигнализируют об обнаружении подобных снимков. После этого человек должен вручную проверить, что алгоритмы не ошиблись. (Там забавный еще момент, что при срабатывании алгоритма почта не доставляется, и в статье описывается, как чувак несколько раз пересылал письмо, видимо, не понимая, почему оно не доходит на самом деле. ) После того, как человек подтвердил, что действительно изображения могут содержать подобные сцены, аккаунт закрывается, а информация о пользователе попадает в правоохранительные органы (как требует того законодательство в США). Технически информация о таких изображениях передается в National Center for Missing and Exploited Children (NCMEC), которые в последствии могут уведомить полицию или ФБР. Подобная практика есть у Google, Microsoft и других облачных провайдеров (напомню, что технологию детекции подобных изображений разработала именно Microsoft).

https://www.forbes.com/sites/thomasbrewster/2020/02/11/how-apple-intercepts-and-reads-emails-when-it-finds-child-abuse/#594e749e31c2

Швейцарская компания Crypto AG производила шифрующие устройства и продавала их госорганам для построения безопасных коммуникаций между дипломатическими органами, военными организациями и тд. Правительства более чем 120 стран приобретали оборудование компании.

Сюрприз заключался в том, что ЦРУ и АНБ в 1970 году тайно приобрели компанию, не раскрывая эту информацию. Это позволило шпионам компании прослушивать все то, что другие считали защищенной информацией. Советский Союз и Китай оказались умнее, и не покупали оборудование Crypto AG. Компанию подозревали в таком сотрудничестве примерно с 90х годов, потому что у некоторых политиков слишком длинные языки. Но теперь Washington Post публикует результаты расследования, проливающие свет на всю эту историю. Компания закрылась в 2018 году, хотя есть две компании, которые продолжают функционировать на базе активов Crypto AG. Там все отрицают. Такие дела.

https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-espionage/

No comment

https://thebell.io/fsb-potrebovala-ot-internet-servisov-onlajn-dostup-k-dannym-i-perepiske-polzovatelej/

много много свежих апдейтов для всего вчера у Microsoft, не забудьте проапдейтиться
https://portal.msrc.microsoft.com/en-us/security-guidance/summary

Вчера у Wall Street Journal вышла статья, в которой утверждается, что у США есть доказательства того, что у Huawei есть возможности скрытно получать доступ к системам, которые компания продает всему миру. В статье не приводятся доказательства этой информации, но сообщается, что США поделилась с ней с союзниками — с Германией и Великобританией. Грубо говоря, бэкдоры, о которых столько лет говорили большевики. Huawei, разумеется, все это отрицает.
(Может быть, это поможет некоторым представителям правительства США не проталкивать так активно идею бэкдоров в ПО и железе. Хотя вряд ли)

Оригинал статьи в WSJ тут (paywall)
https://www.wsj.com/articles/u-s-officials-say-huawei-can-covertly-access-telecom-networks-11581452256

краткий рерайт тут
https://arstechnica.com/tech-policy/2020/02/us-gave-allies-evidence-that-huawei-can-snoop-on-phone-networks-wsj-says/

Отчет компании Malwarebytes о состоянии вредоносных приложений под разные платформы: Windows, macOS, Android, web и тд.

https://resources.malwarebytes.com/files/2020/02/2020_State-of-Malware-Report.pdf

EKANS - загадочное вредоносное ПО, нацеленное на промышленные объекты
https://www.wired.com/story/ekans-ransomware-industrial-control-systems/