и раз уж мы о Ближнем Востоке. Интересный отчет о том, как члены группировки Хамас, прикидываясь в интернете молоденькими девушками, уговаривают солдат армии Израиля установить приложение на смартфон с Android (там, мол, больше фотографий), которое оказывается вредоносным червем. Солдатам присылают ссылки на сайты с приложениями, которое после установки типа крешится, убирая иконку из десктопа. А после этого в фоновом режиме ворует фотографии, текстовые сообщения, адресную книгу и тд. Оказывается, в интернете никому верить нельзя. Вот это новость.

https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/

подарок от правительства США — информация об инструментах северокорейских APT
https://www.us-cert.gov/ncas/current-activity/2020/02/14/north-korean-malicious-cyber-activity

не совсем то, о чем я пишу в этом канале обычно, но вообще очень интересная тема. Рассказ о том, как в попытках догнать Apple с распознаванием лиц в технологии Face ID компания Huawei якобы сотрудничала с правительством Китая. Которое предоставило фотографии 1,4 млрд человек, что позволило натренировать алгоритм для распознавания лиц. Не знаю, насколько этому можно верить, но интересно:

Huawei is often first in line for taking advantage of what these suppliers have learned from Apple. Sometime around 2015, there were rumors in the Chinese smartphone manufacturing community of something called FaceID (leading up to the launch of the iPhone X). There were also rumors of a hardware module, which would make FaceID possible. The rumors were that this would be a significant leap in innovation for Apple, and it would likely create a significant gap between Apple and its competitors. There were also rumors that Huawei was attempting to entice Chinese suppliers to reveal some of the secrets behind the new hardware module. This is the story I wanted Ken Hu and Madame Chen to confirm for me.
Huawei realized it would be a serious setback for the company if it didn’t have something similar to Apple’s FaceID, and Huawei went to the government for help. Initially, Huawei hoped the government would put some heat on Apple and force the suppliers to loosen up a little bit. Surprisingly, the government said the following (I am paraphrasing here, based on my conversation with Madame Chen):
Government: Forget about Apple suppliers on this issue.
Huawei: We can’t ignore this. It will be a serious competitive advantage for Apple iPhones if we don’t have something comparable.
Government: We did not say forget about FaceID, just forget about following Apple on hardware. What if we gave you access to a database of 1.4 billion faces and you used that database to develop an AI algorithm to recognize faces? Could you develop an AI solution rather than a hardware solution?
And that’s what Huawei did. The Chinese Government, which has probably been more aggressive (and intrusive) in collecting data through facial recognition than any government in the world, was offering to turn over a database of faces to a private company to build an AI algorithm for facial recognition.

отсюда
https://supchina.com/2020/02/12/the-age-of-cooptation-the-high-cost-of-doing-business-in-xis-china/

======РЕКЛАМА========
В HackerU стартует 10 поток практического курса «Специалист по информационной безопасности»🚀

🔥Учитесь на практике и нестандартных задачах в виртуальных лабораториях.

Курс включает 11 модулей.
❗️Можно пройти курс целиком либо выбрать отдельные модули:
— Windows Server 2012-2019
— Установка и настройка Cisco
— Введение в Python
— Способы атак на кибер-инфраструктуру
— Средства защиты
— Продвинутые варианты атак, военные действия, правовые аспекты
— Безопасность облачной инфраструктуры
— Повышение привилегий
— Пентестинг web-приложений
— Мобильная безопасность
— Подготовка и сдача экзамена «Certified Ethical Hacker»

Учитесь у топовых экспертов, защищайте мир от киберугроз🛡
Оставьте заявку на консультацию👉 https://clck.ru/MCmeZ
======РЕКЛАМА========

Я слышал о том, что у ProtonMail недавно возникли сложности в России, а тута вота ещё про Tutanota (провайдер зашифрованной почты) пишут и их блокировку

https://tutanota.com/blog/posts/tutanota-blocked-russia/

Aaaaaaaaaa

https://twitter.com/VinLew/status/1229647391864672256

я тут неоднократно писал про устройства компании Ring, и про то, как компания дружит с полицией, передавая ей данные, полученные с камер умных звонков и проч, и про то, как в новостях периодически всплывают истории про злоумышленников, подключающихся к чужим камерам. Кажется, как минимум со второй проблемой компания наконец-то решила разобраться, и ввела обязательную двухфакторную аутентификацию для пользователей
https://blog.ring.com/2020/02/18/extra-layers-of-security-and-control/

интересный материал у Motherboard о компании Yodlee, которая собирает и продает информацию о банковских транзакциях в американском ритейле. По утверждениям компании данные анонимны, но внутренние документы показывают, что с помощью доступной информации можно деанонимизировать пользователей. Вот так и объединяют потом данные из оффлайн-ритейла с онлайновыми профилями.
https://www.vice.com/en_us/article/jged4x/envestnet-yodlee-credit-card-bank-data-not-anonymous

Хорошие новости, которые, к сожалению, случаются реже, чем хотелось бы. Google занялась геноцидом приложений, которые следят за геолокацией пользователей в фоновом режиме:
1. у пользователей будет больше опций по управлению тем, как приложения получают информацию о геолокации
2. Сама система будет регулировать доступ к этой информации в фоновом режиме
3. Появится дополнительная проверка в Google Play на получение информации о геолокации в фоновом режиме

https://android-developers.googleblog.com/2020/02/safer-location-access.html

Safari для macOS и iOS с 1 сентября 2020 года перестанет показывать как доверенные сертификаты, срок службы которых составляет больше 398 дней. Этот шаг должен подстегнуть админов чаще обновлять сертификаты, чтобы уменьшить количество потенциально украденных и переиспользованных сертификатов в фишинговых и других атаках. Это также должно обеспечить поддержку самых последних изменений криптографии в сертификах. Ожидается, что Google, Firefox и Microsoft последуют этому шагу в ближайшее время.
https://www.theregister.co.uk/2020/02/20/apple_shorter_cert_lifetime/

а, и еще с прошлой недели про утечку данных клиентов MGM Resorts
https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/

DNS over HTTPS в Firefox, пока что по умолчанию включено только в США, но при желании можно включить и для остальных территорий
https://blog.mozilla.org/blog/2020/02/25/firefox-continues-push-to-bring-dns-over-https-by-default-for-us-users/

https://arstechnica.com/information-technology/2020/02/medical-device-vulnerability-highlights-problem-of-third-party-code-in-iot-devices/

как известно, S в IoT означает Security

Кстати, вдогонку про IoT и медицинские устройства. Целая пачка уязвимостей в BTLE потенциально делает несколько сотен различных гаджетов, включая медицинские устройства, уязвимыми к атакам. Проблема заключается в том, что уязвимость присутствует в SoC нескольких крупных вендоров "умных" устройств — Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics и Telink Semiconductor. Они выпустили свои патчи, но займет какое-то время, пока они дойдут до устройств, плюс некоторые другие вендоры пока что работают над исправлением ошибок. Эксплуатация уязвимостей может приводить к перезагрузкам устройств, их блокировке или обходу их систем безопасности.

https://asset-group.github.io/disclosures/sweyntooth/

Очередное приложение для слежки (за партнерами, детьми и тд) оставило открытым свой сервер в интернете. Приложение KidsGuard сохраняло данные в бакете на Alibaba, и с телефона (где, кстати, не показывалась иконка приложения, и работа его была незаметна) туда сливалось почти все, включая фотографии, видео, историю чатов и записи звонков. Не делайте так, не ставьте на телефоны дорогих вам людей эти приложения для слежки. Мало того, что это неэтично, так еще и все эти компании пишут свои продукты за три копейки дешевыми аутсорсерами, и в итоге данные людей, за которыми ктото решает последить, оказываются потом доступными в интернете кому попало. Практически со всеми этими компаниями это уже было — можно поискать в истории канала mSpy или Flexispy.

https://techcrunch.com/2020/02/20/kidsguard-spyware-app-phones/

Вредоносное ПО xHelper для смартфонов Android, открывающее бэкдор в телефоне, умудряется заражать телефон даже после сброса до заводских настроек. (Хитрожопы создают папки com.mufc, которые почему-то не удаляются с телефонов при сбросе настроек)

https://blog.malwarebytes.com/detections/android-trojan-dropper-xHelper/
https://blog.malwarebytes.com/android/2019/08/mobile-menace-monday-android-trojan-raises-xHelper/
https://blog.malwarebytes.com/android/2020/02/new-variant-of-android-trojan-xHelper-reinfects-with-help-from-google-play/

Позавчера вышел апдейт к Chrome, и лучше бы его всетаки поставить - в нем исправлено несколько уязвимостей, к которым уже есть публичные эксплойты

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1
https://blog.exodusintel.com/2020/02/24/a-eulogy-for-patch-gapping/

не забывайте обновлять сертификаты, лол

А помните, я несколько недель назад писал о компании Clearview AI?

tl;dr версия: основатель натаскал фоточек из мест, которые это запрещают (социальные сети и все такое), пропарсил их алгоритмами и начал продавать доступ к системе распознавания лиц всяким правоохранительным органам
https://t.me/alexmakus/3242

Владельцы сервисов, с которых наскрейпили фоточки, разумеется, возмутились немного
https://t.me/alexmakus/3271

Но новость сейчас, разумеется, не об этом. Вчера компания уведомила своих клиентов, что злоумышленники получили доступ к полному списку клиентов компании, включая количество аккаунтов, а также количество поисковых запросов, которые производили клиенты. (Видимо, взломали какой-то CRM/billing или чтото такое, потому что Clearview утверждает, что "системы компании не были взломаны", и сами поисковые запросы не утекли)

https://www.thedailybeast.com/clearview-ai-facial-recognition-company-that-works-with-law-enforcement-says-entire-client-list-was-stolen

Что еще может пойти не так? не переключайтесь!