Уже выпилили, но все равно забавно. Раньше про китайских школьников и приложение для уроков такое писали, а тут вот оно как

Смотрите, мэрия выкатила приложение для отслеживания перемещения людей.
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround

Промежуточные итоги изучения приложения для слежки за жителями Москвы:

— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.

— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.

— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.

— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».

— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.

— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.

Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.

Короче, все как обычно.

Ладно, к не менее насущным вещам. Ни дня без новостей про конференции Zoom. Там любители хулиганить придумали как делать zoombombing. Перебирая 10-значные коды конференций, хулиганы вламываются в чужие звонки и делают то, что хулиганы обычно делают - хулиганят. Постят картинки, ругаются, и тд. Такой современный ChatRoulette. Пара советов о настройках, как этого избежать:
- задать пароль для звонка (он по умолчанию не задается)
- трансляция экрана только для ведущего звонок
- отключение передачи файлов
- отключение опции «подключения до ведущего»
- отключение опции «разрешить отключённым подключаться снова».

надеюсь, что вам новости про Zoom надоели так же сильно, как и мне. НО БЛИН. Две свежих zero day уязвимости в клиентах сервиса под Мак, включая инъекцию кода в доступ к микрофону и камере Мака.

https://objective-see.com/blog/blog_0x56.html

Так, если такими темпами пойдет, то нужно будет делать ежедневный Zoom дайджест!
https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/

Pull, пока не убрали

https://twitter.com/evacide/status/1245470967788269568

ОК, надеюсь, последняя новость про Zoom на какое-то время, но эту правда надо запостить. компания объявила, что останавливает разработку новых фич на 90 дней и фокусируется на вопросах безопасности и конфиденциальности пользовательских данных
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

ЗЫ как вариант — коллекция теоретически более безопасных альтернатив (спасибо читателю за ссылку)
https://vivaldi.com/blog/private-apps-remote-work/

Несколько хороших постов про приложение для мониторинга жителей Москвы. из серии “я просто оставлю это здесь”. Кстати, интересный момент, что фигурирует только приложение для Android. Шансы на то, чтобы протолкнуть такое приложение в App Store, минимальны (хотя можно, конечно, применить метод “отключим газ одной фруктовой компании”, но в эти тяжелые времена она может и дверью хлопнуть). так что владельцам айфонов придется сидеть дома.
https://t.me/MarshalC/544
https://t.me/MarshalC/546
https://t.me/MarshalC/547
https://t.me/MarshalC/549

а помните, было такое хорошее время, когда не надо было писать про новые уязвимости в Zoom каждый день? (интересно, сколько из этих уязвимостей обнаружены конкурентами, которые страдают от того, что Zoom вырос с 10 млн активных пользователей в феврале до 200 млн в марте?)

инструменты о поиске открытых митингов в Зуме для зумбомбинга
https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/

вопросы к шифрованию в Zoom со сгенеренными в Китае ключами
https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/

но давайте к более интересным новостям. когда-то я писал о программе вознаграждений, которую объявила Apple за обнаруженные уязвимости в устройствах и ПО компании. Вот и результат: исследователь Райан Пикрен рассказал о том, что он обнаружил уязвимости в Safari для iOS и macOS, которая позволяла сайтам получить доступ к камере на iPhone или Маке (УПС). На самом деле он обнаружил целый набор уязвимостей (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, & CVE-2020-9787), и их комбинация и приводила к багу. Он заключался в том, что браузер Safari неправильно парсил URI, и сайт мог обмануть браузер, прикинувшись доверенным. Как результат, сайт мог получить доступ к камере. В последних версиях iOS/macOS эти уязвимости были исправлены. Райан за эти уязвимости получил выплату в размере 75 тыс долларов.

Общее описание
https://www.ryanpickren.com/webcam-hacking-overview
Детальное описание
https://www.ryanpickren.com/webcam-hacking

Ну и закончим эту неделю хорошими новостями. В новых iPad Pro, как и в Макбуках, начиная с прошлого года, при закрытии устройства (в ноутбуках — при закрытии крышки, в планшетах — при закрытии обложкой) микрофон аппаратно отключается для предотвращения скрытого подслушивания. Ждём в айфоне, видимо.
https://support.apple.com/guide/security/hardware-microphone-disconnect-mac-ipad-secbbd20b00b/web

Очень важная уязвимость для тех, кто работает из дома

https://labs.unit221b.com/2020/04/04/wfh-security-advisory/

как я и обещал, заводим дайджест новостей о компании Zoom.
1. сохраненные видео звонков Zoom хранились доступными в интернете. Сервис сохранял такие видео на отдельный открытый амазоновский бакет, а логика наименования файлов позволяла подбирать названия
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

2. в школах НьюЙорка, где сейчас применяется удаленное обучение, запретили использование Zoom в связи с проблемами безопасности пользовательской информации
https://techcrunch.com/2020/04/05/zoom-new-york-city-schools/

парочка zero-days у Firefox, которые эксплуатировались в онлайне. апдейт!
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

ну и компания Mariott опять в новостях с утечкой 5,2 млн записей клиентов сети гостиниц. да где этому конец, у них и так уже утекло все, что можно
https://www.ajc.com/news/marriott-announces-data-breach-that-could-affect-million/X1KeVPifB93nBiwNV6zcTM/

и к хорошим новостям. Microsoft купила за 1,7 млн долл домен corp.com, чтобы он не достался злодеям. таким образом компания решает проблему конфликта доменов, когда внутрикорпоративные домены могут совпадать с внешними. Это могло вызвать ситуации с перехватом данных, которые Windows PC из корпоративных сетей отправляли бы на внутренний домен, а на самом деле на внешний.
https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/

В эпоху карантина и самоизоляции немного полезной информации — сайт с материалами по обучению крипто (-графии, а не -валюте)
https://cryptohack.org

Talos опубликовали результаты исследования о том, насколько безопасно сканирование отпечатков пальцев как метод аутентификации пользователей. Специалисты компании рассказывают о печати отпечатков пальцев и тестировании оборудования от компаний Apple, Microsoft, Samsung и Huawei, а также некоторых производителей “умных” замков. Вывод исследователей такой, что как альтернатива вводу паролей этот метод хоть и работает, но подходит далеко не для всех. Особенно не подходит для тех, кто может оказаться жертвой совершенно целенаправленной атаки с хорошим оборудованием.

https://blog.talosintelligence.com/2020/04/fingerprint-research.html