я только не пони, почему сейчас только пришло время рассказать о событиях июля прошлого года
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass
Auth0 - Blog
Insomnia Security Disclosure
On July 31st 2019, at 5:11am, we received an email from Insomnia reporting a service vulnerability. By 11:00pm the same day, we had fixed the issue in production.
Я уже как-то давал ссылку на этот каталог, но не грех и повторить - каталог различных околокомпьютерных гаджетов и их рейтинг от Мозиллы в плане безопасности и сбора пользовательских данных
https://foundation.mozilla.org/en/privacynotincluded/
https://foundation.mozilla.org/en/privacynotincluded/
Mozilla Foundation
*Privacy Not Included | Shop smart and safe | Mozilla Foundation
Be Smart. Shop Safe.
How creepy is that smart speaker, that fitness tracker, those wireless headphones? We created this guide to help you shop for safe, secure connected products.
How creepy is that smart speaker, that fitness tracker, those wireless headphones? We created this guide to help you shop for safe, secure connected products.
между тем, хакеры Серверной Кореи по прежнему представляют собой опасность для США и глобальной финансовой системы
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0
(да, я знаю про опечатку, но так даже лучше)
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0
(да, я знаю про опечатку, но так даже лучше)
Reuters
North Korea hacking threatens U.S. and global financial system: U.S. officials
WASHINGTON (Reuters) - U.S. government officials warned on Wednesday about the threat of North Korean hackers, calling particular attention to banking and other financial services.
Интересная ссылка от читателя про исследование, которое позволяет использовать вентиляторы(!) компьютеров для создания контролируемых вибраций, что позволило бы передавать информацию с изолированных систем. Эксперты университета имени Давида Бен-Гуриона в Негеве давно известны обнаружением необычных векторов атаки для получения данных с таких систем, рекомендую прочитать список в статье. Вот несколько примеров:
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/
ZDNET
Academics steal data from air-gapped systems using PC fan vibrations
Israeli researchers use vibrations from CPU, GPU, or PC chassis fans to broadcast stolen information through solid materials and to nearby receives, breaking air-gapped system protections.
И снова здравствуйте! Я просто оставлю этот тред в твиттере тут. Он длинный, но он того стоит: чувак решил разобраться, почему его «умный» пульт Logitech Harmony из 2009 года требует заряжённую батарейку, и обнаружил такое!!! Кликай, чтобы узнать!!! (QNX, Flash, отправку данных по http, и много всего другого интересного, но я рекомендую этот путь в кроличью нору проделать самостоятельно)
https://twitter.com/foone/status/1251395931351609347?s=21
https://twitter.com/foone/status/1251395931351609347?s=21
Twitter
foone
I'm trying to get this Logitech Harmony 900 remote working, but it keeps telling me the battery level is extremely low...
совместное заявление более 300 ученых касательно различных методов по отслеживанию контактов и рисков для конфиденциальных персональных данных. В двух словах: ничего не получится, если не уважать приватность https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view
иногда опасносте не информация, а криптовалюта
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/
ZDNET
Hackers steal $25 million worth of cryptocurrency from Lendf.me platform
UPDATED: Hackers have returned the stolen funds after leaking their IP address during the attack.
Это очень красиво
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html
Blogspot
You Won't Believe what this One Line Change Did to the Chrome Sandbox
Posted by James Forshaw, Project Zero The Chromium sandbox on Windows has stood the test of time. It’s considered one of the better sand...
Новость, которая заставила меня проверить, не дежавю ли это, или просто глюк в матрице. Опять новости про уязвимость в iOS, которую использует Китай для заражения айфонов уйгуров
https://www.volexity.com/blog/2020/04/21/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant/
О подобном я писал в прошлом году
https://t.me/alexmakus/3021
Там тоже шла речь об уязвимостях в iOS 12, которые были исправлены. Так и в этом случае, уязвимости присутствуют в версиях iOS 12.3, 12.3.1 и 12.3.2, но были исправлены в 12.4. Эксплойт под названием Insomnia, заражал телефон пользователя при посещении сайта путем загрузки вредоносных файлов JavaScript, и применялся затем для выгрузки нешифрованной переписки в браузерах, фотографий, адресной книги и информации о геолокации. Дополнение по сравнению с прошлогодними уязвимостями — попытки получить доступ к почте Proton, а также к изображениям в Signal. Загруженные вредоносные фафлы удаляются после рестарта устройства. Группа, ответственная за этот эксплойт — та же, что и с цепочкой уязвимостей из новостей прошлого года.
https://www.volexity.com/blog/2020/04/21/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant/
О подобном я писал в прошлом году
https://t.me/alexmakus/3021
Там тоже шла речь об уязвимостях в iOS 12, которые были исправлены. Так и в этом случае, уязвимости присутствуют в версиях iOS 12.3, 12.3.1 и 12.3.2, но были исправлены в 12.4. Эксплойт под названием Insomnia, заражал телефон пользователя при посещении сайта путем загрузки вредоносных файлов JavaScript, и применялся затем для выгрузки нешифрованной переписки в браузерах, фотографий, адресной книги и информации о геолокации. Дополнение по сравнению с прошлогодними уязвимостями — попытки получить доступ к почте Proton, а также к изображениям в Signal. Загруженные вредоносные фафлы удаляются после рестарта устройства. Группа, ответственная за этот эксплойт — та же, что и с цепочкой уязвимостей из новостей прошлого года.
Volexity
Evil Eye Threat Actor Resurfaces with iOS Exploit and Updated Implant
In September 2019, Volexity published Digital Crackdown: Large-Scale Surveillance and Exploitation of Uyghurs, which described a series of attacks against Uyghurs from multiple Chinese APT actors. The most notable threat […]
Продолжая тему с уязвимостями для iPhone. Компания Zecops опубликовала отчет о том, что они обнаружили уязвимости в iOS, которые к тому же уже эксплуатируются для получения доступа к данным пользователей, по утверждениям компани, их обнаруживших. Одна из них вообще не требует кликов, а вектор — получение писем в почте, которые выжирают большое количество памяти, причем полная загрузка письма с сервера не требуется (в iOS 13). в iOS 12 требуется клик на письмо. Визуально для пользователя это выглядит как падение почтового клиента после получения нового письма.
Уязвимости присутствуют как минимум с iOS 6, по утверждениям компании. Apple говорит о том, что уязвимости исправлены в последних бетах iOS 13 и войдут в ближайший релиз. Сама уязвимость, обнаруженная компанией, не приводит к утечкам данных на устройстве, атакующим нужны другие уязвимости для доступа через ядро, например, чтобы получить данные к пользователям. Но при наличии high-value цели определенные силы могут найти и такие уязвимости — массовым пользователям особо волноваться по поводу подобных уязвимостей не стоит.
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
Уязвимости присутствуют как минимум с iOS 6, по утверждениям компании. Apple говорит о том, что уязвимости исправлены в последних бетах iOS 13 и войдут в ближайший релиз. Сама уязвимость, обнаруженная компанией, не приводит к утечкам данных на устройстве, атакующим нужны другие уязвимости для доступа через ядро, например, чтобы получить данные к пользователям. Но при наличии high-value цели определенные силы могут найти и такие уязвимости — массовым пользователям особо волноваться по поводу подобных уязвимостей не стоит.
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
Раз уж речь о Zero-click RCE. Вот уязвимость CVE-2020-0022 в Android 8 и 9, которая при её эксплуатации позволяет установить удаленное соединение со смартфоном. Уязвимость была исправлена в патче 1.2.2020 in A-143894715
https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/
https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/
Утек исходный код Team Fortress 2 и Counter-Strike: Global Offensive. Циркулируют рекомендации играть только на официальных серверах, чтобы избежать потенциально какого нибудь вредоносного ПО с RCE, написанного по результатам утечки. Компания утверждает, что причин для паники нет
https://www.bleepingcomputer.com/news/security/valve-reassures-gamers-after-cs-go-and-team-fortress-2-leaks/
https://www.bleepingcomputer.com/news/security/valve-reassures-gamers-after-cs-go-and-team-fortress-2-leaks/
BleepingComputer
Valve reassures gamers after CS:GO and Team Fortress 2 leaks
The source code of Valve's Team Fortress 2 and Counter-Strike: Global Offensive games was leaked today and published on the Internet for anyone to download.
Всякие полезные советы от Google о том, как улучшить свою онлайн-безопасность во время работы из дома из-за эпидемии
https://blog.google/technology/safety-security/helping-you-avoid-covid-19-security-risks/
https://blog.google/technology/safety-security/helping-you-avoid-covid-19-security-risks/
Google
Helping you avoid COVID-19 online security risks
How we’re guarding against threats to keep you safe during the COVID-19 pandemic—and some easy tips to protect yourself.
я тут в этом месяце много писал плохого про Zoom, так что для баланса должен написать и то, что они выпустили (АПД — не выпустили, но вот-вот) версию 5.0 с некоторыми улучшениями безопасности. В частности, теперь можно быстро залочить звонок, удалить участника, ограничить возможности по показу экрана или по чату во время звонка. Также по умолчанию для многих пользователей включены пароли, и появилась политика для админов по настройке сложности пароля. Лучше поздно, чем никогда.
https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/
https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/
Zoom Blog
Zoom Hits Milestone on 90-Day Security Plan, Releases Zoom 5.0
Zoom proudly announces the upcoming general availability of Zoom 5.0 and support for AES 256-bit GCM encryption, key milestones in our 90-day security plan.