я только не пони, почему сейчас только пришло время рассказать о событиях июля прошлого года
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass

Я уже как-то давал ссылку на этот каталог, но не грех и повторить - каталог различных околокомпьютерных гаджетов и их рейтинг от Мозиллы в плане безопасности и сбора пользовательских данных

https://foundation.mozilla.org/en/privacynotincluded/

между тем, хакеры Серверной Кореи по прежнему представляют собой опасность для США и глобальной финансовой системы
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0

(да, я знаю про опечатку, но так даже лучше)

Интересная ссылка от читателя про исследование, которое позволяет использовать вентиляторы(!) компьютеров для создания контролируемых вибраций, что позволило бы передавать информацию с изолированных систем. Эксперты университета имени Давида Бен-Гуриона в Негеве давно известны обнаружением необычных векторов атаки для получения данных с таких систем, рекомендую прочитать список в статье. Вот несколько примеров:
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/

И снова здравствуйте! Я просто оставлю этот тред в твиттере тут. Он длинный, но он того стоит: чувак решил разобраться, почему его «умный» пульт Logitech Harmony из 2009 года требует заряжённую батарейку, и обнаружил такое!!! Кликай, чтобы узнать!!! (QNX, Flash, отправку данных по http, и много всего другого интересного, но я рекомендую этот путь в кроличью нору проделать самостоятельно)

https://twitter.com/foone/status/1251395931351609347?s=21

совместное заявление более 300 ученых касательно различных методов по отслеживанию контактов и рисков для конфиденциальных персональных данных. В двух словах: ничего не получится, если не уважать приватность https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view

иногда опасносте не информация, а криптовалюта
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/

Это очень красиво
https://googleprojectzero.blogspot.com/2020/04/you-wont-believe-what-this-one-line.html

Новость, которая заставила меня проверить, не дежавю ли это, или просто глюк в матрице. Опять новости про уязвимость в iOS, которую использует Китай для заражения айфонов уйгуров
https://www.volexity.com/blog/2020/04/21/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant/

О подобном я писал в прошлом году
https://t.me/alexmakus/3021

Там тоже шла речь об уязвимостях в iOS 12, которые были исправлены. Так и в этом случае, уязвимости присутствуют в версиях iOS 12.3, 12.3.1 и 12.3.2, но были исправлены в 12.4. Эксплойт под названием Insomnia, заражал телефон пользователя при посещении сайта путем загрузки вредоносных файлов JavaScript, и применялся затем для выгрузки нешифрованной переписки в браузерах, фотографий, адресной книги и информации о геолокации. Дополнение по сравнению с прошлогодними уязвимостями — попытки получить доступ к почте Proton, а также к изображениям в Signal. Загруженные вредоносные фафлы удаляются после рестарта устройства. Группа, ответственная за этот эксплойт — та же, что и с цепочкой уязвимостей из новостей прошлого года.

Продолжая тему с уязвимостями для iPhone. Компания Zecops опубликовала отчет о том, что они обнаружили уязвимости в iOS, которые к тому же уже эксплуатируются для получения доступа к данным пользователей, по утверждениям компани, их обнаруживших. Одна из них вообще не требует кликов, а вектор — получение писем в почте, которые выжирают большое количество памяти, причем полная загрузка письма с сервера не требуется (в iOS 13). в iOS 12 требуется клик на письмо. Визуально для пользователя это выглядит как падение почтового клиента после получения нового письма.
Уязвимости присутствуют как минимум с iOS 6, по утверждениям компании. Apple говорит о том, что уязвимости исправлены в последних бетах iOS 13 и войдут в ближайший релиз. Сама уязвимость, обнаруженная компанией, не приводит к утечкам данных на устройстве, атакующим нужны другие уязвимости для доступа через ядро, например, чтобы получить данные к пользователям. Но при наличии high-value цели определенные силы могут найти и такие уязвимости — массовым пользователям особо волноваться по поводу подобных уязвимостей не стоит.

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

Раз уж речь о Zero-click RCE. Вот уязвимость CVE-2020-0022 в Android 8 и 9, которая при её эксплуатации позволяет установить удаленное соединение со смартфоном. Уязвимость была исправлена в патче 1.2.2020 in A-143894715
https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

​​===== РЕКЛАМА ======
Positive Technologies приглашает на онлайн-запуск новой версии PT Application Firewall 4.0  – межсетевого экрана уровня приложений.
В программе презентация решения, а также интервью с ведущими экспертами компании.
Регистрация по ссылке
===== РЕКЛАМА ======

Утек исходный код Team Fortress 2 и Counter-Strike: Global Offensive. Циркулируют рекомендации играть только на официальных серверах, чтобы избежать потенциально какого нибудь вредоносного ПО с RCE, написанного по результатам утечки. Компания утверждает, что причин для паники нет

https://www.bleepingcomputer.com/news/security/valve-reassures-gamers-after-cs-go-and-team-fortress-2-leaks/

Всякие полезные советы от Google о том, как улучшить свою онлайн-безопасность во время работы из дома из-за эпидемии
https://blog.google/technology/safety-security/helping-you-avoid-covid-19-security-risks/

я тут в этом месяце много писал плохого про Zoom, так что для баланса должен написать и то, что они выпустили (АПД — не выпустили, но вот-вот) версию 5.0 с некоторыми улучшениями безопасности. В частности, теперь можно быстро залочить звонок, удалить участника, ограничить возможности по показу экрана или по чату во время звонка. Также по умолчанию для многих пользователей включены пароли, и появилась политика для админов по настройке сложности пароля. Лучше поздно, чем никогда.

https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/

Ответ Apple по поводу уязвимостей в почтовом клиенте iOS, которые были обнаружены компанией ZecOps.

Google и Apple, которые разрабатывают совместно технологию отслеживания контактов с людьми, которые могли быть носителями нового коронавируса, сегодня сообщили дополнительную информацию о методах, которые компании планируют применять для реализации этого отслеживания. В частности, речь идет о дополнительных условиях генерации случайных ключей, шифровании метаданных Bluetooth, ограничении диапазона пересечения с зараженными до 30 минут, и других методах для улучшения мер по сохранению конфиденциальности пользователей.

О самом анонсе пару недель назад я писал тут:
https://t.me/alexmakus/3405

Кроме этого, сама технология теперь будет называться Exposure Notification — “Уведомление о попадании в зону воздействия”, а публичный запуск технологии произойдет в середине мая (ранняя бета будет доступна 28 апреля). Компании еще раз уточнили, что система не предполагает раскрытия личности человека, который может быть заражен вирусом, а также не содержит в себе информации о геолокации — она не собирает и не хранит её. Госорганы здравоохранения смогут использовать API для разработки своих приложений, и смогут регулировать настройки по времени попадания в зону воздействия до максимального значения 30 минут. Это осложнит привязку ключа к определенному пользователю.

https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.0.pdf

Nintendo тут призывает пользователей проверить в аккаунтах лишние покупки и неавторизованные логины. Похоже, реюз паролей и слабые пароли привели к тому, что примерно у 160 тыс пользователей появилась различная неавторизованная активность в аккаунтах. Нинтендо призывает включить 2FA на аккаунтах и сбросит пароли тем пользователям, которых затронула эта история

https://www.nintendo.co.jp/support/information/2020/0424.html

http://www.nintendolife.com/news/2020/04/nintendo_confirms_that_around_160000_accounts_may_have_been_hacked_personal_info_possibly_at_risk

Отличный тред в твиттере с реверсом приложения для отслеживания контактов с заболевшими COVID-19, которое выпустили в Австралии для граждан страны

https://twitter.com/matthewrdev/status/1254336105203200000