Google исправила серьезную уязвимость в Gmail
https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/
https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/
ZDNET
Google fixes major Gmail bug seven hours after exploit details go public
Attackers could have sent spoofed emails mimicking any Gmail or G Suite customer.
Тойота обещает тут заливать данные о вождении автомобилей в облако, для того, чтобы страховые компании могли анализировать их и выставлять соотвествующие ставки для страховых премиумов. Идея, конечно, на поверхности хорошая (вознаграждать приличных водителей за хорошее поведение), но столько всего может пойти не так, что прямо захватывает дух. (Посмотрел на свою машину без электроники и OBD-II порта и порадовался)
https://www.theregister.com/2020/08/18/aws_toyota_alliance/
https://www.theregister.com/2020/08/18/aws_toyota_alliance/
The Register
Oh what a feeling: New Toyotas will upload data to AWS to help create custom insurance premiums based on driver behaviour
Connected car vision has been in first gear for years, cloudy scale could jump-start plans
интересная уязвимость в операционных системах Apple, позволяющая через браузер украсть, например, историю браузера. Apple сказала «ну мы там весной 2021 года исправим», а эксперты решили не ждать и опубликовали информацию о ней уже сейчас, вместе с proof of concept
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security
LOL (даже сотрудники Google считают, что настройки безопасности у Google сложные и непонятные)
https://gizmodo.com/even-google-employees-found-google-s-privacy-settings-c-1844855798
https://gizmodo.com/even-google-employees-found-google-s-privacy-settings-c-1844855798
Gizmodo
Even Google Employees Found Google’s Privacy Settings Confusing
By 2018, Google mastered the art of obscuring privacy settings to the degree that even some Google employees didn’t know how location privacy settings worked, according to an Arizona consumer fraud lawsuit (now with fewer redactions) shows. As the Arizona…
и еще ЛОЛ вчерашнего дня, который меня все никак не отпустит. Фейсбук опубликовал пост в блоге, в котором рассказывает, как изменения в iOS 14 затронут рекламный бизнес компании. Благодаря ограничениям по доступу к рекламному идентификатору в iOS-устройствах ни собственные приложения Facebook, ни приложения, которые показывают рекламу Audience Network от ФБ, не смогут получать информацию, идентифицирующую пользователя, что существенно ограничит возможности по таргетированию пользователей рекламой (приложения, которые показывают платформенную рекламу, будут запрашивать подтверждение у пользователя, хочет ли тот, чтобы приложение следило за ним между разными приложениями и сайтами. подозреваю, многие пользователи ответят “нет, хочу”.). Фейсбук говорит, что эти изменения по мониторингу, идентифицированию пользователей настолько существенны, что реклама на iOS 14 может потерять вообще какой либо смысл. Интересно, мы в этом месте должны как-то посочувствовать бедному Facebook и осудить мировое зло в виде Apple?
https://www.facebook.com/business/news/preparing-our-partners-for-ios-14-launch/
https://www.facebook.com/business/news/preparing-our-partners-for-ios-14-launch/
Meta for Business
How We’re Preparing Businesses for the Impact of iOS 14
iOS 14 updates will have an impact on businesses’ ability to monetize through ads. See how Facebook is addressing iOS 14 changes and helping our partners prepare.
Сотрудник Tesla отказался от взятки в миллион долларов и работал с ФБР, чтобы вскрыть возможную кибер-атаку на Tesla Gigafactory. Предлагавшего взятку зовут «Egor Igorevich Kriuchkov»
https://www.zdnet.com/article/russian-arrested-for-trying-to-recruit-an-insider-and-hack-a-nevada-company/
https://www.teslarati.com/tesla-employee-fbi-thwarts-russian-cybersecurity-attack/
https://www.zdnet.com/article/russian-arrested-for-trying-to-recruit-an-insider-and-hack-a-nevada-company/
https://www.teslarati.com/tesla-employee-fbi-thwarts-russian-cybersecurity-attack/
ZDNET
Russian arrested for trying to recruit an insider and hack a Nevada company
A Russian national traveled to the US to recruit and convince an employee of a Nevada company to install malware on the company's network.
Уязвимость в библиотеке Play Core на Android, которая позволяла вредоносным приложениям воровать данные из приложений (например, пароли или номера кредитных карт) на том же устройстве. Рейтинг бага по уровню опасности — 8.8 из 10.0, Google уже выпустила апдейт с фиксом.
https://nvd.nist.gov/vuln/detail/CVE-2020-8913#range-5840182
https://nvd.nist.gov/vuln/detail/CVE-2020-8913#range-5840182
дешевый китайский телефон, да чтобы сразу со встроенным шпионским ПО? никогда такого не было, и вот опять
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
BuzzFeed.News
Chinese-Made Smartphones Are Secretly Stealing Money From People Around The World
Preinstalled malware on low-cost Chinese phones has stolen data and money from some of the world's poorest people.
Apple, конечно, молодец по затягиванию гаек на платформах, чтобы не допускать туда вредоносное ПО, но тут уж лоханулась так лоханулась. У Apple сейчас есть требование, в рамках которого приложения должны быть подписаны сертификатом из учетки зарегистрированного разработчика, а также это приложение должно пройти процедуру “нотаризации” — дополнительной проверки, чтобы убедиться, что в самом приложении нет каких-то особых ужасов. Оказывается, они в какойто момент лоханулись и нотаризовали adware — вредоносное ПО, которое, будучи установленным, перехватывает рекламу и показывает свою. Эту лажу обнаружили, и Apple отозвала сертификат разработчика, после чего этот payload перестал работать
https://objective-see.com/blog/blog_0x4E.html
https://objective-see.com/blog/blog_0x4E.html
objective-see.org
Apple Approved Malware
malicious code ...now notarized!? #2020
Суд в США сегодня признал, что вся программа NSA по сбору информации о звонках граждан США была незаконной и, возможно, неконституционной. Кто бы мог подумать
https://www.aclu.org/legal-document/united-states-v-moalin-ninth-circuit-opinion
https://www.aclu.org/legal-document/united-states-v-moalin-ninth-circuit-opinion
American Civil Liberties Union
United States v. Moalin - Ninth Circuit Opinion
РЕКЛАМА
Мы решили выяснить, как ИБ-специалисты оценивают уровень network visibility своих компаний. Приглашаем принять участие в опросе. Пожалуйста, поделитесь своей оценкой прозрачности корпоративной сети и расскажите, как вам в этом помогает анализ трафика. Опрос анонимный
РЕКЛАМА
Мы решили выяснить, как ИБ-специалисты оценивают уровень network visibility своих компаний. Приглашаем принять участие в опросе. Пожалуйста, поделитесь своей оценкой прозрачности корпоративной сети и расскажите, как вам в этом помогает анализ трафика. Опрос анонимный
РЕКЛАМА
Настоятельно советуют обновить Циски
https://us-cert.cisa.gov/ncas/current-activity/2020/09/03/cisco-releases-security-updates
https://us-cert.cisa.gov/ncas/current-activity/2020/09/03/cisco-releases-security-updates
Уязвимость в графическом процессоре Qualcomm Adreno, которая позволяет получить выход из песочницы приложения и получить права исполнения кода на уровне ядра процессора
https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html
https://googleprojectzero.blogspot.com/2020/09/attacking-qualcomm-adreno-gpu.html
Blogspot
Attacking the Qualcomm Adreno GPU
Posted by Ben Hawkes, Project Zero When writing an Android exploit, breaking out of the application sandbox is often a key step. There are a...
Статья в целом ничего особенного, но картинка про кавалькаду там прикольная
https://utkusen.com/blog/security-by-obscurity-is-underrated.html
https://utkusen.com/blog/security-by-obscurity-is-underrated.html
Utkusen
Security by Obscurity is Underrated
🔥 This article widely discussed at Hackernews and Reddit
In the information security field, we have developed lots of thoughts that can’t be discussed (or rarely discussed):
Never roll your own crypto
Always use TLS
Security…
In the information security field, we have developed lots of thoughts that can’t be discussed (or rarely discussed):
Never roll your own crypto
Always use TLS
Security…
Целый веб-сайт о Racoon Attack (енот, он же trash panda), но вообще речь идет о некой теоретической атаке на протокол TLS, которая может привести к расшифровке HTTPS соединения между пользователями и сервером, и таким образом дать возможность просматривать зашифрованные данные. Сразу скажу, что эксперты говорят, что эту уязвимость очень сложно эксплуатировать, а все условия, которые должны совпасть, очень редко встречаются. Суть, как я понял, в том, что это “timing attack”, в рамках которой некая вредоносная сторона замеряет время, необходимое для совершения определенных криптографических операций, чтобы вычислить какие-то части алгоритма. Больше деталей по ссылке.
https://raccoon-attack.com/
https://raccoon-attack.com/
Социальная сеть «только для женщин», из которой утекают имейл пользователей (пользовательниц?), фотографии и информация о местоположении. Я помню, ещё когда увидел анонс этого проекта, первая мысль была «что может пойти не так?» Всё!)
https://research.digitalinterruption.com/2020/09/10/giggle-laughable-security/
https://research.digitalinterruption.com/2020/09/10/giggle-laughable-security/
Digitalinterruption
Giggle; laughable security | Digital Interruption Research
Preface: There is very little in this blog post that is interesting from a technical perspective. The discovered vulnerability is incredibly basic but fairly...
А тут вот ещё какая-то прекрасная уязвимость в Bluetooth под номером CVE-2020-15802. Применяя ее, нападающие могут в итоге подсоединиться к устройству жертвы, перезаписав аутентификационные ключи. MiTM тоже, например. Детали по ссылке
https://www.kb.cert.org/vuls/id/589825/
https://www.kb.cert.org/vuls/id/589825/
kb.cert.org
CERT/CC Vulnerability Note VU#589825
Devices supporting Bluetooth BR/EDR and LE using CTKD are vulnerable to key overwrite
эй-эй-эй, ваш шанс на 690 миллионов долларов! всего-то надо вскрыть биткойн-кошелек, немножко зашифрованный!
https://www.vice.com/en_us/article/bv8k4v/hackers-are-trying-to-break-into-this-bitcoin-wallet-holding-dollar690-million
https://www.vice.com/en_us/article/bv8k4v/hackers-are-trying-to-break-into-this-bitcoin-wallet-holding-dollar690-million
Vice
Hackers Are Trying To Break Into This Bitcoin Wallet Holding $690 Million
Hackers have been trading an encrypted Bitcoin wallet on forums and underground marketplaces in hopes of recovering the stash of cryptocurrency.