Ну и раз уж идёт речь о системных апдейтах, у Microsoft и Adobe там тоже вышли важные патчи для их продуктов, и при этом информация о некоторых уязвимостях не раскрывается. Что-то странное происходит

https://krebsonsecurity.com/2020/11/patch-tuesday-november-2020-edition/

Кто главный рассадник вредоносного ПО на Android? Google Play Store!

https://arxiv.org/pdf/2010.10088.pdf

какойто ужас про систему распознавания лиц в Москве и доступ к ней за всего 16 тысяч рублей. Неужели нельзя больше денег брать за это?

https://news.trust.org/item/20201109090922-3k4a5/

А помните вот эту прекрасную историю? У Washington Post продолжение, потому что они добыли отчёт о расследовании этого скандала в парламенте Швейцарии. Там и про то, что швейцарская разведка знала об этом, и какой это ущерб нанесло репутации страны. Как будто шпионский роман читаешь

https://www.washingtonpost.com/national-security/swiss-report-reveals-new-details-on-cia-spying-operation/2020/11/10/c93ca7fc-2386-11eb-8672-c281c7a2c96e_story.html

А вот ещё ссылка от читателя про различные ужасы в телевизорах и других устройствах бренда TLC, одного из крупнейших производителей подобного рода техники. Вход на устройства с root:root, масса открытых портов, доступ к файловой системе, апдейты, которые делают хуже, и всякое разное

https://sick.codes/extraordinary-vulnerabilities-discovered-in-tcl-android-tvs-now-worlds-3rd-largest-tv-manufacturer/

Многие из вас наверняка уже видели вот этот пост про “кошмар на улице Эпол”
https://sneak.berlin/20201112/your-computer-isnt-yours/
(Вот его перевод на Хабре
https://habr.com/ru/post/528104/)

Вкратце: на волне проблем с серверами обновлений в день выхода апдейта macOS 11 Big Sur у Apple возникли проблемы также с серверами проверки сертификатов разработчиков при запуске приложений на Маках. В итоге приложения на старте жутко тормозили или вообще падали (потому что упс, лажа, система была заточена на то, что сервер может быть недоступен, но не заточена на то, что сервер может отвечать медленно). Что и породило текст со ссылкой выше, где в весьма драматических тонах со ссылками на Столлмана и прочее было рассказано, как Apple все о вас знает, и ваш компьютер больше вам не принадлежит.

Сама технология проверки приложений на старте не нова, она называется GateKeeper, и более детально о ней можно прочитать тут:
https://support.apple.com/guide/security/gatekeeper-and-runtime-protection-sec5599b66df/1/web/1

Справедливости ради также хочу дать ссылку на пост с комментариями о том, почему полный драмы и ссылок на PRISM пост не совсем корректный, и не стоит принимать всю информацию, в нем перечисленную, за чистую монету.
https://blog.jacopo.io/en/post/apple-ocsp/

Система проверяет на первом старте (и потом с какой-то вероятностью еще иногда) валидность сертификата разработчика, и отсутствие приложения в базе известных вредоносных приложений. Тут кроется первая неточность статьи — то, что на сервера Apple уходит информация о каждом приложении, которое запускает пользователь. На самом деле на сервере проверяет некий кусок девелоперского сертификата, и если у разработчика несколько приложений, то это один и тот же кусок.

Второй момент — что эти данные пересылаются в открытом виде по HTTP, без какого-либо шифрования. Проверка проводится по OCSP — Online Certificate Status Protocol, открытом проколе, работающем по HTTP. Там есть некая лажа в том, что, используя шифрованный OCSP, можно попасть в бесконечный цикл валидации самого протокола и HTTPS соединения, но вообще да, Apple могла бы как раз напрячься и зашифровать эти данные, чтобы они не попадали неизвестно каким третьим сторонам.

Третье, и у меня пока что нет 100% подтверждения этому (апд: подтвердилось), но информация о запусках приложений и верификации сертификатов не привязана к Apple ID пользователя. Соответственно, месседж статьи о том, как “Apple знает о том, что вы делали у себя дома и какие приложения запускали”, на 99% процентов не соответствует действительности. Apple всячески рандомизирует данные пользователя о геолокации, меняя идентификаторы у себя в бэкенде каждые несколько часов, и, скорей всего, проверка сертификатов по OCSP происходит с фокусом на именно сертификатах, а не на Apple ID, который эти приложения запускает. Короче, как только у меня будет достоверная информация, я дополню. (Но все равно тот факт, что третьи стороны типа провайдера (или СОРМ) могут видеть куски информации о сертификате разработчика, привязанные, например, к IP адресу — лажа Apple, и мы возвращаемся к теме работы этой проверки по HTTP).

Дополнение: уже после того, как был написан этот текст, Apple выпустила новую статью с разъяснениями, в которой подтвердила, что проверки сертификатов никак не привязаны к Apple ID пользователя.

https://support.apple.com/en-us/HT202491

Кроме этого, компания пообещала в следующем году выпустить обновление, где проверки будут идти по зашифрованному каналу связи. Будет добавлена поддержка на случай проблем с сервером, и появится опция отключения такой функциональности.

Ну и самая главная и непонятная история во всем этом история, на которой первоначальная статья фокусируется меньше всего — это ContentFilterExclusionList (/System/Library/Frameworks/NetworkExtension.framework/Versions/A/Resources/Info.plist), некий список приложений и системных сервисов в macOS, которые Apple решила роутить в системе самостоятельно. То есть если даже вы пользуетесь VPN, macOS решает, что уж эти приложения могут идти в интернет мимо VPN. Что вообще подрывает концепцию восприятия безопасности пользователем на корню, так как он, сидя на открытом вайфае, думает, что все его данные ходят через зашифрованный тоннель, а на самом деле это не так. В принципе, читая этот список, можно по каждому пункту придумать объяснение за Apple, почему они это делают, но какого хрена мы как пользователи должны это придумывать? Почему нет четкого и понятного объяснения этому повороту, но есть шаг со стороны Apple, который вызывает вопросы? Я практически уверен, что в этом решении, которое настолько заметно экспертам практически сразу, не было злого умысла, но осадок все равно остался. Более того, как было продемонстрировано экспертами, эта реализация чревата тем, что вредоносное ПО тоже может воспользоваться такими правилами обхода
https://twitter.com/patrickwardle/status/1327726496203476992

Короче, резюмируя. Статья по самой первой ссылке лично мне показалась излишне драматизирующей и кликбейтной. Проблемы действительно есть, и я думаю, что OCSP по HTTPS скоро появится, как и объяснение с ContentFilterExclusionList. Ждем, далеко попкорн не прячьте.

=== РЕКЛАМА ===
Предпоказ нового продукта — MaxPatrol VM. 16 ноября в рамках глобальной конференции и кибербитвы The Standoff (https://standoff365.com/ru) мы проведем предпоказ нового продукта - средства управления уязвимостями следующего поколения MaxPatrol VM.
https://bit.ly/38cC6Mz
=== РЕКЛАМА ===

Почти 28 миллионов записей водительских удостоверений в штате Техас утекли у страховой компании Vertafore, которая имела доступ к записям местного «ГАИ». Имена, номера автомобилей, даты рождения, адреса, прочая информация о регистрации автомобиля утекла для тех жителей Техаса, которые получали ВУ до февраля 2019 года. Ничего святого нет у этих хакеров. Теперь они могут попытаться открывать банковские счета, например, или еще каким-то образом выдавать себя за других людей. А все потому, что бараны в страховой хранили данные в незапароленном онлайн-хранилище

https://www.fox26houston.com/news/nearly-28-million-licensed-texas-drivers-hit-by-data-breach

Как армия США покупает данные из приложений, которые безобидны на вид, но на самом деле собирают данные о пользователях и продают эту информацию, включая данные о геолокации третьим сторонам. Один из примеров - приложение Muslim Pro, для молитв, которое хвастается почти 100млн закачек. И таких приложений много. Данные собирает брокер X-Mode, который затем продаёт их разным заказчикам в министерстве обороны. Атака дроном с помощью таких данных пока что не проводилась, но, чувству, недолго уже осталось.

https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x

Игровая компания Capcom опубликовала информацию о том, что в результате недавнего взлома и атаки вируса-вымогателя данные 350 тысяч пользователей утекли к злоумышленникам

http://www.capcom.co.jp/ir/english/news/html/e201116.html

=== РЕКЛАМА ===

18 ноября в 16:00 приглашаем вас на первое онлайн-мероприятие из серии вебинаров про Cloud Security «ИБ облачных сред: от отрицания до уверенного использования».

Речь пойдет об общей картине обеспечения информационной безопасности в облаке и о том, как использовать преимущества облака при реализации защитных мер. Наши эксперты рассмотрят наиболее распространенные угрозы в облаке, ключевые контроли для защиты облачных сред, а также доступные в облаке инструменты и их использование для обеспечения ИБ.

Кому будет полезно:
🔺 ИБ-специалистам, которые хотят разобраться в особенностях облака и подходах к его защите
🔺 Тем, кто хочет разобраться с доступным в облаке ИБ-инструментарием
🔺 ИТ-специалистам, которые планируют переезд в облако

Регистрация на мероприятие:
https://events.webinar.ru/jet/cloudsecurity1811

=== РЕКЛАМА ===

Приложения для молитв мусульман пообещали, что больше не будут передавать информацию о местоположении пользователей X-Mode. Поздно, координаты в дроны уже загружены.

https://www.vice.com/en/article/g5bq89/muslim-pro-location-data-military-xmode

и тебе HTTPS, и тебе HTTPS! ВСЕМ HTTPS!

это у Firefox вышла новая версия с режимом «только HTTPS»
https://www.zdnet.com/article/firefox-83-released-with-https-only-mode-that-only-loads-https-sites/

Люблю такие картинки

Админы Друпала, вы знаете, что делать

https://www.drupal.org/sa-core-2020-012

Это из той самой коллекции 23 тысяч баз разных сайтов, с 226 млн записей адресов почты и паролей. Думаю, многие из читателей канала там тоже есть https://www.troyhunt.com/inside-the-cit0day-breach-collection/

НУ ИЗВИНИТЕ. Книжка про mac malware

https://taomm.org

Похоже, что в следующем релизе iOS 14 Apple планирует таки активировать функцию App Tracking Transparency, которая будет сообщать пользователям о попытках компаний следить за пользователями между приложениями и сайтами. Изначально фичу должны были включить в 14.0, но Apple задержала эту фичу, мотивируя это тем, что «компаниям надо подготовиться». Организации по защите гражданских прав пеняли Apple за эту задержку, и вот компания опубликовала ответ.

В двух словах: «мы за все хорошее и чтобы не следить за пользователями, а вот Фейсбук...». Полное письмо по ссылке:

https://www.scribd.com/document/485013304/Apple-Letter-on-App-

И в рамках пятницы одна из моих любимых картинок про инфосек