Приватность государственных мобильных приложений в России [1] - свежее исследование от команды @infoculture. Мы проверили 44 государственных мобильных приложения в которых 39 из них содержат код сторонних трекеров и 38 из них содержат код сторонних трекеров с юрисдикциями в США и Японии. Почитайте подробнее там, много интересного.

Об этом я сегодня буду говорить на Privacy Day, презентацию можно посмотреть по ссылке [2], а также вышла статья в РБК с комментариями представителей Минцифры и ДИТ Москвы [3]

И здесь мне тоже есть что добавить:
1. Конечно же речь идёт не только о "технических сервисах" вроде Google Firebase и Firebase Crashlytics. Многие трекеры являются совершенно необязательными и более похоже что их включили не по злому умыслу, а для удобства разработки и аналитики. Не подумав, в общем, что, впрочем, ответственных за них не оправдывает. Это такие сервисы как HockeyApp, Estimote, Flurry, AltBeacon и другие.
2. Если верить коллегам что без сервисов Google в экосистеме Android работать невозможно, то мы же понимаем что импортозамещение в этой области это просто профанация? Получается что есть экосистемные требования и у Правительства РФ нет другого пути кроме как с Google договариваться в будущем.
3. Все кто делают коммерческие мобильные приложения которые передают данные в зарубежные сервисы теперь знают что и госорганы поступают аналогично
4. Есть как минимум 5 госприложений в которых нет ни одного встроенного трекера, например, "Госуслуги.Дороги". То есть если очень хочется то можно создавать приложения и без слежки. Так почему же не всем и не всегда хочется?;)
5. Конечно, прежде чем публиковать материалы онлайн, очень хотелось бы вести профессиональный дискурс о вопросах приватности, безопасности, свободы и ограничений использования цифровых сервисов. Но вот не работает механизм дискуссий вокруг смысловых документов в России. Их приходится адаптировать под формат который был бы понятен и удобен СМИ, иначе обратной реакции от органов власти просто не возникает.
6. При этом всё очень конструктивно. У нас очень понятные рекомендации для регуляторов, контролёров, разработчиков и пользователей.
7. Это не последний обзор по этой теме, если есть какие-то приложения которые мы упустили, а они наверняка есть, то пишите, все подвергнем тщательной вивисекции.

P.S. Конечно результаты доступны и как открытые данные.
- Приложения и трекеры иностранных юрисдикций [3]
- Выборка исследуемых госприложений [4]
- Данные о трекерах госприложений [5]
- Сводные собранные данные по всем госприложениям [6] (трекеры, разрешения и т.д.)

Ссылки:
[1] https://privacygosmobapps.infoculture.ru/
[2] https://www.beautiful.ai/player/-MS6JaKYDpr8q1UCAjmA
[3] https://ngodata.ru/dataset/apps-trackers-jurisdiction
[4] https://ngodata.ru/dataset/gos-mobile-apps
[5] http://ngodata.ru/dataset/gos-apps-trackers
[6] https://ngodata.ru/dataset/gos-full-csv

#privacy #infoculture #mobileapps

совсем недавно в декабре я писал об эксплуатации цепочки уязвимостей в iOS, которая начиналась с iMessage, и не требовала никаких действий со стороны пользователя. Там я упомянул, что все это прекращало работать на iOS 14, потому что в этой версии iOS приложение iMessage существенно «закалили». Это действительно так, и Project Zero опубликовали результаты исследования, которые подтверждают эту информацию, а также раскрывают некоторые детали улучшений. они произошли на всех четырех сегментах: уязвимости в разрушении памяти, возможности удаленно сломать ASLR, возможности превратить уязвимость в исполнение кода, и возможность выхода из песочницы. Внутри самого iMessage появилась новая песочница BlastDoor, которая в изолированной среде анализирует содержимое сообщения, отделив таким образом вредоносный код от операционной системы и пользовательских данных.

"Overall, these changes are probably very close to the best that could've been done given the need for backwards compatibility, and they should have a significant impact on the security of iMessage and the platform as a whole,"


https://googleprojectzero.blogspot.com/2021/01/a-look-at-imessage-in-ios-14.html?m=1

Данные пациентов с Ковид19 в Нидерландах ... да, вы угадали, утекли и доступны к покупке. Правда, вроде как кого-то уже арестовали по этому поводу, но осадочек останется

https://www.zdnet.com/article/dutch-covid-19-patient-data-sold-on-the-criminal-underground/

Так, тут вышла вчера новая версия macOS 11.2, и тоже с исправлениями уязвимостей
Вот содержимое этого апдейта
https://support.apple.com/en-us/HT212147

Но что даже более интересно - пару дней назад я уже писал про эксплуатируемые уязвимости в iOS 14, к которой вышел апдейт 14.4, всячески рекомендуемый к установке как модно скорее. Так вот, с выходом апдейта macOS, Apple обновила страничку исправлений iOS, добавив туда информацию о ещё несколько десятках фиксов для безопасности. Если вы ждали сигнала для того, чтобы поставить этот апдейт - вот он, этот сигнал.
https://support.apple.com/en-us/HT212146

Интересно было бы узнать позицию или комментарий Яндекса по этому поводу

Ещё вчера по запросу "приватность госприложений" [1] или "Инфокультура" Яндекс выдавал ссылки на десятки новостей в СМИ, начиная со статьи в РБК, а теперь ни одной новости, ни одного события.
Если это сбой, то он очень похож на цензуру, а если это цензура то она совсем не похожа на сбой.
А я то всё ждал когда цензоры придут по нашу душу.

Или всё таки сбой? Что-то странное в общем, просветите кто знает.

P.S. Те кто мониторят Яндекс говорят мне что это не сбой, по другим запросам всё нормально, то есть цензура?

Ссылки:
[1] https://newssearch.yandex.ru/yandsearch?text=%D0%BF%D1%80%D0%B8%D0%B2%D0%B0%D1%82%D0%BD%D0%BE%D1%81%D1%82%D1%8C+%D0%B3%D0%BE%D1%81%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&rpt=nnews2&grhow=clutop
[2] https://www.rbc.ru/politics/27/01/2021/60115c209a79476980008933

#media

Sonicwall, производитель сетевых устройств для безопасности, пишет об уязвимости нулевого дня, которую эксплуатируют злоумышленники. Апдейт с исправлением ожидается сегодня или завтра

https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero-day-vulnerability-feb-1-2-p-m-cst/210122173415410/


https://twitter.com/nccgroupinfosec/status/1355850304596680705?s=21

Уязвимость в sudo известна уже давно, а в вышедшем вчера апдейте macOS 11.2 она все равно не исправлена

https://www.zdnet.com/article/recent-root-giving-sudo-bug-also-impacts-macos/

Теперь оказывается, что в SolarWinds ещё и китайцы параллельно со своими собственными уязвимостями копошились, и якобы даже получили доступ к информации о зарплатах тысяч государственных сотрудников

https://www.reuters.com/article/us-cyber-solarwinds-china-exclusive-idUSKBN2A22K8

==== РАБОТА ====
✨Инженер по информационной безопасности в Москву (Security Engineer)✨:
https://www.colvir.com/

🎯Опыт работы на аналогичной должности от 2-х лет, опыт работы в ИТ - от 5-ти лет;
🎯Опыт работы с большим количеством ПК и компьютерной техники (от 500 единиц), работа с территориально-распределенными филиалами;
👉работа в ЦОД на м. Полежаевская по графику 5/2(г.Москва);
👉вилка от $2К-3.5К
👇за подробностями в личку @satskoffa

https://hh.ru/vacancy/41944577

Отчёт по ссылке о вредоносном ПО Kobalos для Linux, целью которого является кластеры выкопроизводительных вычислений. Интересно, что при маленькой кодовой базе сам зловред является весьма продуктивным, хотя конечная цель его действий не ясна.

https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/

в рамках пятницы я просто оставлю здесь этот мегатред в твиттере. там исследование одного устройства для подсчета трафика (человеческого) в здании, с камерой и Wifi, и… с этого места все дальше очень плохо

начало треда https://twitter.com/OverSoftNL/status/1357296455615197184

тред в виде страницы https://threadreaderapp.com/thread/1357296455615197184.html

Мак-юзеры с Хромом, вы опасносте! Фикс уязвимости, которая, по словам Google, реально эксплуатируется, уже вышел, поэтому лучше таки поставить апдейт

https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

Сразу два материала о розыске правоохранительными органами участников протестов.

раз — в Москве (участников массовых акций в январе). В первую очередь через системы камер наблюдения с распознаванием лиц
https://tjournal.ru/tech/333457-sistema-raspoznavaniya-lic-v-moskve-teper-ishchet-protestuyushchih-kak-ona-ustroena-i-chto-sdelat-dlya-zashchity

два - в США (участников штурма Капитолия). С помощью данных геолокации со смартфонов, фотографий с геотагами, распознавания лиц на видео, и тд
https://www.nytimes.com/2021/02/05/opinion/capitol-attack-cellphone-data.html

будущее так себе, конечно

И потом этот Фейсбук еще будет рассказывать нам, что Эпол поступает плохо, позволяя людям блокировать доступ приложений к мобильному рекламному идентификатору

Какая красота - фингерпринтинг браузера через фавикон, путём установки суперкуки. Причём работает во всех браузерах

The tracking method works even in the browser's incognito mode and is not cleared by flushing the cache, closing the browser or restarting the system, using a VPN or installing AdBlockers.

https://github.com/jonasstrehle/supercookie

https://twitter.com/Bing_Chris/status/1358873543623274499

Кто в своем уме оставляет машину для управления уровнем химикатов в питьевой воде с удаленным управлением в интернете??? (если вся история действительно такая, как её рассказывают)

Апдейт по истории с удаленным входом на компьютер водоочистительной системы. Там был установлен компьютер с TeamViewer, для того, чтобы сотрудники могли что-то там удаленно контролировать. Аккаунт с паролем, но, видимо, злоумышленник, похоже, его подобрал. Он логинился два раза, и во второй раз изменил количественное соотношение гидроокиси натрия в настройках интерфейса на такое, которое могло бы потенциально нанести существенный ущерб здоровью людей. Сотрудник компании, увидев это, тут же изменил настройки обратно на безопасные. Вот он, настоящий киберпанк

https://www.vice.com/en/article/88ab33/hacker-poison-florida-water-pinellas-county

О, CD Projekt Red получил свою долю признания среди компьютерных злоумышленников

https://twitter.com/CDPROJEKTRED/status/1359048125403590660