а тут в крации — про содержимое июньского апдейта безопасности у Android. владельцам смартфонов на Android эти апдейты дойдут, возможно, никогда http://www.securityweek.com/critical-vulnerabilities-patched-android-mediaserver-qualcomm-drivers

похоже, нас покинуло несколько человек, чья тонкая душевная организация не вынесла укола в сторону Android, ну да ладно. сегодня, как вы понимаете, было не особо до апдейтов, потому что открывается WWDC, был кейноут Apple, новые ОС, вот это все. Я читаю по ходу немножко всяких хакеров и прочих экспертов по поводу изменений в iOS 10 относительно шифрования и криптографии, и понимаю, что стало сильно лучше, но пока не до конца понимаю, что именно. будем исследовать дальше. между тем, в macOS 10.12 пока что не работает приложение telegram, поэтому учитывайте это тоже. ну и интересный факт — на картинке. Теперь, по крайней мере, по умолчанию, нельзя будет ставить "откуда попало" неподписанные приложения в macOS, хотя, возможно, это еще раскопается где-то в скрытых настройках.

а вот еще читатель прислал в твитер полезную информацию про какие-то попытки несанкционированного доступа к сервису Sentry — креш-репортинг для веба и мобильных приложений, так что тоже учтите там это

тут вот еще пишут про уязвимость в библиотеке Chrome, которая отвечает за работу с PDF-файлами http://www.hotforsecurity.com/blog/how-a-boobytrapped-pdf-file-could-exploit-your-chrome-browser-and-its-not-adobes-fault-14122.html

а теперь вам ужасов из мира финансовых преступников. например, вот картинка — на ней изображен скиммер, который вставляется в слот банкомата специальными инструментами и его вообще не видно (потом, соответственно, вынимается). тут можно посмотреть на видео, как это примерно работает в механизме. все это уже можно купить в интернете, если есть желание (не на амазоне, конечно) https://youtu.be/Nlx_GDeaEtI

а на этом видео по звуковой дорожке даже можно определить, из какой части мира человек со скиммером (то есть это все — уже в России) https://youtu.be/Y0cfYcWpL70

а вот так незаметный скиммер вынимается https://youtu.be/EIblAoKVXKc

и снова здравствуйте! С вами регулярная рубрика "опять спиздили миллионы учетных записей". В этот раз — это сервис Vertical Scope, который использовался различными форумами и сайтами по миру. 45 миллионов учёток, включая логины, пароли и прочее. Короче, все плохо, как обычно https://www.leakedsource.com/blog/verticalscope

Топ 20 самых популярных паролей из их базы тоже хорошо — интересно, что такое 18atcskd2w

Еще одна регулярная рубрика — среди уязвимостей Flash полезной функциональности не обнаружено https://helpx.adobe.com/security/products/flash-player/apsa16-03.html Очередная дыра, ждите апдейта

А The Washington Post увлекательно рассказывает о том, как русские (!) правительственные (!!!) хакеры получили доступ к сети комитета демократической партии США и год (!!!!!!!) сосали оттуда информацию https://www.washingtonpost.com/world/national-security/russian-government-hackers-penetrated-dnc-stole-opposition-research-on-trump/2016/06/14/cf006cb4-316e-11e6-8ff7-7b6c1998b7a0_story.html

для тех из вас, кого интересует, что за животное такое differential privacy, которую обещает обеспечивать Apple, тут можно почитать хорошую статью по этому поводу http://blog.cryptographyengineering.com/2016/06/what-is-differential-privacy.html

Тут вот слегка офигенная история разворачивается. Есть в штатах такое министерство по надзору над правительством — Government Accountability Office, типа чтобы не расслаблялось. Короче, они обнаружили, что ФБР создало себе базу "распознавания" лиц, игнорируя федеральное законодательство (то есть нарушая его). Для создания этой базы данных ФБР залезло в базы данных 16 штатов, выгребая оттуда фотографии получавших водительское удостоверение, а также в базы Госдепартамента, получив доступ к миллионам фотографий людей, которые просто получали паспорт или визу (например, иностранцы). То есть это все в большинстве люди, которые не нарушали закон, и, соответственно, ФБР не имела права использовать их фотографии. К сожалению, вряд ли ФБР за это что-то будет, но это все в общую копилку того, как им нельзя доверять. По ссылке — полный отчет этого самого министерства по надзору http://www.gao.gov/assets/680/677098.pdf

если вы уж здесь, то вы наверняка интересуетесь вопросами информационной безопасности. Поэтому вам точно будет интересно посмотреть сессию с WWDC под названием How iOS Security Really Works. Там нет каких-то особых откровений, особенно для тех, кто читал iOS Security Guide, но в целом интересно послушать выдержку из этого документа, если у вас до него не добрались руки
https://developer.apple.com/videos/play/wwdc2016/705/

я в среду писал о том, как разворачивается драма вокруг взлома сети комитета демократической партии США, и что там обвиняют российских хакеров в этом взломе. Забавно, что потом появился некий "хакер-одиночка" Guccifer 2.0, который заявил, что он действовал сам-один, и никаких русских хакеров там не было. Драма-драма! Однако, ему пока что как-то не верят https://motherboard.vice.com/read/guccifer-20-is-likely-a-russian-government-attempt-to-cover-up-their-own-hack

Читатель прислал (спасибо @crashover) — Амазон насильно сбросил пароли тем юзерам, чьи логины обнаружились в базах, утекших за последнее время. Password reuse — зло (написал Саша и заплакал от мысли о том, в скольких разных местах у него происходит password reuse и сколько всего надо менять)