Информация опасносте там, где этого даже не ожидаешь: например, Эпол не даёт гравировать некоторые фразы и слова при покупке техники (там у них есть сервис бесплатной гравировки). Отличное расследование Citizen Lab

https://citizenlab.ca/2021/08/engrave-danger-an-analysis-of-apple-engraving-censorship-across-six-regions/

У него дыра в безопасности (3Д принтера)

https://www.reddit.com/r/3Dprinting/comments/p7jdhi/wake_up_this_morning_and_see_this_on_my_3d/?utm_source=share&utm_medium=ios_app&utm_name=iossmf

Еще в апреле Microsoft обнаружили уязвимость BadAlloc в большим количестве операционных систем и другого ПО. Но одна маленькая и гордая компания под названием BlackBerry, которая владеет операционной системой QNX, не признавалась об этой уязвимости. Старая и уязвимая версия QNX используется в огромном количестве (сотни миллионов) автомобилей, и в другом оборудовании, включая больничное. Короче, их там уже всячески уговаривали и упрашивали публично это анонсировать, потому что большое количество ОЕМ-разработчиков могли просто не узнать о фиксе проблемы. И вот во вторник они наконец-то опубликовали анонс об уязвимости и призвали всех клиентов апдейтить устройства

https://support.blackberry.com/kb/articleDetail?articleNumber=000082334

https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649


https://www.politico.com/news/2021/08/17/blackberry-qnx-vulnerability-hackers-505649

T-Mobile, как я и писал выше, продолжает потихоньку сливать информацию о крупном взломе и утечке данных о клиентах (потому что сказать сразу «100500 миллионов записей украли» - это много, а постепенно рассказывать «а тут 7 млн, а вот мы ещё нашли 5 млн» - через какое-то время уже надоест следить и складывать, сколько же данных на самом деле украли. Но, похоже, что «все, что нажито непосильным трудом» - все спиздили: имена, адреса, номера социального страхования, IMEI, информацию о водительских удостоверениях, и тд. Риски для тех, чья информация была таким образом украдена, вполне неиллюзорны: с такой информацией можно оформить кредит в каком-нибудь не очень внимательном банке.

https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation

Интересный лонгрид об уязвимости в процессе логина в Apple ID, в котором автор постепенно рассказывает о своём исследовании, вплоть до полного перехвата Apple ID. Автор подал информацию в Apple и та в своём духе триллионов корпорации выплатила всего лишь 10 тысяч долларов премии

https://zemnmez.medium.com/how-to-hack-apple-id-f3cc9b483a41

и многократно присланная мне ссылка об уязвимости в драйвере устройств Razer, позволявшая стать админом Windows, просто подключив мышку или клавиатуру производителя к компьютеру

https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/

странная история какая-то (еще и лохматых — до 2018г — лет) о том, как чувак «взламывал» чужие аккаунты iCloud и добывал оттуда фото. причем, я так понимаю, там была какая-то комбинация частично фишинга, частично ему какие-то данные присылали, а делал он это все в поисках обнаженки. а потом плакал «я сожалею о том, что я сделал, но у меня же семья». Короче, если вам нужен был знак, чтобы завести 2FA на iCloud или где угодно на важном аккаунте — это он!

https://www.latimes.com/california/story/2021-08-23/icloud-photo-theft-nude-women

Эпол обновила сигнатуры для своего встроенного в macOS антивируса
https://www.jamf.com/blog/apple-updates-xprotect-and-mrt/

ну и раз уж про Apple, тут у CitizenLan ОЧЕРЕДНОЙ отчет по поводу NSO Pegasus, и история о 8 активистах из Бахрейна, чьи iPhone были взломаны в период с июня 2020 года по февраль 2021 года. На телефонах некоторых активистов были использованы известные уже уязвимости iMessage, не требующие кликов — KISMET и FORCEDENTRY. Как минимум, 4 из 8 взломов были проведены группировкой LULU, близкой к правительству Бахрейна (телефон одной из жертв был взломан через несколько часов после того, как он в интервью рассказал, чтоо его телефон ранее был взломан с помощью Pegasus в 2019 году).

Apple говоррит, что BlastDoor — механизм в iOS 14, который должен был предотвращать подобные атаки в iMessage, будет улучшен в iOS 15. Надеюсь, что для iOS 14 это улучшение тоже выйдет, а то wtf. KISMET, кстати, как раз с iOS 14 не справляется, а вот FORCEDENTRY работал и на iOS 14.6. Там после предыдущего большого отчета CitizenLab выходил апдейт для iOS, который, похоже, залатывал одну из уязвимостей, позволяющих FORCEDENTRY функционировать, «но это не точно». По ссылке интересные детали с уязвимостями, доменами и прочей информацией:

https://citizenlab.ca/2021/08/bahrain-hacks-activists-with-nso-group-zero-click-iphone-exploits/

Не знал, что Самсунг может удаленно блокировать свои телевизоры (обещает блокировать украденные). Интересно, что они ещё удаленно умеют

https://www.theregister.com/2021/08/24/samsung_tv_block/

Полная история, хронология и все необходимые детали о Printnightmare — уязвимостях в сервисе Print Spooler Windows

https://www.mdmandgpanswers.com/blogs/view-blog/the-ultimate-guide-to-printnightmare-and-overcoming-it

Красивый эксплойт дыры Razer с помощью Arduino

https://github.com/DarkMetalMouse/razerduino

Похоже, первые кандидаты на блокировку:

В письме ЦБ просит получателей указать до 2 сентября наименование VPN-сервиса, который они используют, процесс, для которого он нужен, а также IP-адреса, где он применяется. Регулятор просит банки отвечать на его письмо, если они пользуются сервисами Psiphon, Tunnelbear, Thunder, Redshield и «иными аналогичными сервисами». Как следует из письма, Роскомнадзор планирует «осуществить комплекс мероприятий по ограничению использования сервисов», а информация от кредитных организаций нужна «с целью исключения из политик ограничения доступа VPN-соединений», используемых ими.

https://www.rbc.ru/finances/26/08/2021/61279abf9a79472abc90c997

Wall Street Journal опубликовала интервью с 21-летним жителем Турции, который утверждает, что именно он взломал T-Mobile и собрал не меньше 50 млн записей клиентов компании. Статья за пейволлом, но вообще там рассказывается о том, что он просканировал IP-адреса компании на предмет слабых точек, нашёл незащищённый роутер с доступом дата-центру компании, откуда сохранённые аутентификационные данные позволили получить доступ к более чем 100 серверам. Это все произошло в июле, и заняло какое-то время разобраться с тем, куда же он получил доступ, но уже 4 августа он скачал персональные данные клиентов оператора. Там, как я уже писал раньше, более 50 млн записей с именами, датами рождения, номерами социального страхования, водительскими удостоверениями и тд. Дальше начинается странная история про то, что взлом этот хакер сделал для того, чтобы привлечь внимание к незаконному его похищению, и тому, как он оказался в ненастоящей психбольнице в Германии. (што?). Короче, пока что он не говорит, продал ли он данные, ну и ФБР имеет шансы до него добраться конечно же.

https://www.wsj.com/articles/t-mobile-hacker-who-stole-data-on-50-million-customers-their-security-is-awful-11629985105

Лето у Microsoft с точки зрения безопасности не задалось (хотя, что там лето, весь год. Или даже больше?). Теперь компания рассылает уведомления своим клиентам об уязвимости в Microsoft Azure Cosmos DB. Эта уязвимость привела к тому, что все данные в этих базах данных были доступны без каких-либо ограничений всем желающим (ну, тем, кто знал, где смотреть). Затронуты более 3300 клиентов компании. Уязвимость появилась в 2019 году с новой функцией визуализации, которую включили по умолчанию в феврале 2021 года. Microsoft говорит, что свидетельств доступа к этим данным нет.

Блог пост компании, обнаружившей эту уязвимость:
https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases

Новость с комментарием Microsoft
https://www.bloomberg.com/news/articles/2021-08-27/microsoft-cloud-databases-vulnerable-for-years-researchers-say

классная фича в ТГ. писал текст, решил к нему приаттачить гифку — гифка запостилась, текст потерялся.

короче, в тексте были три ссылки с материалами, критикующими подход Apple к детекции материалов с CSAM на устройствах пользователя. Это будет короткая версия, так как писать еще раз аннотацию к этому всему мне лень теперь:

1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i

2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system

3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/

В шоу Джона Оливера - популярное еженедельное новостное шоу на HBO - был хороший выпуск про ransomaware, где популярным английским языком рассказывают, что это такое и почему эта тема сейчас очень популярна. Там еще в конце хороший рекламный ролик по этому поводу

https://www.youtube.com/watch?v=WqD-ATqw3js