шифрованные чатики в FB https://fbnewsroomus.files.wordpress.com/2016/07/secret_conversations_whitepaper.pdf
Например, кто-то настойчиво пытался зайти на огонек в мой аккаунт LinkedIn, причем старый (там указан не тот имейл, что в актуальной учётке). А все потому что password reuse — есть тулзы, в которые прямо подключаются утекшие базы юзеров, указывается сервис, и пошел перебор вариантов с логинами-паролями. Так что берегите там себя (традиционно)
И о покемонах! (Кто бы мог подумать, что это актуально и здесь). На Android приложение просит столько прав, что это становится несколько некомфортно.
особенно вот в соглашении эта часть хороша — Nintendo может предоставлять информацию о пользователях. Учитывая доступ к локации и микрофону, та же ФБР может получить много нужной им информации, получив ордер и заручившись поддержкой Nintendo: …to government or law enforcement officials or private parties as we, in our sole discretion, believe necessary or appropriate: (a) to respond to claims, legal process (including subpoenas); (b) to protect our property, rights, and safety and the property, rights, and safety of a third party or the public in general; and (c) to identify and stop any activity that we consider illegal, unethical, or legally actionable activity.
а поскольку приложение доступно пока что только в трех странах, то, разумеется, APK для Android появились уже где попало. Сюрприз! (На самом деле нет, конечно) — уже есть APK с трояном https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app
Proofpoint
DroidJack Uses Side-Load…It's Super Effective! Backdoored Pokemon GO
Proofpoint researchers discovered an infected Android version of the newly released mobile game Pokemon GO. This specific APK was modified to include the malicious...
ну и еще, когда вы там через Google будете логиниться, учтите, что у вас там получат полный доступ к Google Account
When you grant full account access, the application can see and modify nearly all information in your Google Account
This “Full account access” privilege should only be granted to applications you fully trust, and which are installed on your personal computer, phone, or tablet.
This “Full account access” privilege should only be granted to applications you fully trust, and which are installed on your personal computer, phone, or tablet.
Ну то есть, чтобы вы понимали, full access означает не только читать вашу почту, но и отправлять вашу почту, читать ваши документы на Google drive, просматривать вашу историю поиска, смотреть фотографии в Google Photos, и тд. Зачем это приложению Pokemon GO — непонятно
и снова здравствуйте! Если вдруг вы скучали по теме покемонов, то вот вам, вдогонку о вчерашнем. Короче, там с этой темой про полный доступ к Google аккаунту у приложения все мутно. Google вроде как заявила, что у Pokemon GO нет доступа к почте, и обещала исправить это дело. А CNN потом написали, что все-таки доступ к почте есть. Во всем обвинили, как обычно, программистов —"Coding error", знаете ли. http://money.cnn.com/2016/07/11/technology/pokemon-go-coding-error-emails/index.html
CNNMoney
Pokemon Go maker: Coding error gave company access to your emails
The makers of Pokemon Go said Monday night a coding error allowed the company an unprecedented level of access, even reading players' emails.
Вот есть более детальное техническое исследование про токен, который получает Pokemon Go от Google. Там говорится, что напрямую токен, который получает Niantic, не дает возможности читать почту и календарь пользователя. Но с помощью недокументированного механизма обмена токена его можно действительно "проапгрейдить" до полноценного механизма доступа ко всем сервисам Google https://gist.github.com/arirubinstein/fd5453537436a8757266f908c3e41538
Gist
pokemon_tokens.md
GitHub is where people build software. More than 27 million people use GitHub to discover, fork, and contribute to over 80 million projects.
кстати, о гитхабе. Вот вам, например, тулзовина, которая умеет проверять совпадение "утекших" паролей на 5 популярных сервисах — FB, Twitter, Reddit, LinkedIn и Instagram. Писать свои модули для других сайтов тоже вроде как несложно. reuse паролей — зло, я не устану это повторять https://github.com/philwantsfish/shard
GitHub
GitHub - philwantsfish/shard: A command line tool to detect shared passwords
A command line tool to detect shared passwords. Contribute to philwantsfish/shard development by creating an account on GitHub.
Русские хакеры такие хакеры. Когда получают доступ к чьему-то iCloud-аккаунту и начинают вымогать деньги, все равно пишут по-русски, но зато на транслите: On July 1, Alanna Coca noticed her iPad had started beeping. When she opened the cover, the lock screen had a message displaying a phrase in Russian – "Dlya polucheniya parolya, napshite na email" – followed by a Gmail address.
Возрадуйтесь же, покемонокотаны! вышел апдейт, который исправляет проблему с Google аккаунтом. теперь можно опять спокойно ходить по темным закоулкам и искать пикачу!
у Flash вышло июльское обновление, и там исправлено 52 уязвимости. ПЯТЬДЕСЯТ ДВЕ — это же вдобавок к сотням других уязвимостей, которые были исправлены до этого. я уже не раз говорил и повторюсь — я не понимаю вообще, как в коде Flash мог присустствовать вообще какой-то полезный код, если там находится такое количество уязвимостей. вспоминаю истерику 7-8 лет назад, когда Джобс говорил, что "флэш нинужен", и сколько всяких аналитиков разных мастей рассказывали, что Джобс не прав. а теперь вот даже Google от поддержки Flash отказывается. А я вообще считаю, что его надо запретить нафиг в интернете законодательно. А вебмастеров, которые размещают у себя Flash-контент, бить по голове http://www.scmagazine.com/52-flash-player-bugs-fixed-with-adobes-july-patch-tuesday-update/article/509039/
SC Magazine
52 Flash Player bugs fixed with Adobe's July Patch Tuesday update
Adobe's July Patch Tuesday release is once again dominated by vulnerabilities found within the company's Flash Player product where 52 critical CVEs that could allow an attacker to take control of a system.