И о покемонах! (Кто бы мог подумать, что это актуально и здесь). На Android приложение просит столько прав, что это становится несколько некомфортно.
особенно вот в соглашении эта часть хороша — Nintendo может предоставлять информацию о пользователях. Учитывая доступ к локации и микрофону, та же ФБР может получить много нужной им информации, получив ордер и заручившись поддержкой Nintendo: …to government or law enforcement officials or private parties as we, in our sole discretion, believe necessary or appropriate: (a) to respond to claims, legal process (including subpoenas); (b) to protect our property, rights, and safety and the property, rights, and safety of a third party or the public in general; and (c) to identify and stop any activity that we consider illegal, unethical, or legally actionable activity.
а поскольку приложение доступно пока что только в трех странах, то, разумеется, APK для Android появились уже где попало. Сюрприз! (На самом деле нет, конечно) — уже есть APK с трояном https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app
Proofpoint
DroidJack Uses Side-Load…It's Super Effective! Backdoored Pokemon GO
Proofpoint researchers discovered an infected Android version of the newly released mobile game Pokemon GO. This specific APK was modified to include the malicious...
ну и еще, когда вы там через Google будете логиниться, учтите, что у вас там получат полный доступ к Google Account
When you grant full account access, the application can see and modify nearly all information in your Google Account
This “Full account access” privilege should only be granted to applications you fully trust, and which are installed on your personal computer, phone, or tablet.
This “Full account access” privilege should only be granted to applications you fully trust, and which are installed on your personal computer, phone, or tablet.
Ну то есть, чтобы вы понимали, full access означает не только читать вашу почту, но и отправлять вашу почту, читать ваши документы на Google drive, просматривать вашу историю поиска, смотреть фотографии в Google Photos, и тд. Зачем это приложению Pokemon GO — непонятно
и снова здравствуйте! Если вдруг вы скучали по теме покемонов, то вот вам, вдогонку о вчерашнем. Короче, там с этой темой про полный доступ к Google аккаунту у приложения все мутно. Google вроде как заявила, что у Pokemon GO нет доступа к почте, и обещала исправить это дело. А CNN потом написали, что все-таки доступ к почте есть. Во всем обвинили, как обычно, программистов —"Coding error", знаете ли. http://money.cnn.com/2016/07/11/technology/pokemon-go-coding-error-emails/index.html
CNNMoney
Pokemon Go maker: Coding error gave company access to your emails
The makers of Pokemon Go said Monday night a coding error allowed the company an unprecedented level of access, even reading players' emails.
Вот есть более детальное техническое исследование про токен, который получает Pokemon Go от Google. Там говорится, что напрямую токен, который получает Niantic, не дает возможности читать почту и календарь пользователя. Но с помощью недокументированного механизма обмена токена его можно действительно "проапгрейдить" до полноценного механизма доступа ко всем сервисам Google https://gist.github.com/arirubinstein/fd5453537436a8757266f908c3e41538
Gist
pokemon_tokens.md
GitHub is where people build software. More than 27 million people use GitHub to discover, fork, and contribute to over 80 million projects.
кстати, о гитхабе. Вот вам, например, тулзовина, которая умеет проверять совпадение "утекших" паролей на 5 популярных сервисах — FB, Twitter, Reddit, LinkedIn и Instagram. Писать свои модули для других сайтов тоже вроде как несложно. reuse паролей — зло, я не устану это повторять https://github.com/philwantsfish/shard
GitHub
GitHub - philwantsfish/shard: A command line tool to detect shared passwords
A command line tool to detect shared passwords. Contribute to philwantsfish/shard development by creating an account on GitHub.
Русские хакеры такие хакеры. Когда получают доступ к чьему-то iCloud-аккаунту и начинают вымогать деньги, все равно пишут по-русски, но зато на транслите: On July 1, Alanna Coca noticed her iPad had started beeping. When she opened the cover, the lock screen had a message displaying a phrase in Russian – "Dlya polucheniya parolya, napshite na email" – followed by a Gmail address.
Возрадуйтесь же, покемонокотаны! вышел апдейт, который исправляет проблему с Google аккаунтом. теперь можно опять спокойно ходить по темным закоулкам и искать пикачу!
у Flash вышло июльское обновление, и там исправлено 52 уязвимости. ПЯТЬДЕСЯТ ДВЕ — это же вдобавок к сотням других уязвимостей, которые были исправлены до этого. я уже не раз говорил и повторюсь — я не понимаю вообще, как в коде Flash мог присустствовать вообще какой-то полезный код, если там находится такое количество уязвимостей. вспоминаю истерику 7-8 лет назад, когда Джобс говорил, что "флэш нинужен", и сколько всяких аналитиков разных мастей рассказывали, что Джобс не прав. а теперь вот даже Google от поддержки Flash отказывается. А я вообще считаю, что его надо запретить нафиг в интернете законодательно. А вебмастеров, которые размещают у себя Flash-контент, бить по голове http://www.scmagazine.com/52-flash-player-bugs-fixed-with-adobes-july-patch-tuesday-update/article/509039/
SC Magazine
52 Flash Player bugs fixed with Adobe's July Patch Tuesday update
Adobe's July Patch Tuesday release is once again dominated by vulnerabilities found within the company's Flash Player product where 52 critical CVEs that could allow an attacker to take control of a system.
Я видел пару дней назад эту тему про "40 млн взломанных аккаунтов iCloud", но решил немного подождать и посмотреть, тем более, что в серьезных источниках никаких подтверждений этому не было. Ну, собственно, вот. https://tjournal.ru/31270-krazha-40-millionov-akkauntov-icloud-proverka-faktov-o-yakobi-krupnom-vzlome-servisa-apple
TJournal
«Кража 40 миллионов аккаунтов iCloud»: проверка фактов о якобы крупном взломе сервиса Apple
13 июля российские СМИ, включая «Газету.ру» и Hi-Tech@Mail.Ru, сообщили о том, что российские хакеры якобы получили доступ к 40 миллионов аккаунтов iCloud. Однако в правдивости источника истории приходится сомневаться, да и сам автор слуха уже успел заявить…
Среди вас наверняка есть кто-то, кто балуется Друпалом (а, возможно, даже увлекается им совершенно серьезно и по работе). Так вот, там в его модулях нашли всякие серьезные уязвимости и всячески рекомендуется апдейтиться: 1 https://www.drupal.org/node/2765567 2 https://www.drupal.org/node/2765575 3 https://www.drupal.org/node/2765573
Drupal.org
RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040
Advisory ID: DRUPAL-SA-CONTRIB-2016-040 Project: RESTful Web Services (third-party module) Version: 7.x Date: 2016-July-13 Security risk: 22/25 ( Highly Critical) AC:None/A:None/CI:All/II:All/E:Theoretical/TD:All Vulnerability: Arbitrary PHP code execution…
Ransomware — очередная "цифровая чума", вредоносное ПО, которое вымогает деньги у пользователей. Чаще всего это происходит так: ransomware шифрует файлы пользователя и требует заплатить за то, чтобы файлы были расшифрованы. Если не повезет, то зашифрованными окажутся еще и бэкапы, так что восстановиться будет сложнее. К сожалению, пидарасы, которые пишут ransomware, становятся все ленивее. Появилась такая хрень, под названием ranscam, которая заявляет, что файлы зашифрованы, и привычно вымогает деньги за расшифровку. Однако, фишка в том, что этот ranscam на самом деле не шифрует файлы, а просто их УДАЛЯЕТ. Соответственно, если даже заплатить, файлы не вернутся. Хороших слов против таких нехороших людей, конечно, быть не может http://blog.talosintel.com/2016/07/ranscam.html
Talosintel
Cisco Talos Blog: When Paying Out Doesn't Pay Off
Добрый вечер (у большинства из вас ведь вечер уже). Хочу сообщить вам следующее (касается пользователей Android): там гуляет старая малварь, которую научили новым трюкам. Android.FakeBank.B, впервые замеченная еще в октябре 2013 года, которая умеет делать какие-то платежи с устройства. Но новый трюк, который умеет делать теперь новая версия — это блокировка звонков в банки. У нее в базе данных — номера телефонов службы поддержки некоторых банков, и когда осуществляется звонок и номер совпадает, малварь сбрасывает этот звонок. Почему это вам может быть интересно? В списке есть и Сбербанк, так что российские пользователи вполне могут стать жертвой этой твари-малвари. Берегите там себя! http://www.symantec.com/connect/blogs/android-banking-malware-blocks-victims-outgoing-calls-customer-service
Symantec Security Response
Android banking malware blocks victims’ outgoing calls to customer service
New Android.Fakebank variants intercept calls to banks’ customer care centers to stop victims from cancelling their stolen payment cards.
Nexus оказались самыми безопасными Android-устройствами. В других новостях: небо голубое, трава зеленая, капитан очевидность весь такой очевидный https://duo.com/blog/android-phones-nexus-wins-for-security-updates
The Duo Security Bulletin
Android Phones: Nexus Wins for Security Updates