одно слово — SS7 (хотя слово ли это?). Как уязвимости в этой системе помогают различным преступным организациям в их делах.

ttps://www.haaretz.com/israel-news/security-aviation/2023-05-10/ty-article-magazine/.premium/global-surveillance-the-secretive-swiss-dealer-enabling-israeli-spy-firms/00000188-0005-dc7e-a3fe-22cdf2900000

(а вот и бесплатная версия) https://archive.is/A2qmD

читатель прислал хорошую шутку. я сначала не понял, а потом как понял

из рубрики “преступление и наказание”. Евросоюз выписал Meta штраф на 1,3 млрд долларов за отправку пользовательских данных ЕС в США.

https://www.wsj.com/articles/meta-fined-1-3-billion-over-data-transfers-to-u-s-b53dbb04?mod=djemalertNEWS

Официально про штраф Meta в 1,2 млрд евро

http://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland

Кажется, чатгпт задоксился

брутфорс отпечатка пальца на Андроиде

https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/

несколько ссылок с новостями прошлой недели, до которых не дошли руки вовремя:

- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets

- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784

- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/

GitLab has released an emergency security update, version 16.0.1, to address a maximum severity (CVSS v3.1 score: 10.0) path traversal flaw tracked as CVE-2023-2825.

не так то часто вижу уязвимости с 10.0

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825

https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/

сотрудники ТикТока пересылали друг другу пользовательские данные — водительские удостоверения, адреса, фото

https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html

VPN хорошо, а бесплатный VPN, казалось бы, лучше. Пока не случится неизбежное — например, сервис SuperVPN допустил утечку 360 млн записей своих пользователей — имейлы, оригинальные IP адреса, данные геолокации, данные об использовании сервиса.

https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/

популярное приложение в Google Play начало втихаря регулярно включать микрофон, записывать сегменты с голосом пользователей, и заливать записи в облако.

https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/

Хороший материал от Wired о том, как в Евросоюзе точат ножи на сквозное шифрование переписки и других коммуникаций, и очень хотят его запретить

https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/

История из рубрики “преступление и наказание”.
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
https://t.me/alexmakus/2586

компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring

https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/

миллионы материнок Gigabyte продавались с бэкдором в прошивке. Производитель, скорей всего, оставил его для обновления прошивок, но имплементация оказалась небезопасной и позволяла злоумышленникам использовать её во вредоносных целях

https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/

фсб рф утверждает, что якобы агентство национальной безопасности США использовало неизвестное вредоносное ПО для доступа в iOS через уязвимости системы. причем “предусмотренные производителем программные уязвимости.”  — то есть бэкдоры. доказательств, разумеется, фсб рф не предоставили.

https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html

Июньское обновление безопасности для Android — исправление 56 уязвимостей, включая 5 критичных, и одной, которая была в активной эксплуатации

https://source.android.com/docs/security/bulletin/2023-06-01

Также апдейт для Chrome с фиксами трех уязвимостей, из которых как минимум одна эксплуатировалась

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html

вдогонку к истории про уязвимость в iOS, которую обнаружили в ЛК (которая очень похожа на то, что делала Pegasus, а также фсб рф, кажется, объявила бекдором)

https://securelist.com/operation-triangulation/109842/

компания выпустила утилиту, которая проверяет телефон на предмет обнаружения возможных последствий.

https://securelist.com/find-the-triangulation-utility/109867/

прикольная фича в свежеобъявленных версиях операционных систем Apple — браузер будет автоматически отрезать трекинг-часть ссылки в таких штуках
www.examplewebsite.com/top10vacationdestinations?clickId=d77_62jkls