For more than 25 years, a technology used for critical data and voice radio communications around the world has been shrouded in secrecy to prevent anyone from closely scrutinizing its security properties for vulnerabilities. But now it’s finally getting a public airing thanks to a small group of researchers in the Netherlands who got their hands on its viscera and found serious flaws, including a deliberate backdoor.

https://arstechnica.com/security/2023/07/researchers-find-deliberate-backdoor-in-police-radio-encryption-algorithm/

Интересный отчет CISA о рисках и язвимостях в 2022 году. 54% атак происходят с использованием валидных пользовательских данных, еще 33% — с использованием spear-phishing атак. И другие интересные данные.

https://www.cisa.gov/resources-tools/resources/risk-and-vulnerability-assessments

https://www.cisa.gov/sites/default/files/2023-07/FY22-RVA-Analysis%20-%20Final_508c.pdf

NATO расследует возможный взлом после того как группировка SiegedSec разместила документы организации в своем ТГ канале

https://cyberscoop.com/nato-breach-of-unclassified-information-siegedsec/

SEC потребовала от публичных компаний в 4-дневный срок раскрывать информацию о взломах (но только если взлом имел веский эффект). Что позволит компаниям затягивать с раскрытием таких взломов, потому что 4 дня начинают отсчитываться только с момента, когда взлом и его эффект признаны вескими.

https://www.sec.gov/news/press-release/2023-139

Еще один отчет за 2022 год, но теперь от Google, с обзором всех 0-day уязвимостей, обнаруженных в прошлом году

https://blog.google/threat-analysis-group/0-days-exploited-wild-2022/

Google начала раскатывать на андроиды поддержку уведомлений о том, что неизвестный трекер следует за устройством. Техническая спецификация технологии была разработана совместно Google и Apple.

https://blog.google/products/android/unknown-tracker-alert-google-android/

оказывается, у принтеров Canon при сбросе заводских настроек параметры сетевого подключения (включая пароль к вайфаю) не удаляются. Поэтому компания рекомендует удалять эти данные вручную

https://psirt.canon/advisory-information/cp2023-003/

Forbes: «Литрес» подтвердил утечку данных пользователей

– Сервис «Литрес» допустил утечку данных пользователей
– Злоумышленники получили доступ к их адресам эл. почты
– «Утекли» ли какие-либо еще данные, «Литрес» не уточнил
– Отмечается, что платежная информация не пострадала
– Т.к. сервис не хранит эти данные на своей стороне
– Сколько всего пользователей пострадали также неизвестно
– Сервис ужесточил контроль за хранением данных
– Он также усилил уровень защиты и отслеживание доступов

@ftsec

это должно было случиться. исследователи смогли джейлбрейкнуть Tesla для активации функций, которые требуют оплаты. Кроме этого, они смогли получить ключи аутентификации автомобиля в сети, и различные персональные данные владельца автомобиля.

https://techcrunch.com/2023/08/03/researchers-jailbreak-a-tesla-to-get-free-in-car-feature-upgrades/

отчет CISA о самых эксплуатируемых уязвимостях в 2022 году

https://media.defense.gov/2023/Aug/03/2003273618/-1/-1/0/JOINT-CSA-2022-TOP-ROUTINELY-EXPLOITED-VULNERABILITIES.PDF

и еще про уязвимости — статья на Ars о летних zero days, которых очень много и у всех.

https://arstechnica.com/security/2023/08/bug-squashing-summer-a-months-worth-of-0-day-fixes-among-tech-giants/

Zoom модифицировали свое пользовательское соглашение, добавив туда пункт, что теперь контент звонков может использоваться для обучения генеративных сетей. Без возможности отказаться от этого.

https://explore.zoom.us/en/terms/

§10.4(ii): 10.4 Customer License Grant. You agree to grant and hereby grant Zoom a perpetual, worldwide, non-exclusive, royalty-free, sublicensable, and transferable license and all other rights required or necessary to redistribute, publish, import, access, use, store, transmit, review, disclose, preserve, extract, modify, reproduce, share, use, display, copy, distribute, translate, transcribe, create derivative works, and process Customer Content and to perform all acts with respect to the Customer Content:(ii) for the purpose of product and service development, marketing, analytics, quality assurance, machine learning, artificial intelligence, training, testing, improvement of the Services, Software, or Zoom’s other products, services, and software, or any combination thereof

Две уязвимости в VPN приложениях, которые затрагивают практически все существующие клиенты. Впрочем, в некоторых странах, где активно блокируют VPN, это не так актуально, конечно.

https://tunnelcrack.mathyvanhoef.com

собственно, вот https://downfall.page

https://www.opennet.ru/opennews/art.shtml?num=59571

у интела опять мощно протекло

у Microsoft вчера был Patch Tuesday для августа, 87 фиксов уязвимостей, включая две, которые активно эксплуатировались, и 23 RCE.

https://msrc.microsoft.com/update-guide/releaseNote/2023-Aug

ADV230003 - Microsoft Office Defense in Depth Update (publicly disclosed)
Microsoft has released an Office Defense in Depth update to fix a patch bypass of the previously mitigated and actively exploited CVE-2023-36884 remote code execution flaw.
The CVE-2023-36884 flaw allowed threat actors to create specially crafted Microsoft Office documents that could bypass the Mark of the Web (MoTW) security feature, causing files to be opened without displaying a security warning and perform remote code execution.
The vulnerability was actively exploited by the RomCom hacking group, who was previously known to deploy the Industrial Spy ransomware in attacks. The ransomware operation has since rebranded as 'Underground,' under which they continue to extort victims.
The flaw was discovered by Paul Rascagneres and Tom Lancaster with Volexity.

CVE-2023-38180 - .NET and Visual Studio Denial of Service Vulnerability
Microsoft has fixed an actively exploited vulnerability that can cause a DoS attack on .NET applications and Visual Studio.
Unfortunately, Microsoft did not share any additional details on how this flaw was used in attacks and did not disclose who discovered the vulnerability.

Microsoft, чьими продуктами продолжают пользоваться 70-90% корпоративных клиентов в России, сообщила, что лицензии на продукты и решения компании будут действовать до конца сентября и продлить их больше не выйдет. Невозможность получать обновления снизит общую безопасность корпоративных сетей и послужит большим стимулом для пиратов активизировать свою работу, говорят эксперты. По их словам, «бесшовно» перейти на российские аналоги не получится: пользователям придется привыкать к новым интерфейсам приложений и ОС, перестраивать бизнес-процессы, а IT-специалистам — собирать новую параллельную инфраструктуру из российских решений

https://www.forbes.ru/tekhnologii/494299-zakolocennye-okna-kakie-problemy-vyzovet-otkaz-microsoft-prodlevat-licenzii

Исследовательский документ о создании ML модели, которая обучается на звуках клавиатуры, и потом с вероятностью 95% может определить набираемый на ней текст (93%, если обучаться на звуках через сессию zoom). Жить не страшно, а очень страшно

https://arxiv.org/pdf/2308.01074.pdf

Анализ утекшего исходного кода Яндекса на предмет собираемых пользовательских данных

Conclusion

The AppMetrica SDKs give Yandex a very broad international reach of data subjects and Yandex has been evasive and misleading about how that data is used. While the data points collected up front are fairly disturbing, that data can say so much more about you when it’s matched and analyzed with other pre-existing data a company already has access to. Yandex makes a few gestures towards anonymization but they are ineffective because hashing isn’t used consistently, and more importantly they collect data that could easily re-identify a user and make sure it is all firmly associated (they refer to it as glueing) through a chain of ids and segments.

The matcher process is clear evidence that at least some of the data collected by Yandex could be synced with Russian state owned entities. Yandex also appears to be very, very close to becoming state controlled or nationalized, and it is about to be required to share international user data from its taxi services with the FSB.

If your company runs an app, pay attention to who runs your SDKs, what data points they may collect and where they are sending your users’ data. Yandex claimed it gets consent through the apps and that it only gets the data app developers choose to send it, throwing the blame right at its partners' doorsteps.

If you are a consumer, know that nothing is guaranteed to stay harmless forever. Maybe you trust this app with your data now, but how will you feel when that app gets sold to a company you don’t trust? Or if that company is headquartered in a country that becomes hostile to yours? Or its government starts making concerning demands to turn over user data? In theory you should be able to take your data back if you live in a jurisdiction that requires companies to respect data deletion requests, but the insights derived from that data might be considered that company's work product and not included in that deletion. In the case of the AppMetrica SDKs, you might not even realize a company has your data because they are quietly embedded in another company's app.

As a former executive pointed out, Yandex got itself into a situation where the Russian state gamed the News algorithms until it was effectively 70% state sponsored propaganda, because they built a tool without considering the risk of how it could be abused by the Russian government. That is how we should think about Yandex's ad tech ecosystem. Yandex built a massive system of data collection and analysis, that commingles Russian and international user data, and it is very likely about to be handed to the Kremlin on a silver platter. The Russian government could do a lot of harm with it. In 2019, Yandex turned over taxi data that "helped the authorities fabricate a criminal case" against a Meduza journalist and revealed a confidential office location. Is improving ad targeting and personalized user experiences really worth the risk of building tools that could be exploited in this way?

Оригинал
https://www.confiant.com/news/the-yandex-leak-how-a-russian-search-giant-uses-consumer-data

Пересказ на русском
https://roskomsvoboda.org/post/yandex-sbor-mnozhestva-dannyh/