это про 10.11.6 https://support.apple.com/en-us/HT206903, вот watchOS 2.2.2 https://support.apple.com/en-us/HT206904, а вот tvOS 9.2.2 https://support.apple.com/en-us/HT206905. ну и отдельно про Safari 9.1.2 https://support.apple.com/en-us/HT206900

ну и, конечно, ни дня без новостей про наркоманов. ой, то есть про покемонов. я уже писал про левые приложения Покемон, напичканные малварью всякой, которые можно встретить в интернете. а вот в Google Play уже нашли Pokemon Go Ultimate, который на самом деле — лок-скрин, который заставляет юзера перезапустить устройство, а затем после перезапуска работает в фоновом режиме, кликая на рекламу и принося деньги своим владельцам. из GP ее уже убрали, но это вряд ли конец этому разводилову.

исследование F-Secure про ransomware — вредоносное ПО, шифрующее файлы и вымогающее деньги за дешифрацию (это лучше, чем пидары, которые вымогают деньги, а файлы при этом удаляют). там много всего интересного, включая то, что как у них локализованы сайты на разне языки, что есть прямо всякие FAQи на почитать, что можно торговаться за сумму "расшифровки" и прям полноценную службу поддержки :) https://fsecureconsumer.files.wordpress.com/2016/07/customer_journey_of_crypto-ransomware_f-secure.pdf

Автор сайта haveibeenpwned, где собирается информация об утечках из разных взломанных ресурсов, рассказывает о том, как ваши данные могут попадать в такие утечки, даже если вы не помните, чтобы регистрировались на каком-то определенном сайте https://www.troyhunt.com/why-am-i-in-a-data-breach-for-a-site-i-never-signed-up-for/

Што

страшно жить — вам будут взламывать удаленно 3D-принтеры и печатать на нем дилдо http://www.computerra.ru/152702/

Кстати, про уязвимости в принтерах, давно хотел дать эту ссылку. Вот вам — уязвимость ПО для принтеров в Windows на протяжении 20 лет позволяла заражать компьютеры пользователей в сети http://blog.vectranetworks.com/blog/microsoft-windows-printer-wateringhole-attack

читали, поди, уже, что в Польше арестовали владельца сайта kickasstorrents, да? Там забавная история про то, как его нашли. Еще в прошлом году представитель налоговой США "под прикрытием" заказал размещение рекламы на сайте. Таким образом они смогли идентифицировать правильный адрес почты, что привело к идентификации пользователя на Facebook, что привело к идентификации IP адреса в Чикаго, что позволило идентифицировать адрес в iCloud. Запросили информацию у Apple по адресу, там нашлись покупки в iTunes (у владельца торрент-сайта!), которые подтвердили IP адрес. Тут полный документ о расследовании https://www.justice.gov/usao-ndil/file/877591/download, там очень много интересной информации о портале. Например, оценки, что в год сайт приносил от 12 до 22 млн долл.

программа "Парковки Москвы" использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платежных систм Visa или MasterCard, а левой конторе, с номинальным юридическим адресом и учредителями - физическими лицами из Москвы, половина которых - номинальные.

Через этот сервер передается вся платежная информация, включая реквизиты кредитных карт - на скриншоте ниже видно, что передается абсолютно: все имя, номер карты, CVC, срок действия. Более того, эти данные еще и в открытом виде в лог записываются. http://ezhick.livejournal.com/179427.html

вы уже могли прочитать, что "Сноуден объявил о разработке защищающего от слежки устройства для iPhone". вот вам первоисточник — собственно, исследовательский документ с деталями. чтобы не расслабляться в надежде, что "вот-вот выйдет" — метод требует разборки телефона и подключения к его внутренностям. предполагается, что в течение года, возможно, сделают прототип, а потом, возможно, устройство (сразу с модифицированным айфоном) будет предлагаться журналистам в горячих точках https://www.pubpub.org/pub/direct-radio-introspection

будущее уже почти здесь — полиция просила у лаборатории с 3Д принтером напечатать 3Д отпечаток пальца убитого человека, чтобы разблокировать его телефон. не очень понятно, куда они подевали труп, потому что "у них был только отпечаток пальца", ну и, опять же, iPhone так не работает, например — после 8 часов "неактивности" iPhone все равно попросит пароль. мутноватая какая-то история http://fusion.net/story/327145/3d-print-dead-mans-fingers-to-unlock-his-phone/

я в начале недели давал ссылки на содержимое контентов апдейтов для OS X/iOS и тд, которые опубликовала Apple. там среди всего прочего была уязвимость в обработке картинок, которая реально позволяла получить контроль над маком просто при открытии пользователем картинки TIFF. так что если вы еще не проапдейтились, то лучше все-таки это сделать. Вот тут — больше информации об этой уязвимости, если вам интересно http://blog.talosintel.com/2016/07/apple-image-rce.html

хм. сброс NVRAM на Маке обнуляет настройку Find My Mac, как оказалось. так что, например, если ваш Мак украдут, то злодей, будучи опытным макюзером, может отключить Find My Mac и вы не сможете обнаружить местоположение Мака. единственный вариант защититься от этого — установить firmware password на Маке (что, впрочем, ожидаемо, если у вас паранойя) https://mayallit.wordpress.com/2016/07/09/resetting-mac-nvram-disables-find-my-mac/

и снова здравствуйте! новая неделя, новые взломы, новые утечки, и прочие ужасы ждут вас (наверняка), даже если вы их не ждете. а пока — интересный рассказ двух чуваков, которые нашли уязвимость в Pornhub.com (знаем, знаем, многие мужчины заходят на этот сайт регулярно в поисках уязвимостей), и благодаря этой уязвимости они смогли заработать 20 тыс долларов от Порнхаба. А все потому, что они оказались хорошими и сообщили об уязвимости администрации сайта, потому что благодаря ей можно было получить доступ к базе данных пользователей этого сайта https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/

я, конечно, стараюсь избегать политоты в этом канале, но иногда нет никакой возможности. Тут, короче, в омерице разгорается большой скандал про взлом почты комитета демократической партии — там почту взломали, а архив недавно вывалили на Wikileaks. все понятно, все политики — пидарасы, но внезапно начало выясняться, что вроде как это все делалось для того, чтобы было выгодно Трампу (кандидату от республиканцев), чтобы замочить демократов. Но что хуже — это то, что расследование показывает, что взломом и последующим сливом на Wikileaks занимались российские спецслужбы. Прям вот прямым текстом в статьях сейчас пишут про ФСБ и ГРУ — вот вам ссылка на результаты исследования https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/

если вы вдруг играли в Clash of Kings и регистрировались у них на форуме — там взломали форум и 1.6 млн записей о пользователях тютю http://www.zdnet.com/article/hacker-steals-forums-of-clash-of-kings-mobile-game/

так, теперь интересные новости. Например, в США популярна схема развода, когда "хакеры" добывают имейл директора компании, и от его имени пишут в бухгалтерию "так, надо заплатить этому вендору денег", и дают счет какой-то за границей. Глупая бухгалтерия платит, хакеры довольны, СЕО страдает. 83% таких платежей уходит в Китай и ГонгКонг. В период с октября 2013 года до февраля 2016 года ФБР насчитала таким образом 17 тыс 642 компании, которых так развели на сумму в 2.3 млрд долл. Не тем мы занимаемся, ой не тем... http://money.cnn.com/2016/07/26/technology/hacking-companies-china-hong-kong-banks/index.html

И полезное! Например, я много пишу про ransomware — софт, который вымогает у вас деньги за расшифровку файлов. Если вы вдруг стали жертвой такого вредоносного ПО, не спешите платить. Вот нужный ресурс, запущенный совместно несколькими компаниями, специализирующимися на ПО в сфере безопасности — они попробуют расшифровать файлы бесплатно. ЗАНЕСИТЕ В ЗАКЛАДКИ https://www.nomoreransom.org

ыыыы. Тут читатель прислал — уязвимость в беспроводных клавиатурах, но не в тех, которые Bluetooth, а в радио-клавах (повторяю, BT-клавы в безопасности пока что). Короче, штука умеет перехватывать поток данных между клавиатурой и компьютером и сохранять ВСЕ текстовые строки. Бренды уязвимых клавиатур — Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Kensington, Radio Shack и Toshiba. Так что если вы какое-то время уже откладывали переход на клавиатуру с Bluetooth, то, наверно, самое время http://www.keysniffer.net