Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился
https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/
https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/
Ars Technica
Nothing’s iMessage app was a security catastrophe, taken down in 24 hours
Nothing promised end-to-end encryption, then stored texts publicly in plaintext.
❤37😁22🤩4🤡3👍2🤯2
Злоумышленники активно используют две новые уязвимости нулевого дня для объединения маршрутизаторов и видеорегистраторов во враждебную бот-сеть, используемую для распределенных атак типа "отказ в обслуживании", сообщили в четверг исследователи из компании Akamai.
https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days
https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days
Akamai
InfectedSlurs Botnet Spreads Mirai via Zero-Days | Akamai
Akamai has uncovered two zero-day vulnerabilities that are being actively exploited to spread a Mirai variant in the wild. Read on for details and mitigation.
🤯30
кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.
https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/
https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/
Blackwinghq
A Touch of Pwn - Part I
Blackwing Intelligence provides high-end security engineering, analysis, and research services for engineering focused organizations
🤡94👏32😁13🥰1
Эксплуатация уязвимости в ownCloud с получением полного контроля над сервером
https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild
Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild
Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
www.greynoise.io
CVE-2023-49103: ownCloud Critical Vulnerability Quickly Exploited in the Wild | GreyNoise Blog
File server and collaboration platform ownCloud publicly disclosed a critical vulnerability with a CVSS severity rating of 10 out of 10. This vulnerability, tracked as CVE-2023-49103, affects the "graphapi" app used in ownCloud. Check out this post to learn…
😱22🤷♂4😁2👍1
BLUFFS — новый набор атак на Bluetooth, позволяющий расшифровывать данные в сессии обмена данными. Включает в себя парочку новых уязвимостей, затрагивает Bluetooth версий от 4.2 до 5.4
https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/
https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/
ACM Conferences
BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses | Proceedings of the 2023 ACM SIGSAC Conference on Computer and…
🌚30❤15🔥3🎄3👍2🦄1
Если у вас Хром на Маке, то не задерживайте с апдейтом
Google is aware that an exploit for CVE-2023-6345 exists in the wild.
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
Google is aware that an exploit for CVE-2023-6345 exists in the wild.
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 119.0.6045.199 for Mac and Linux and 119.0.6045.199 /.200 for Windows , which will roll out over th...
🫡30🎉11😁5👍3👎2😐2❤1❤🔥1🥴1
и как это часто бывает в случае минорных апдейтов iOS/iPadOS/macOS:
Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.
https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032
Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.
https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032
Apple Support
About the security content of iOS 17.1.2 and iPadOS 17.1.2
This document describes the security content of iOS 17.1.2 and iPadOS 17.1.2.
🎉21👍2
Вот это сюрприз так сюрприз, никто этого не мог предсказать
https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/
https://techcrunch.com/2023/12/04/23andme-confirms-hackers-stole-ancestry-data-on-6-9-million-users/
TechCrunch
23andMe confirms hackers stole ancestry data on 6.9 million users | TechCrunch
Genetic testing company 23andMe revealed that its data breach was much worse than previously reported, hitting about half of its total customers.
😁54😢12🤬3🎄3👍1
очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
https://www.documentcloud.org/documents/24191267-wyden_smartphone_push_notification_surveillance_letter_to_doj_-_signed
www.documentcloud.org
Wyden letter to Department of Justice regarding smartphone push notification surveillance
This is a Dec. 6, 2023 letter from Oregon Senator Ron Wyden asking the Department of Justice to lift any existing restrictions around discussions of push notification surveillance.
🤯47👏38🤬12🤡12❤6👍6🎄3🔥2🤔2😭1
Atlassian молодцы, на 9 из 10 (в смысле, по критичности уязвимостей)
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
• CVE-2023-22522: Template injection flaw allowing authenticated users, including those with anonymous access, to inject unsafe input into a Confluence page (critical, with a 9.0 severity score). The flaw impacts all Confluence Data Center and Server versions after 4.0.0 and up to 8.5.3.
• CVE-2023-22523: Privileged RCE in Assets Discovery agent impacting Jira Service Management Cloud, Server, and Data Center (critical, with a 9.8 severity score). Vulnerable Asset Discovery versions are anything below 3.2.0 for Cloud and 6.2.0 for Data Center and Server.
• CVE-2023-22524: Bypass of blocklist and macOS Gatekeeper on the companion app for Confluence Server and Data Center for macOS, impacting all versions of the app prior to 2.0.0 (critical, with a 9.6 severity score).
• CVE-2022-1471: RCE in SnakeYAML library impacting multiple versions of Jira, Bitbucket, and Confluence products (critical, with a 9.8 severity score).
🥰32🎉23😁11👍1🎄1
I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy."
https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24
https://bsky.app/profile/agreenberg.bsky.social/post/3kfvkdgf2bi24
Bluesky Social
Andy Greenberg (@agreenberg.bsky.social)
I dug into the terms of Binance's settlement with feds. The world's biggest crypto exchange is about to open its database of transaction records to US regulators/law enforcement for a "24/7, 365-days-a-year financial colonoscopy." https://www.wired.com/story/binance…
🌚51👏17🌭7😁5🤮3👻3👍2🎄1
"Департамент СМИ и рекламы Москвы запретил владельцам билбордов размещать рекламу с QR-кодами
Это произошло после того, как вчера ФБК разместил в столице, а также Петербурге и Новосибирске билборды, на которых QR-код, изначально отсылавший на нейтральный сайт, в итоге путем редиректа перенаправлял на сайт антипутинской кампании."
это очень смешно, а также нет :)
Это произошло после того, как вчера ФБК разместил в столице, а также Петербурге и Новосибирске билборды, на которых QR-код, изначально отсылавший на нейтральный сайт, в итоге путем редиректа перенаправлял на сайт антипутинской кампании."
это очень смешно, а также нет :)
😁184🤡35❤5🔥4💩3🤬1🎄1🗿1👾1
у Apple сегодня вышли апдейты iOS/iPadOS/macOS и тд, и как обычно, там есть и улучшения безопасности
например, iOS 17.2 исправляет 10 различных уязвимостей. Но хорошие новости, например, что ни одна из них, похоже, не была zero day с активной эксплуатацией.
https://support.apple.com/en-us/HT214035
например, iOS 17.2 исправляет 10 различных уязвимостей. Но хорошие новости, например, что ни одна из них, похоже, не была zero day с активной эксплуатацией.
https://support.apple.com/en-us/HT214035
Apple Support
About the security content of iOS 17.2 and iPadOS 17.2
This document describes the security content of iOS 17.2 and iPadOS 17.2.
❤27🤡8💩3👏2🔥1🤮1🎄1
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
https://asset-group.github.io/disclosures/5ghoul/
https://asset-group.github.io/disclosures/5ghoul/
💩14🎄11😱4👍3🤮1🤡1
прикольную фичу по безопасности выкатила Apple в новой бете iOS. Она призвана бороться с кражей айфонов, когда вор по какой-то причине знает пароль к устройству (подсмотрел, например). Активировав эту фичу, пользователь получит более защищенное устройство: айфон потребует отпечаток пальца или скан лица при попытке просмотреть пароли или сбросить к заводским настройкам, выключить режим потерянного устройства, просмотреть платежные средства. И можно сделать так, что смена пароля Apple ID будет возможна только в часто посещаемых локациях: дом, офис, тд.
https://www.theverge.com/2023/12/12/23998665/apple-stolen-device-protection-face-touch-id-icloud-account-vulnerability-ios-17-3-beta
https://www.theverge.com/2023/12/12/23998665/apple-stolen-device-protection-face-touch-id-icloud-account-vulnerability-ios-17-3-beta
The Verge
Apple’s new iPhone security setting keeps thieves out of your digital accounts
iPhone PINs won’t be enough to steal your iCloud account soon.
🔥69👍32🤔7🤡4❤2💩2🤬1
еще утром читатель присылал новость, что в Украине после кибератаки прилёг оператор Киевстар
https://www.veon.com/newsroom/press-releases/veon-backs-uzbekistan-bid-to-become-central-asia-it-hub-1
https://www.bleepingcomputer.com/news/security/ukraines-largest-mobile-carrier-kyivstar-down-following-cyberattack/
https://www.veon.com/newsroom/press-releases/veon-backs-uzbekistan-bid-to-become-central-asia-it-hub-1
https://www.bleepingcomputer.com/news/security/ukraines-largest-mobile-carrier-kyivstar-down-following-cyberattack/
Veon
Kyivstar to Provide National Digital Health Service for Ukraine
Meta Description
😢64🔥9🥱8🫡8🤬5👍3👎2🎉2🥰1🤡1🗿1
ну и чтобы два раза не вставать — декабрьский патч-вторник у Microsoft, 36 уязвимостей, 4 из которых — критические
https://msrc.microsoft.com/update-guide/en-us/releaseNote/2023-Dec
https://msrc.microsoft.com/update-guide/en-us/releaseNote/2023-Dec
❤14👍8😁1🤡1