А кто помнит Spectre? нет, не фильм о Джеймсе Бонде, а уязвимость в современных процессорах, о которой стало известно три года назад. Meltdown и Spectre — близнецы братья, уязвимости в том, как работают современные процессоры на принципиальном уровне, что теоретически может приводить к утечкам данных между приложениями, работающими на компьютере.

В общем, команда Google Security — молодцы, потому что провели исследование о том, как подобная уязвимость может быть использована в браузере против пользователей, и даже опубликовали PoC на JavaScript, который демонстрирует возможность утечки информации из памяти пользователя. И что интересно, никто не в безопасности:

The demonstration website can leak data at a speed of 1kB/s when running on Chrome 88 on an Intel Skylake CPU. Note that the code will likely require minor modifications to apply to other CPUs or browser versions; however, in our tests the attack was successful on several other processors, including the Apple M1 ARM CPU, without any major changes.

Очень страшно жить
https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

Но тут гораздо интересней история про уязвимость в системах пересылки текстовых сообщений. И речь как бы не совсем о технической уязвимости. В двух словах: это эксплуатация системы Sakari, сервиса пересылки текстовых сообщений, которая позволяет различным компаниям рассылать СМС-напоминания, подтверждения, уведомления и рекламу. Создание учетной записи там бесплатно, и самый дешевый тариф — всего лишь 16 долларов. После этого у владельца учетной записи есть «право» переключать номера телефонов, что дает возможность прописать там телефон жертвы и получать текстовые сообщения, предназначенные жертве, даже без её ведома. Технически Sakari получает возможность контроля над перенаправлением текстовых сообщений от компании под названием Bandwidth. Та, в свою очередь, управляет назначением номеров еще через другую компанию — NetNumber. У NetNumber есть своя собственная централизованная база данных Override Service Registry, которую использует большое количество игроков (короче, иголка в яйце).

Насколько этот метод используется для атак сегодня — неизвестно. Но компаний, подобных Sakari, полно, и некоторые уже подтверждают, что они замечают подозрительную активность и блокируют таких пользователей. Очень хочется надеяться, что это может быть последним гвоздем в гроб аутентификации через получение SMS (например, при всем моем желании от него отказаться, есть сервисы, где подтверждение не получить никаким другим способом, кроме СМС — включая банковские). Но рекомендация общая: если есть возможность не получать код через SMS — не получайте, настраивайте TOTP/OTP пароли, это гораздо лучше, чем SMS.

Пост от журналиста Motherboard:
https://www.vice.com/en/article/y3g8wb/hacker-got-my-texts-16-dollars-sakari-netnumber

пост от исследователя, который демонстрировал ему уязвимость
https://lucky225.medium.com/its-time-to-stop-using-sms-for-anything-203c41361c80

Инструмент для проверки, не зарегистрировал ли кто-то где-то ваш номер для каких-то своих дел (от компании, где работает Lucky225)
https://okeymonitor.com

Фаза 1
Берем данные о геолокации из приложений для молитв мусульман — и продаем армии. кому профит, кому данные для дронов
https://t.me/alexmakus/3727

Фаза 2
Берем данные о той же геолокации из автомобилей, через производителей собираем их у агрегатора — и продаем армии. Так-то, глядишь, и для дронов тоже данные найдутся, а там и профит пойдет.

Короче, не скроешься. Умные машины, говорили они, подключение к интернету в каждой машине, говорили они. Ну что может пойти не так в этой схеме? В статье все именно настолько плохо, как можно подумать: агрегатор питчит военным ведомствам возможность получить информацию о реальном местоположении определенного автомобиля в почти любой стране мира (за исключением Кубы и Северной Кореи).

"Vehicle telematics is data transmitted from the vehicle to the automaker or OEM through embedded communications systems in the car. Among the thousands of other data points, vehicle location data is transmitted on a constant and near real time basis while the vehicle is operating."

https://www.vice.com/en/article/k7adn9/car-location-data-telematics-us-military-ulysses-group

https://www.documentcloud.org/documents/20515640-ulysses-document

Постоянные читатели канала помнят стартап Clearview AI, компанию, которая собрала несколько миллиардов фотографий людей из разных социальных сетей и прочих сайтов, куда мы все так любим постить фотографии о себе, а потом открыла сервис для частных и государственных организаций по поиску людей. Спорность и легитимность сервиса обсуждают до сих пор многие, но правоохранительным органам в США, похоже, все равно на эти обсуждения, поэтому и полиция, и ФБР часто обращаются за услугами к этой компании.


Я оставлю вам на выходные длинный, но очень интересный профайл об этой компании в NYT (да, на английском, но автоматические переводчики нынче очень неплохо подобный контент переводят). В статье есть много всего про историю основания компании, людей, к этому причастных, про судебные разбирательства и легитимность использования систем распознавания лиц в принципе. Отличный материал, я с удовольствием почитал и вам рекомендую. Возможно, там окажется пейволл, но разве это может остановить того, кому на самом деле это интересно?

https://www.nytimes.com/interactive/2021/03/18/magazine/facial-recognition-clearview-ai.html