красиво работает уязвимость в iOS iMessage, позволяющая воровать файлы. Кто не проапдейтился до 12.4, тот сам виноват (ну и Эпол, конечно, с такими-то дырами)
https://www.youtube.com/watch?v=ld2m0CPR1nM
https://www.youtube.com/watch?v=ld2m0CPR1nM
YouTube
Remotely Stole Files Through iMessage on iOS 12.3.1 (CVE-2019-8646 by natashenka)
Remotely Stole Files Through iMessage on iOS 12.3.1 (CVE-2019-8646 by natashenka)
Twitter @ SparkZheng
Reference: https://bugs.chromium.org/p/project-zero/issues/detail?id=1858
Twitter @ SparkZheng
Reference: https://bugs.chromium.org/p/project-zero/issues/detail?id=1858
Тема аудиозаписей, собираемых Siri на iPhone и прочих гаджетах Apple, часть из которых затем анализируется живыми людьми, приобрела некое продолжение. Apple рассказала Теккранч, что компания приостанавливает процесс анализа записей, и пересмотрит саму процедуру того, как это происходит в будущем. Более того, компания выпустит апдейт для своих продуктов, который сделает очевидным запрос для пользователей о том, хотят ли они, чтобы их записи были использованы для анализа и последующего обучения.
https://techcrunch.com/2019/08/01/apple-suspends-siri-response-grading-in-response-to-privacy-concerns/
в то же время у the verge выходит материал о том, как сложно у Apple удалить записи, которые собрала Siri у пользователей (в отличие от Google или Amazon). Надеюсь, что вместе с опцией не участвовать в анализе Apple добавит и опцию по нормальному удалению данных, пусть и анонимизированных.
https://www.theverge.com/2019/8/2/20734681/apple-siri-privacy-settings-how-to-delete-voice-servers
Ну и продолжая тему голосовых помощников, записей и анализов их людьми. В прошлом месяце я писал про то, что у Google есть подобная Apple лаборатория, где живые люди анализируют записи. Тогда Google тоже достаточно быстро отреагировала и приостановила анализ данных людьми. Но Европа не дремлет, и в рамках GDPR специальный орган ЕС приказал Google прекратить безобразия, и, скорей всего, Google не сможет продолжать делать это в Европе. Непонятно, как вообще в этом случае объединять необходимые исследования и ограничения конфиденциальности.
https://datenschutz-hamburg.de/pressemitteilungen/2019/08/2019-08-01-google-assistant
https://techcrunch.com/2019/08/01/apple-suspends-siri-response-grading-in-response-to-privacy-concerns/
в то же время у the verge выходит материал о том, как сложно у Apple удалить записи, которые собрала Siri у пользователей (в отличие от Google или Amazon). Надеюсь, что вместе с опцией не участвовать в анализе Apple добавит и опцию по нормальному удалению данных, пусть и анонимизированных.
https://www.theverge.com/2019/8/2/20734681/apple-siri-privacy-settings-how-to-delete-voice-servers
Ну и продолжая тему голосовых помощников, записей и анализов их людьми. В прошлом месяце я писал про то, что у Google есть подобная Apple лаборатория, где живые люди анализируют записи. Тогда Google тоже достаточно быстро отреагировала и приостановила анализ данных людьми. Но Европа не дремлет, и в рамках GDPR специальный орган ЕС приказал Google прекратить безобразия, и, скорей всего, Google не сможет продолжать делать это в Европе. Непонятно, как вообще в этом случае объединять необходимые исследования и ограничения конфиденциальности.
https://datenschutz-hamburg.de/pressemitteilungen/2019/08/2019-08-01-google-assistant
TechCrunch
Apple suspends Siri response grading in response to privacy concerns
In response to concerns raised by a Guardian story last week over how recordings of Siri queries are used for quality control, Apple is suspending the program world wide. Apple says it will review the process that it uses, called grading, to determine whether…
немножко накопившихся утечек-взломов за последние пару дней:
stockX, который своим поведением (сначала сбросили пароли, потом объясняли это обновлением, потом нехотя признали попытку несанционированного доступа), показывают, как не нужно себя вести в подобных ситуациях
https://stockx.com/news/update-on-data-security-issue/
Monzo, модный растущий банк из Великобритании, рассказал, что какое-то время неправильно хранил PIN-коды клиентов в своих внутренних системах
https://monzo.com/blog/2019/08/05/weve-fixed-an-issue-storing-some-customers-pins
E3 Expo случайно выложили Excel-файл с персональными данными на 2+ тысячи журналистов
https://kotaku.com/e3-expo-leaks-the-personal-information-of-over-2-000-jo-1836936908
Сегодня наткнулся на новость месячной давности об утечке 450 тысяч логинов и паролей Ozon, которую я как-то пропустил (ну, или не нашел в истории)
https://www.rbc.ru/technology_and_media/10/07/2019/5d25c3d99a794775f79f0816
https://thebell.io/utechka-v-ozon-chem-ona-grozit-kompanii-i-polzovatelyam/
stockX, который своим поведением (сначала сбросили пароли, потом объясняли это обновлением, потом нехотя признали попытку несанционированного доступа), показывают, как не нужно себя вести в подобных ситуациях
https://stockx.com/news/update-on-data-security-issue/
Monzo, модный растущий банк из Великобритании, рассказал, что какое-то время неправильно хранил PIN-коды клиентов в своих внутренних системах
https://monzo.com/blog/2019/08/05/weve-fixed-an-issue-storing-some-customers-pins
E3 Expo случайно выложили Excel-файл с персональными данными на 2+ тысячи журналистов
https://kotaku.com/e3-expo-leaks-the-personal-information-of-over-2-000-jo-1836936908
Сегодня наткнулся на новость месячной давности об утечке 450 тысяч логинов и паролей Ozon, которую я как-то пропустил (ну, или не нашел в истории)
https://www.rbc.ru/technology_and_media/10/07/2019/5d25c3d99a794775f79f0816
https://thebell.io/utechka-v-ozon-chem-ona-grozit-kompanii-i-polzovatelyam/
Monzo
We’ve fixed an issue that meant we weren’t storing some customers’ PINs correctly
No information has been exposed outside Monzo, and there’s no evidence that this data has been used for fraud. We’ve updated the app, and we’ve contacted some of you to let you know you should change your PIN as a precaution.
АПД. Забыл еще CafePress, популярный сайт с футболками и прочим мерчем. 23 млн юзеров, всем спросили пароли под видом изменения внутренней политики (молодцы какие).
https://www.theregister.co.uk/2019/08/05/cafebreach_breach_23m_user_records/
https://www.theregister.co.uk/2019/08/05/cafebreach_breach_23m_user_records/
www.theregister.co.uk
We've, um, changed our password policy, says CafePress amid reports of 23m pwned accounts
Three-quarters of email addys already in breach database
ух! Qualpwn, уязвимости в чипах Qualcomm, включая такую, которая позволяет получить доступ к телефону удаленно и скомпроментировать Android Kernel
информация об уязвимостях
https://blade.tencent.com/en/advisories/qualpwn/
информация о фиксах
https://source.android.com/security/bulletin/2019-08-01
https://www.qualcomm.com/company/product-security/bulletins
полная информация будет раскрыта на Blackhat и DEFCON
информация об уязвимостях
https://blade.tencent.com/en/advisories/qualpwn/
информация о фиксах
https://source.android.com/security/bulletin/2019-08-01
https://www.qualcomm.com/company/product-security/bulletins
полная информация будет раскрыта на Blackhat и DEFCON
Tencent
QualPwn - Exploiting Qualcomm WLAN and Modem Over The Air
Tencent Blade Team
В кои-то веки хорошие новости в канале: Казахстан остановил внедрение государственного сертификата, который бы позволил компании перехватывать и анализировать трафик пользователей интернет. Говорят, «это был тест».
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD
Reuters
Kazakhstan halts introduction of internet surveillance system
ALMATY (Reuters) - Kazakhstan has halted the implementation of an internet surveillance system criticized by lawyers as illegal, with the government describing its initial rollout as a test.
было много разговоров в последнее время о том, как Google, Apple, Amazon используют живых людей для проверки некоторых аудиозаписей, собираемых голосовыми ассистентами компаний. Основная проблема заключалась в том, что толком было непонятно, что это происходит и что какие-то частные данные могут попасть к тем людям, которые занимаются такими проверками. Так вот, тут оказалось, что в подобной ситуации оказалась и Microsoft, с помощницей Кортаной, а также со звонками Skype. У Скайпа есть функция перевода голосовых звонков, которая работает на основе AI, но оказалось, что некоторые звонки также попадают на прослушивание живым людям, и там тоже встречается персональная информация (в статье по ссылке ниже фигурирует наличие секса по телефону, который слушали проверяющие Microsoft)
https://www.vice.com/en_us/article/xweqbq/microsoft-contractors-listen-to-skype-calls
https://www.vice.com/en_us/article/xweqbq/microsoft-contractors-listen-to-skype-calls
Vice
Revealed: Microsoft Contractors Are Listening to Some Skype Calls
Documents, screenshots, and audio obtained by Motherboard show that humans listen to Skype calls made using the app's translation function.
Домашняя сигнализация глушится устройством за 2 доллара. Очень удобно! (рубрика #люблютакое)
https://www.youtube.com/watch?v=UlNkQJzw4oA
https://www.youtube.com/watch?v=UlNkQJzw4oA
YouTube
[935] SimpliSafe Alarm Bypassed With a $2 Device From Amazon
Твиттер "недавно обнаружил", что рекламные настройки некоторых пользовательских аккаунтов работали "не так, как предполагалось". В результате это могло приводить к тому, что рекламодателю при переходе пользователя по рекламной ссылке могла передаваться информация о стране местоположения пользователя. Во втором случае пользователям могла показываться реклама на основании предпочтений пользователей, даже если пользователь не давал разрешения на трекинг.
https://help.twitter.com/en/ads-settings
https://help.twitter.com/en/ads-settings
Twitter
An issue with your settings choices related to ads on Twitter
в схожих новостях: модный рекламный стартап HYP3R воспользовался недоработкой Инстаграмма и собирал из социальной сети информацию из пользователей профилей, включая информацию о местоположении, историях, и прочие данные из профилей. Компания была одним из "приближенных маркетинговых партнеров", и, похоже, имела к профилям пользователей больше доступа, и к тому же сохраняла данные, вместо того, чтобы удалять их в течение 24 часов. Почемуто вспоминается история с Facebook и Cambridge Analytica. Я думаю, что об этой истории мы еще услышим не раз.
https://www.businessinsider.com/startup-hyp3r-saving-instagram-users-stories-tracking-locations-2019-8
https://www.businessinsider.com/startup-hyp3r-saving-instagram-users-stories-tracking-locations-2019-8
Business Insider
Instagram's lax privacy practices let a trusted partner track millions of users' physical locations, secretly save their stories…
More than a year after the Cambridge Analytica scandal, Facebook is still struggling to protect user data.
в Лас Вегасе начался Дефкон, поэтому я периодически буду бросать какието самые интересные ссылки на новости оттуда.
вот, например, о презентации потенциальной возможности взлома Боинга 787, потому что какой-то внутренний код был оставлен на публичном сервере (ЧТОВООБЩЕ?). В самолете три сети: сеть для развлечений пассажиров, сеть для команды и техников, и сеть для авионики и прочего важного барахла. Исследователь утверждает, что за счет обнаруженных уязвимостей есть возможность перехода из первой сети в третью. Боинг все опровергает, ну и доказательств этой теории тоже нет, потому что надо бы гдето достать 787 боинг
https://www.theregister.co.uk/2019/08/08/boeing_787_software_bug_hack/
вот, например, о презентации потенциальной возможности взлома Боинга 787, потому что какой-то внутренний код был оставлен на публичном сервере (ЧТОВООБЩЕ?). В самолете три сети: сеть для развлечений пассажиров, сеть для команды и техников, и сеть для авионики и прочего важного барахла. Исследователь утверждает, что за счет обнаруженных уязвимостей есть возможность перехода из первой сети в третью. Боинг все опровергает, ну и доказательств этой теории тоже нет, потому что надо бы гдето достать 787 боинг
https://www.theregister.co.uk/2019/08/08/boeing_787_software_bug_hack/
www.theregister.co.uk
WTF is Boeing on? Not just customer databases lying around on the web. 787 jetliner code, too, security bugs and all
Fears of cyber-hijackings? That's plane crazy, says Dreamliner maker
хотя гораздо интересней и практичней анонс об уязвимостях в протоколе WhatsApp, позволяющие слать сообщения как бы от имени другого пользователя
https://research.checkpoint.com/black-hat-2019-whatsapp-protocol-decryption-for-chat-manipulation-and-more/
https://research.checkpoint.com/black-hat-2019-whatsapp-protocol-decryption-for-chat-manipulation-and-more/
Check Point Research
Black Hat 2019 – WhatsApp Protocol Decryption for Chat Manipulation and More - Check Point Research
Research By: Dikla Barda, Roman Zaikin and Oded Vanunu According to sources, WhatsApp, the Facebook-owned messaging application has over 1.5 billion users in over 180 countries. The average user checks WhatsApp more than 23 times per day. And, the number…
про то, как отсутствие проверки в фреймворке Electron на предмет подмены-модификации файлов внутри приложения позволяет внедрить вредоносный код в приложение (например,кейлоггер). Правда, нужен физический доступ, и зависит от того, какое приложение и с какими правами было установлено https://www.contextis.com/en/blog/basic-electron-framework-exploitation
Accenture
Accenture | Deutschland | Let There Be Change
Wie Führungskräfte die fünf Treiber des Wandels nutzen können.
Максимальное количество компромата на всех Научный центр при Управделами президента торгует сервисами, позволяющими деанонимизировать любого жителя России. Хороший лонгрид, ВСЕ КАК ВЫ ЛЮБИТЕ
https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh
https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh
Meduza
Максимальное количество компромата на всех
Научно-исследовательский вычислительный центр при управлении делами президента России разрабатывает системы мониторинга и деанонимизации пользователей соцсетей — и предлагает их государственным и частным клиентам. С помощью сервисов «ПСКОВ» и «Шерлок» страховые…
там на Blackhat выступала Apple, которая:
- объявила о том, что премиальная программа для исследователей безопасности теперь распространяется на все платформы компании
- на все уязвимости из пре-релизных билдов бонус к выплатам 50%
- за цепочку без взаимодействия с пользователем до выполнения кода в ядре премия теперь "до 1 млн долларов"
- компания запускает специальную программу для исследователей, которые смогут получить устройства с ssh, root и улучшенными возможностями для дебаггинга.
Короче, у меня в ленте инфосека восторги и чепчики вверх летают уже два часа.
- объявила о том, что премиальная программа для исследователей безопасности теперь распространяется на все платформы компании
- на все уязвимости из пре-релизных билдов бонус к выплатам 50%
- за цепочку без взаимодействия с пользователем до выполнения кода в ядре премия теперь "до 1 млн долларов"
- компания запускает специальную программу для исследователей, которые смогут получить устройства с ssh, root и улучшенными возможностями для дебаггинга.
Короче, у меня в ленте инфосека восторги и чепчики вверх летают уже два часа.
Для чего только в эти дни не делают приложения, чтобы помогало найти друзей по интересам. Тиндер, грайндер, и вот тут Трифан (3Fun), которое, как вы можете догадаться, позволяет пользователям находить любителей секса, где больше двух человек.
Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:
https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/
Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...
(раньше было проще, никаких приложений)
Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:
https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/
Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...
(раньше было проще, никаких приложений)
Pentestpartners
Group sex app leaks locations, pics and personal details. Identifies users in White House and Supreme Court | Pen Test Partners
We’ve seen some pretty poor security in dating apps over recent years; breaches of personal data, leaking users locations and more. But this one really takes the biscuit: probably the […]
мне уже с утра прислали несколько раз ссылки с содержанием "ааааа, face id взломали!!!" (face id — система сканирования лица для разблокировки в устройствах Apple). Если не обращать внимания на любителей дешевых кликов, и почитать оригинал, то оттуда можно узнать интересные детали. Действительно, на BlackHat исследователи показали интересную уязвимость в технологии Face ID, которая позволяет обойти так называемую "детекцию жизни" или, возможно, "одушевленности". Эта фишка используется для определения того, смотрит ли человек в камеру, так называемая детекция внимания — полезная опция в Face ID. Короче, суть в том, что если на жертву надеть очки со специально размещенной на линзах черной и белой лентой, то Face ID переключится в немного другой режим распознавания, и разблокирует телефон, даже если человек не смотрит в телефон. то есть для успешной атаки нужен человек-владелец iPhone, и в идеале он должен быть без сознания. Тогда на него можно надеть эти очки, и просканировать его лицо с помощью Face ID. Уверен, российские полицейские с радостью возьмут этот метод на вооружение — привести жертву в состояние "без сознания" им не составит никакого труда.
https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/
https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/
Threat Post
Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’
Researchers were able to bypass Apple's FaceID using a pair of glasses with tape on the lenses.