ух! Qualpwn, уязвимости в чипах Qualcomm, включая такую, которая позволяет получить доступ к телефону удаленно и скомпроментировать Android Kernel
информация об уязвимостях
https://blade.tencent.com/en/advisories/qualpwn/

информация о фиксах
https://source.android.com/security/bulletin/2019-08-01
https://www.qualcomm.com/company/product-security/bulletins

полная информация будет раскрыта на Blackhat и DEFCON

В кои-то веки хорошие новости в канале: Казахстан остановил внедрение государственного сертификата, который бы позволил компании перехватывать и анализировать трафик пользователей интернет. Говорят, «это был тест».

https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD

было много разговоров в последнее время о том, как Google, Apple, Amazon используют живых людей для проверки некоторых аудиозаписей, собираемых голосовыми ассистентами компаний. Основная проблема заключалась в том, что толком было непонятно, что это происходит и что какие-то частные данные могут попасть к тем людям, которые занимаются такими проверками. Так вот, тут оказалось, что в подобной ситуации оказалась и Microsoft, с помощницей Кортаной, а также со звонками Skype. У Скайпа есть функция перевода голосовых звонков, которая работает на основе AI, но оказалось, что некоторые звонки также попадают на прослушивание живым людям, и там тоже встречается персональная информация (в статье по ссылке ниже фигурирует наличие секса по телефону, который слушали проверяющие Microsoft)

https://www.vice.com/en_us/article/xweqbq/microsoft-contractors-listen-to-skype-calls

Домашняя сигнализация глушится устройством за 2 доллара. Очень удобно! (рубрика #люблютакое)
https://www.youtube.com/watch?v=UlNkQJzw4oA

Твиттер "недавно обнаружил", что рекламные настройки некоторых пользовательских аккаунтов работали "не так, как предполагалось". В результате это могло приводить к тому, что рекламодателю при переходе пользователя по рекламной ссылке могла передаваться информация о стране местоположения пользователя. Во втором случае пользователям могла показываться реклама на основании предпочтений пользователей, даже если пользователь не давал разрешения на трекинг.
https://help.twitter.com/en/ads-settings

в схожих новостях: модный рекламный стартап HYP3R воспользовался недоработкой Инстаграмма и собирал из социальной сети информацию из пользователей профилей, включая информацию о местоположении, историях, и прочие данные из профилей. Компания была одним из "приближенных маркетинговых партнеров", и, похоже, имела к профилям пользователей больше доступа, и к тому же сохраняла данные, вместо того, чтобы удалять их в течение 24 часов. Почемуто вспоминается история с Facebook и Cambridge Analytica. Я думаю, что об этой истории мы еще услышим не раз.
https://www.businessinsider.com/startup-hyp3r-saving-instagram-users-stories-tracking-locations-2019-8

в Лас Вегасе начался Дефкон, поэтому я периодически буду бросать какието самые интересные ссылки на новости оттуда.

вот, например, о презентации потенциальной возможности взлома Боинга 787, потому что какой-то внутренний код был оставлен на публичном сервере (ЧТОВООБЩЕ?). В самолете три сети: сеть для развлечений пассажиров, сеть для команды и техников, и сеть для авионики и прочего важного барахла. Исследователь утверждает, что за счет обнаруженных уязвимостей есть возможность перехода из первой сети в третью. Боинг все опровергает, ну и доказательств этой теории тоже нет, потому что надо бы гдето достать 787 боинг
https://www.theregister.co.uk/2019/08/08/boeing_787_software_bug_hack/

хотя гораздо интересней и практичней анонс об уязвимостях в протоколе WhatsApp, позволяющие слать сообщения как бы от имени другого пользователя
https://research.checkpoint.com/black-hat-2019-whatsapp-protocol-decryption-for-chat-manipulation-and-more/

про то, как отсутствие проверки в фреймворке Electron на предмет подмены-модификации файлов внутри приложения позволяет внедрить вредоносный код в приложение (например,кейлоггер). Правда, нужен физический доступ, и зависит от того, какое приложение и с какими правами было установлено https://www.contextis.com/en/blog/basic-electron-framework-exploitation

Максимальное количество компромата на всех Научный центр при Управделами президента торгует сервисами, позволяющими деанонимизировать любого жителя России. Хороший лонгрид, ВСЕ КАК ВЫ ЛЮБИТЕ

https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh

там на Blackhat выступала Apple, которая:
- объявила о том, что премиальная программа для исследователей безопасности теперь распространяется на все платформы компании
- на все уязвимости из пре-релизных билдов бонус к выплатам 50%
- за цепочку без взаимодействия с пользователем до выполнения кода в ядре премия теперь "до 1 млн долларов"
- компания запускает специальную программу для исследователей, которые смогут получить устройства с ssh, root и улучшенными возможностями для дебаггинга.
Короче, у меня в ленте инфосека восторги и чепчики вверх летают уже два часа.

Для чего только в эти дни не делают приложения, чтобы помогало найти друзей по интересам. Тиндер, грайндер, и вот тут Трифан (3Fun), которое, как вы можете догадаться, позволяет пользователям находить любителей секса, где больше двух человек.

Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:

https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/

Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...

(раньше было проще, никаких приложений)

мне уже с утра прислали несколько раз ссылки с содержанием "ааааа, face id взломали!!!" (face id — система сканирования лица для разблокировки в устройствах Apple). Если не обращать внимания на любителей дешевых кликов, и почитать оригинал, то оттуда можно узнать интересные детали. Действительно, на BlackHat исследователи показали интересную уязвимость в технологии Face ID, которая позволяет обойти так называемую "детекцию жизни" или, возможно, "одушевленности". Эта фишка используется для определения того, смотрит ли человек в камеру, так называемая детекция внимания — полезная опция в Face ID. Короче, суть в том, что если на жертву надеть очки со специально размещенной на линзах черной и белой лентой, то Face ID переключится в немного другой режим распознавания, и разблокирует телефон, даже если человек не смотрит в телефон. то есть для успешной атаки нужен человек-владелец iPhone, и в идеале он должен быть без сознания. Тогда на него можно надеть эти очки, и просканировать его лицо с помощью Face ID. Уверен, российские полицейские с радостью возьмут этот метод на вооружение — привести жертву в состояние "без сознания" им не составит никакого труда.

https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/

A new harmful virus has been discovered which records victims' desktops when they visit an adult website in a blackmail scam.
The malware, named Varenyky, has sparked fears that hackers could use the footage to extort users for money, antivirus maker ESET said in a report.

Какое интересное название у вируса

Анонимность? Какая анонимность? Signal, конечно, лучше, но хотя бы номер телефона от всех скройте в настройках Телеграма (АПДъ Короче, все тлен и бессмысленно, можно не скрывать)

https://meduza.io/feature/2019/08/10/kto-takoy-tovarisch-mayor

кто бы мог подумать, что IBM была такой прогрессивной компанией много лет назад. Это как бы и реклама компании, лет 30 что ли, назад, но и также уведомление о том, что часть инфы о юзерах они собирали зря, и удалили её.

Сегодня такой день, что могу только бросить вам несколько ссылок, присланных читателями! (обещаю исправиться)

Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили
https://telegra.ph/rAskReddit-CHast-82-08-11