Объединенная группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад , в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. Две из них являются пассивными и позволяют отследить LTE трафик и узнать различные подробности о целевом объекте. С помощью третьей, получившей название aLTEr, атакующие могут подменять отправляемые на устройство данные и определить, какие сайты посещает жертва с гаджета.

https://www.securitylab.ru/news/494194.php

Привет. Тут какая-то история разворачивается про то, как различные сторонние сервисы (не говоря уже о разработчиках самой Google) могут читать почту пользователей Gmail. Открыла эту тему WSJ (статья за пейволлом)
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4

А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/


В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики

Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions

ну и про “умные устройства”, как я люблю. Я уже как-то давно писал про историю с американским производителем телевизоров Vizio, который сканировал, что показывается на экране телевизора, и таким образом собирал информацию о пользователях для последующей продажи рекламы. Вот в NYT пишут о том, что многие SmartTV (не только Vizio) настолько умные, что у них установлено ПО Samba TV, которое анализирует данные с 13,5 млн ТВ в США для лучшего понимания предпочтений пользователей и последующего таргетинга их рекламой.

https://mobile.nytimes.com/2018/07/05/business/media/tv-viewer-tracking.html

Телевизоры Sony, Sharp, Philips и тд — модели этих производителей не только следят за тем, что смотрят пользователи, но еще и собирают информацию о других устройствах, с которых пользователи в этой же сети выходят в интернет (вот тут маркетинговая страница о том, что умеет их софт
https://platform.samba.tv/technology/)

По сути, это тот же попиксельный анализ, что был в случае с Vizio и распознаванием контента (фильмы, сериалы, игры)
https://t.me/alexmakus/966

Компания утверждает, что такой сбор данных обязательно сопровождается открытым соглашением пользователя, но мы-то знаем, как обычно это маскируется для того, чтобы пользователь, не думая и не читая, кликнул “Я согласен”. (в статье есть скриншо). Сама Samba TV не продает пользовательские данные, но использует собранную информацию для последующего таргетинга рекламой на других устройствах пользователей. Удивительно, что этим занимаются производители дорогих телевизоров — Sony та же. Их Bravia стоят кучу денег, но, видимо, им не хватает.
Отдельная проблема, конечно, в том, что пользователи, даже покупая “смартТВ”, не очень представляют себе их возможности, и не догадываются, что тут может быть такая продвинутая тема со сбором данных. Как страшно жить и смотреть телевизор при этом.

Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно писал здесь в канале. Фича называется USB Accessories, и функциональность её достаточно простая: если час не разблокировать устройство, порт Lightning блокируется для передачи данных и работает только для зарядки устройства. Это сделано для борьбы с несколькими устройствами, которые научились перебирать простые цифровые пароли и сливать данные с устройств. Полезно, безопасно, вот это все.

Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/

Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?

Дополнение к сегодняшней записи про USB Accessories блокировку в iOS 11.4.1
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.

https://support.apple.com/en-us/HT208857

Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:

If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer

То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.

В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -

and in some cases, it might not charge. Такие дела.