Forwarded from Информация опасносте
Объединенная группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад , в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. Две из них являются пассивными и позволяют отследить LTE трафик и узнать различные подробности о целевом объекте. С помощью третьей, получившей название aLTEr, атакующие могут подменять отправляемые на устройство данные и определить, какие сайты посещает жертва с гаджета.
https://www.securitylab.ru/news/494194.php
https://www.securitylab.ru/news/494194.php
SecurityLab.ru
Уязвимости в 4G LTE позволяют отслеживать трафик абонентов и подменять данные
Проблемы связаны с использованием слабого криптоалгоритма и отсутствием должной проверки целостности при передаче пакетов.
Forwarded from Информация опасносте
Привет. Тут какая-то история разворачивается про то, как различные сторонние сервисы (не говоря уже о разработчиках самой Google) могут читать почту пользователей Gmail. Открыла эту тему WSJ (статья за пейволлом)
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4
А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/
В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики
Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4
А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/
В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики
Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions
WSJ
Tech’s ‘Dirty Secret’: The App Developers Sifting Through Your Gmail
Software developers scan hundreds of millions of emails of users who sign up for email-based services. Disclosures are often buried in user agreements.
Forwarded from Информация опасносте
ну и про “умные устройства”, как я люблю. Я уже как-то давно писал про историю с американским производителем телевизоров Vizio, который сканировал, что показывается на экране телевизора, и таким образом собирал информацию о пользователях для последующей продажи рекламы. Вот в NYT пишут о том, что многие SmartTV (не только Vizio) настолько умные, что у них установлено ПО Samba TV, которое анализирует данные с 13,5 млн ТВ в США для лучшего понимания предпочтений пользователей и последующего таргетинга их рекламой.
https://mobile.nytimes.com/2018/07/05/business/media/tv-viewer-tracking.html
Телевизоры Sony, Sharp, Philips и тд — модели этих производителей не только следят за тем, что смотрят пользователи, но еще и собирают информацию о других устройствах, с которых пользователи в этой же сети выходят в интернет (вот тут маркетинговая страница о том, что умеет их софт
https://platform.samba.tv/technology/)
По сути, это тот же попиксельный анализ, что был в случае с Vizio и распознаванием контента (фильмы, сериалы, игры)
https://t.me/alexmakus/966
Компания утверждает, что такой сбор данных обязательно сопровождается открытым соглашением пользователя, но мы-то знаем, как обычно это маскируется для того, чтобы пользователь, не думая и не читая, кликнул “Я согласен”. (в статье есть скриншо). Сама Samba TV не продает пользовательские данные, но использует собранную информацию для последующего таргетинга рекламой на других устройствах пользователей. Удивительно, что этим занимаются производители дорогих телевизоров — Sony та же. Их Bravia стоят кучу денег, но, видимо, им не хватает.
Отдельная проблема, конечно, в том, что пользователи, даже покупая “смартТВ”, не очень представляют себе их возможности, и не догадываются, что тут может быть такая продвинутая тема со сбором данных. Как страшно жить и смотреть телевизор при этом.
https://mobile.nytimes.com/2018/07/05/business/media/tv-viewer-tracking.html
Телевизоры Sony, Sharp, Philips и тд — модели этих производителей не только следят за тем, что смотрят пользователи, но еще и собирают информацию о других устройствах, с которых пользователи в этой же сети выходят в интернет (вот тут маркетинговая страница о том, что умеет их софт
https://platform.samba.tv/technology/)
По сути, это тот же попиксельный анализ, что был в случае с Vizio и распознаванием контента (фильмы, сериалы, игры)
https://t.me/alexmakus/966
Компания утверждает, что такой сбор данных обязательно сопровождается открытым соглашением пользователя, но мы-то знаем, как обычно это маскируется для того, чтобы пользователь, не думая и не читая, кликнул “Я согласен”. (в статье есть скриншо). Сама Samba TV не продает пользовательские данные, но использует собранную информацию для последующего таргетинга рекламой на других устройствах пользователей. Удивительно, что этим занимаются производители дорогих телевизоров — Sony та же. Их Bravia стоят кучу денег, но, видимо, им не хватает.
Отдельная проблема, конечно, в том, что пользователи, даже покупая “смартТВ”, не очень представляют себе их возможности, и не догадываются, что тут может быть такая продвинутая тема со сбором данных. Как страшно жить и смотреть телевизор при этом.
NY Times
How Smart TVs in Millions of U.S. Homes Track More Than What’s On Tonight (Published 2018)
Samba TV, which has deals to put its software on sets made by about a dozen TV brands, uses viewing data to make personalized show recommendations. But that’s not the big draw for advertisers.
Forwarded from Информация опасносте
Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно писал здесь в канале. Фича называется USB Accessories, и функциональность её достаточно простая: если час не разблокировать устройство, порт Lightning блокируется для передачи данных и работает только для зарядки устройства. Это сделано для борьбы с несколькими устройствами, которые научились перебирать простые цифровые пароли и сливать данные с устройств. Полезно, безопасно, вот это все.
Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/
Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?
Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/
Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?
Apple Support
About the security content of iOS 11.4.1
This document describes the security content of iOS 11.4.1.
Forwarded from Информация опасносте
Дополнение к сегодняшней записи про USB Accessories блокировку в iOS 11.4.1
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.
https://support.apple.com/en-us/HT208857
Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:
If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer
То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.
В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -
and in some cases, it might not charge. Такие дела.
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.
https://support.apple.com/en-us/HT208857
Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:
If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer
То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.
В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -
and in some cases, it might not charge. Такие дела.
Telegram
Информация опасносте
Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно…
Первая бета Affinity Publisher (аналога Adobe InDesign) ожидается в августе с релизом осенью аккурат к новым Mac.
9to5Mac
Affinity Publisher beta for Mac slated to arrive before end of August
Affinity Publisher is an upcoming desktop publishing app that many are hoping will serve as legitimate Adobe InDesign alternative, much like sister apps Affinity Photo and Affinity Designer have se…
Как, возможно, будут выглядеть обновлённые iPad и WATCH + сравнение с нынешними моделями.
#слухи #концепт
#слухи #концепт
Twitter
яПрофи
Как, возможно, будут выглядеть обновлённые iPad и WATCH + сравнение с нынешними моделями #слухи #концепт
Информация опасносте
Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно…
Многие пользователи жаловались на то, что после установки iOS 11.4 аккумуляторы гаджетов стали разряжаться быстрее. Apple исправила это в iOS 11.4.1. Теперь заряд держится дольше.
Вышли новые MacBook Pro c 6-ядерным T2 процессорами Intel с поддержкой Hey Siri, 8-е поколение i7/i9, до 32 GB RAM, дисплеем True Tone и клавиатурой «Бабочка» 3го поколения, которая механически, похоже, не изменилась, но стала тише.
Apple настаивает, что проблема с клавиатурами очень и очень маленькая и затрагивает небольшое количество людей, поэтому необходимости в полном редизайне клавиатуры нет. Джони Айв лучше знает, какая вам нужна клавиатура!