Есть тут среди вас пользователи смартфонов Xiaomi? Тут у Bloomberg вышла интересная статья о бизнес-модели компании, из которой следует, что Xiaomi старается быть больше похожей не на Apple, зарабатывая деньги на телефонах, а на Facebook, зарабатывая деньги на рекламе. 8.6% выручки и 39% прибыли компании - это от “internet services”, и 57% этих самых сервисов - это выручка именно от рекламы (оставшаяся часть - это игры). Xiaomi продаёт телефоны с минимальной маржей, а в последствии собирает информацию о том, как вы используете телефон и решает, что может быть вам интересно. Потом начинает рекомендовать приложения, в том числе и от сторонних разработчиков. За эти рекомендации Xiaomi получает деньги, так что фактически компания продаёт свою рекламную платформу в виде телефонов.

https://www.bloomberg.com/view/articles/2018-05-03/xiaomi-is-more-like-facebook-than-apple

Картинка про пароли в тему (спасибо читателю)
https://www.xkcd.com/936/

Сайт с Друпалом без апдейтов? Это не только дефейс, но и криптомайнинг. Вы знаете, что делать!
https://badpackets.net/large-cryptojacking-campaign-targeting-vulnerable-drupal-websites/

Как компании реагируют на утечки данных

Привет! Чуть меньше месяца назад я писал здесь в канале о возможных изменениях в iOS, которые бы позволили Apple минимизировать возможности некоторых компаний по взлому iPhone и получению данных с телефонов (t.me/alexmakus/1954). Вчера об этом написали друзья канала — ребята из компании Elcomsoft: по их словам, они, исследуя бета-версии и документацию, обнаружили упоминания и ссылки на функциональность USB Restricted Mode. Суть заключается в том, напомню, что по истечение 7 дней, если за эти 7 дней не было успешных попыток разблокировки телефона, Lightning разъем в телефоне превращается в тыкву, способную только заряжать телефон, но не передавать данные (для “оживления” нужно включить телефон и залогиниться с паролем). Сейчас в случае, если телефон, например, изъят у преступника и не выключался, специальные устройства от компаний Cellebrite и Grayshift могут обходить защиту устройств и сгружать данные с телефонов. Так вот, с помощью этого изменения в iOS 11.4 вероятность получения данных с телефона уменьшится: пока полицеские получат устройство, пока получат ордер на его обработку, и тд, и тп… Интересно, что в бета-версиях 11.4 пока что эта функциональность не присутствует, и официальных подтверждений, что она там появится, тоже пока нет. Теоретически до релиза 11.4 остается не так уж много времени, наверно, не больше месяца.

Запись в блоге Элкомсофт вот
https://blog.elcomsoft.com/2018/05/ios-11-4-to-disable-usb-port-after-7-days-what-it-means-for-mobile-forensics/

PS Меня больше интересует вот что. при всех разговорах Apple о том, что их устройства более безопасны, сам факт наличия сразу двух компаний, способных вскрывать телефоны и сгружать с них данные, почему-то на удивление мало освещения в прессе получает. Куда девались все прелести Secure Enclave? Почему Apple не мчится стремглав исправлять эти уязвимости, явно эксплуатируемые этими компаниями? (собака_подозревака.жпг)

Signal считается одним из самых безопасных мессенджеров, но даже у них бывает лажа. Оказалось, что уведомления на Маке по умолчанию сохраняются, а в них - тексты пришедших уведомлений. Упс. Надо отключать уведомления по умолчанию

https://objective-see.com/blog/blog_0x2E.html

https://motherboard.vice.com/en_us/article/kzke7z/signal-disappearing-messages-are-stored-indefinitely-on-mac-hard-drives

В прошлом году я уже писал про Trello и пароли в публичных досках (https://t.me/alexmakus/1331). Думаете, что-то поменялось? ХАХАХА

https://www.google.com.tr/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword

Очередное исследование на эту тему, теперь свежее
https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

Дайошь каждый год по напоминалке о Трелло, да и других публичных местах с паролями :)

Совершенно адская история про копировальные устройства. Пишут, что почти все они, начиная с 2002 года, содержат в себе жесткий диск, на который сохраняются документы, которые на нем копируются, печатаются, отправляются по факсу и тд. И, похоже, что когда эти устройства выводят из оборота, никто не заморачивается над удалением этих данных. Результат? Если купить такой бывший в использовании копировальный аппарат, с его диска можно собрать тысячи конфиденциальных документов. В этом убедились журналисты, купив 4 копировальных аппарата (по 300 долл каждый), а а там оказались и документы полицейских подразделений, и медицинские истории тысяч пациентов, и много всего другого интересного. Информация реально опасносте! (Правда, не очень понятно, зачем это все сохранять на устройствах по умолчанию)

https://www.cbsnews.com/news/digital-photocopiers-loaded-with-secrets/

Читатель тут добавляет про копиры:

«По копирам - есть вероятность, что отсканированное там не лежало в виде сохранённых файлов на диске копира. Вместо этого сканируемое сохранялось на диск операционной системой копира в процессе работы, а потом удалялось. Однако, поскольку простое удаление не приводит к затиранию содержимого на диске, а диски сейчас большие, восстановить удалённую информацию, тем более в виде картинок, достаточно легко. Есть вероятность, что упомянутая в статье бесплатная утилита - PhotoRec https://ru.m.wikipedia.org/wiki/PhotoRec»

Расширения для Chrome, ставятся из магазина, воруют пользовательские данные, криптят майну, ой, то есть, майнят крипту, никогда такого не было, и вот опять!
https://arstechnica.com/information-technology/2018/05/malicious-chrome-extensions-infect-more-than-100000-users-again/

Туда же - на тему мониторинга телефонов в Штатах
https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html

Привет! Все, надеюсь, отдохнули от праздников (и вся картошка посажена), поэтому возвращаемся к регулярным трансляциям плохих новостей из нашего мира, в котором информация опасносте! Пользуетесь PGP? Тут какие-то очень плохие новости по этому поводу: вроде как обнаружены критические уязвимости в PGP и S/Mime, позволяющие получить доступ к текстам зашифрованных писем, в том числе и тех, что были отправлены в прошлом. Информацию об этом можно почитать тут - там же и про вектор атаки: жертва получает специальное зашифрованное письмо, клиент его расшифровывает и подгружает внешний контент, который уже получает доступ к другому зашифрованному контенту в почте жертвы. Есть две части атаки, одна использует уязвимости в популярных почтовых клиентах, вторая _ уязвимости в спецификациях OpenPGP и S/Mime.
Много деталей тут https://efail.de/
И тут
https://efail.de/efail-attack-paper.pdf

Фиксов нет, рекомендация - отключить пока шифрование в почтовом клиенте, (вот рекомендация EFF по этому поводу https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now), отключить HTML рендер, ждать патчей почтовых клиентов, ждать апдейтов стандартов OpenPGP и S/Mime.

Такие дела

Вдогонку есть и альтернативное мнение про то, что проблема несколько раздута и не стоит распространять FUD - fear, uncertainty and doubt
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Хитрый фишинг - страница маскируется под настройки Хрома

Кстати, про eFail, о котором я писал утром (про почту, PGP и вот это все). Forbes вот пишет, что Apple им рассказали, что необходимые частичные исправления уже были внесены в iOS 11.3
https://www.forbes.com/sites/coxbusiness/2018/05/07/front-door-refresh-4-reasons-small-businesses-should-improve-their-websites/

Помните, я тут писал про багу с Signal на Маке, где тексты нотификаций сохранялись в открытом виде?
https://t.me/alexmakus/2059

Так вот, я тут пропустил, что уже апдейт вышел https://github.com/signalapp/Signal-Desktop/releases/tag/v1.10.1

Похоже, что USB Restricted Mode до iOS 11.4 всё-таки не доедет

https://gizmodo.com/it-looks-like-apples-tool-that-stops-cops-from-hacking-1826017460

Что ещё больше вызывает вопросы о том, что это за херня, что информацию с айфонов могут доставать, а Эпол ничего по этому поводу не делает. Напоминаю, что лучшая защита против этих «коробочек» для взлома айфона - сложные пароли.

Интересная тема с обходом двухфакторной авторизации

Evilginx project, which is a man-in-the-middle attack framework for remotely capturing credentials and session cookies of any web service. It uses Nginx HTTP server to proxy legitimate login page, to visitors, and captures credentials and session cookies on-the-fly. It works remotely, uses custom domain and a valid SSL certificate.

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/