Читатель пишет, что получил уведомление от FlightRadar24 о взломе и утечке пользовательских данных

В последние несколько дней вижу прям волну новостей и обсуждений среди определенного узкого круга товарищей о джейлбрейке для iOS 11.3-11.3.1. Да, это старая система, уже есть 11.4, и именно поэтому хочется напомнить, что апдейты Эпол выпускает не просто так, поэтому не забывайте их устанавливать. Потому что для кого-то джейлбрейк - это возможность поиграться с внутренностями системы, а для кого-то - возможность взломать чей-то телефон и украсть с него данные. iOS, конечно, в целом относительно безопасная система, но только в случае, если вы устанавливаете выходящие апдейты.

Кстати, еще про Apple. Тут читатель прислал ссылку на статью о том, что iPhone в iOS 12 (которая выйдет осенью) при звонке 911 будет автоматически передавать местоположение пользователя «куда надо» - в смысле в колл-центр 911, для того, чтобы облегчить поиск звонящего службам спасения (раньше-то определяли местоположение по номеру наземной линии, а сейчас 80% звонков в 911 происходит с мобильных устройств). Читатель предположил, что эта информация вписывается в тематику канала про «опасносте», мол, тут вам и информация о местоположении, и передаётся непонятно кому в коллцентр. Apple утверждает, что подобная информация будет передаваться только при звонках по номеру 911, и будет интегрирована с программным обеспечением, уже используемым в коллцентрах, и вообще они о сохранении частной информации при реализации такой функциональности думали в первую очередь.
В принципе, о сохранности информации надо беспокоиться всегда, и беспокойство пользователей тоже можно понять. Но судя по описанию проекта, там вполне должно получиться реализовать все безопасно без ущерба для пользователей
https://www.apple.com/newsroom/2018/06/apple-ios-12-securely-and-automatically-shares-emergency-location-with-911/

Наверно, сегодня уже будет «день Эпол». Подключаешь зашифрованный диск к Маку, вводишь пароль. Что-то там своё делаешь, потом отключаешь диск.... а осадочек-то остался. Если точнее, то не «осадочек», и скриншоты предварительного просмотра файлов с этого диска, который система QuickLook проиндексировала и наштамповала превьюшек файлов, из которых можно добыть информацию. Конечно, это требует физического доступа к Маку, но все равно как-то не очень приятно

https://objective-see.com/blog/blog_0x30.html

Сразу несколько читателей прислали мне ссылку с продолжением на рассказ о супербезопасном «умном» замке Tapplock, о котором я писал на прошлой неделе

https://t.me/alexmakus/2145

Так вот, там с этим замком оказалось все гораздо хуже. Выяснилось, что если зарегистрировать учетную запись в сервисе этой компании и залогиниться в неё, то можно вычислить и ID других аккаунтов (потому что они выдаются подряд), и можно стать авторизованным пользователем замков других пользователей, а также получить доступ к их персональной информации (включая адрес, по которому замок используется). ОЧЕНЬ УДОБНО

Компания, конечно, в спешке правит самые явные лажи, но помните об этом в следующий раз, когда решите, что настало время умных домов.

https://nakedsecurity.sophos.com/2018/06/18/the-worlds-worst-smart-padlock-its-even-worse-than-we-thought/

Хехехе. домашние гаджеты, познакомьтесь с DNS Rebinding
https://medium.com/@brannondorsey/attacking-private-networks-from-the-internet-with-dns-rebinding-ea7098a2d325

К предыдущей новости proof of concept и исходный код
https://github.com/brannondorsey/dns-rebind-toolkit

Готовый темплейт: «Криптовалютную биржу Х взломали, похитили Y денег»
http://bithumb.cafe/archives/33189

https://twitter.com/bithumbofficial/status/1009236771287150592?s=21

Немножко накопившихся за последнее время ссылок:

- коллекция всяких экспериментов по взлому айфонов
https://ramtin-amin.fr/#nvmedma

- ещё небольшая коллекция описанных уязвимостей iOS и Android
https://github.com/externalist/exploit_playground

- интересная статья про группировку Olympic Destroyer (считается, что это хакеры из Серверной Кореи)
https://securelist.com/olympic-destroyer-is-still-alive/86169/

- Google пообещала исправить утечку данных о местоположении из Google Home и Chromecast
https://krebsonsecurity.com/2018/06/google-to-fix-location-data-leak-in-google-home-chromecast/

В июне исполнилось 18 лет с появления, как говорят, первого мобильного вируса - Cabir. Распространялся по Bluetooth, заражал телефоны с Symbian (если кто помнит ещё такую ОС). Безвредный :)

Самые популярные четырехзначные пин-коды (по частоте использования в утечках, опубликованных на HIBP):
1234
1111
1342
0000
1212
1986
4444
7777
6969
1989
2222
5555
2004
1984
1987
1985
1313
5678
8888
9999

еще в тему — научное исследование по поводу вероятности использования пин-кода в виде даты рождения человека
http://www.jbonneau.com/doc/BPA12-FC-banking_pin_security.pdf

Забыл дополнить, что использование 4-значных пинов для телефонов и карточек (если банк поддерживает) сильно не рекомендуется

как чувак путем поиска и перебора данных подключался в случайные конференции Skype for Business
https://twitter.com/redeemedHacker/status/1009592415659941889

Ведя этот канал, постоянно ощущаю чувство дежавю. Вот опять, детский монитор Fredi легким движением руки превращается в камеру слежения…

https://www.sec-consult.com/en/blog/2018/06/true-story-the-case-of-a-hacked-baby-monitor-gwelltimes-p2p-cloud/

Будьте очень осторожны, замазывая важную информацию с помощью markup инструмента на iPhone - если использовать неправильный инструмент, то, задрав яркость на скриншоте, можно увидеть замазанный текст. Советуют использовать, например, прямоугольник с заливкой
https://twitter.com/thejohnwickham/status/1009525745864134656

Я тут пару раз уже писал о теме слежки за пользователями мобильных телефонов и их местоположении в США. Вкратце — был такой скандал, где мобильные операторы продавали эти данные другим компаниям, а те перепродавали этот сервис кому попало и как попало, включая их сайты с уязвимостями, позволявшие смотреть информацию вообще без всякой авторизации:

https://t.me/alexmakus/2065
https://t.me/alexmakus/2079

Так вот, сразу несколько новостей по этому поводу:
1. мобильные операторы в США сказали, что они разрывают свои контракты о передаче информации о местоположении телефонов с третьими сторонами
https://krebsonsecurity.com/2018/06/verizon-to-stop-sharing-customer-location-data-with-third-parties/
Вот ответы операторов сенатору Вайдену на его “депутатский” запрос “ДОКОЛЕ?”:
- Verizon https://www.wyden.senate.gov/imo/media/doc/Verizon%20Response%20to%20Sen%20Wyden%2006_15_18.pdf
- AT&T https://www.wyden.senate.gov/imo/media/doc/at&t%20letter%20to%20RW%206.15.pdf
- T-Mobile USA https://www.wyden.senate.gov/imo/media/doc/T%20Mobile%206-15-18%20Ltr%20to%20Sen.%20Wyden.pdf
- Sprint https://www.wyden.senate.gov/imo/media/doc/Sprint%20Letter%20to%20Sen.%20Wyden%206.15.18.pdf

2. Верховный Суд США сегодня принял решение, что правоохранительные органы должны получать ордер суда для того, чтобы запрашивать информацию о местоположении мобильного устройства у мобильных операторов. там еще речь идет о куче другой частной информации, включая банковскую информацию, переписку в СМС и почте, историю поиска в интернете и тд.
https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf

3. Такое решение должно окончательно добить бизнесы типа перепродажи информации о местоположении людей, которые внесли залог в суде, но потом в суде не появились. В США существует целая отрасль “bounty hunters”, которые охотятся за сбежавшими из-под залога, чтобы обеспечить доставку таких людей в суд. Вокруг этого есть еще пачка компаний, вносящих залог “в долг”, а bounty hunters потом находят сбежавших за процент. Короче, мутный бизнес, который активно пользовался сервисами по поиску людей через местоположение мобильного телефона. Большая статья с деталями на motherboard
https://motherboard.vice.com/en_us/article/9k873e/captira-phone-tracking-verizon-tmobile-sprint-securus-locationsmart-bounty-hunters

Если вдруг еще почему-то пользуетесь ICQ, то вам будет интересно узнать об уязвимости, которая позволяла подключаться к любому чату (уязвимость уже исправлена). За ссылку спасибо читателю
https://habr.com/post/414915/

Берегите ваши айфоны. Удаленный джейлбрейк через веб, в том числе и на iOS 12 какой-то из бет - показали на конференции. К релизу, думаю, Apple дырку пропатчит, но если вы на бете и параноите, то я бы по каким попало сайтам не ходил (правда, видео сейчас не грузится)
https://twitter.com/bellis1000/status/1010069992883343360

А вот ещё интересное видео - перебор 4-6 значных пинов на айфоне, вплоть до iOS 12, включая обход опции с удалением данных. Если вы ещё не используете сложный пароль на айфоне вместо простого ПИНа (впрочем, не только на айфоне), то я не знаю, зачем вы читаете этот канал
https://vimeo.com/276506763

Статья об этом видео
https://www.zdnet.com/article/a-hacker-figured-out-how-to-brute-force-an-iphone-passcode/

Короче, по поводу этого сообщением выше 👆оказалось, что все не так, как выглядит на видео (а выглядит как уязвимость в iOS, позволяющая обходить опцию удаления данных на устройстве при неправильно введённых паролях). Вот что пишет об этом автор видео:

https://twitter.com/hackerfantastic/status/1010631766087032832

По сути, автор посылал одной строкой пачку кодов для ввода, а оказалось, что iOS воспринимала их как один пин, хотя и выглядело это так, как будто пин-коды вводились по очереди.

А вот что сказала по этому поводу Apple:
"The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing"

Короче, автор поспешил и погнался за сенсационностью, но оказалось, что то, что он видит - не то на самом деле :)

Ещё статья по этому поводу
https://www.zdnet.com/article/a-hacker-figured-out-how-to-brute-force-an-iphone-passcode/