кибератаки они такие, всегда внезапно. Хотя известно, что медицинское оборудование работает зачастую под управлением старых операционных систем, и не все разработчики делают апдейты для этого оборудования. А  администраторы часто тоже не спешат устанавливать даже доступные обновления.  Короче, все плохо, как обычно. Но хорошо, что в случае с этой конкретной операцией все хорошо.
https://snob.ru/news/162977

по своему веселая история о том, как сотрудник компании NSO, известной своими вредоносными приложениями для смартфонов (которые она продает правительственным организациям), решил предложить эти инструменты кому-то на сторону за 50 млн долларов. (бэкдоры - это безопасно, говорили они… они не утекут, говорили они…)
https://motherboard.vice.com/en_us/article/9km99z/nso-group-employee-stole-code-sell-dark-web-50-million

ну и про “умные устройства”, как я люблю. Я уже как-то давно писал про историю с американским производителем телевизоров Vizio, который сканировал, что показывается на экране телевизора, и таким образом собирал информацию о пользователях для последующей продажи рекламы. Вот в NYT пишут о том, что многие SmartTV (не только Vizio) настолько умные, что у них установлено ПО Samba TV, которое анализирует данные с 13,5 млн ТВ в США для лучшего понимания предпочтений пользователей и последующего таргетинга их рекламой.

https://mobile.nytimes.com/2018/07/05/business/media/tv-viewer-tracking.html

Телевизоры Sony, Sharp, Philips и тд — модели этих производителей не только следят за тем, что смотрят пользователи, но еще и собирают информацию о других устройствах, с которых пользователи в этой же сети выходят в интернет (вот тут маркетинговая страница о том, что умеет их софт
https://platform.samba.tv/technology/)

По сути, это тот же попиксельный анализ, что был в случае с Vizio и распознаванием контента (фильмы, сериалы, игры)
https://t.me/alexmakus/966

Компания утверждает, что такой сбор данных обязательно сопровождается открытым соглашением пользователя, но мы-то знаем, как обычно это маскируется для того, чтобы пользователь, не думая и не читая, кликнул “Я согласен”. (в статье есть скриншо). Сама Samba TV не продает пользовательские данные, но использует собранную информацию для последующего таргетинга рекламой на других устройствах пользователей. Удивительно, что этим занимаются производители дорогих телевизоров — Sony та же. Их Bravia стоят кучу денег, но, видимо, им не хватает.
Отдельная проблема, конечно, в том, что пользователи, даже покупая “смартТВ”, не очень представляют себе их возможности, и не догадываются, что тут может быть такая продвинутая тема со сбором данных. Как страшно жить и смотреть телевизор при этом.

Играете в Fornite и читите (читирите)? ай-ай-ай! Так нехорошо. И опасно — обнаружили вредоносное ПО в составе читерского для Fortnite, которое в процессе читов еще и в трафик рекламу вставляло (методом MITM)

на англ
https://blog.rainway.io/how-we-discovered-a-virus-infecting-tens-of-thousands-of-fortnite-players-e5dd6fe1ff55

на русс (за ссылку спасибо читателю канала)
https://tproger.ru/news/fortnite-https-malware/

Привет. в своё время я тут много писал всякого про сервис Strava, который на основе данных, собранных от пользователей, опубликовал некую карту поездок и забегов, что привело к неожиданному раскрытию различных секретных данных. С помощью поиска можно найти записи по этому поводу, я свою позицию описал тут (https://t.me/alexmakus/1726)

Почему я об этом вспомнил? Вчера появилась очень похожая новость про другой сервис c очень похожей проблемой (ссылку об этом прислали мне примерно все). Bellingcat, известный своими расследованиями, обнаружил, что компания Polar, производитель популярного монитора сердцебиения, также предлагает и социальную сеть для своих пользователей. Оказалось, что в этой социальной сети публикуется в общедоступном виде достаточно много данных (а вообще - слишком много). Сервис позволяет найти определенного пользователя, и предоставляет в том числе и исторические данные по тренировкам этого человека до 2014 года.
https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/

То есть, например, зная место военной базы, можно обнаружить определенного военнослужащего (солдата, офицера), выяснить, когда и где он тренируется, причём не только на военной базе, но и дома. У Bellingcat есть большой список тех категорий пользователей, которых они обнаружили.

Более того, хуже то, что в настройках приватности у Polar, даже если поотключать всякие опции, все равно достаточно много информации остаётся публично доступной. И изменение настроек не влияет на исторические данные, что тоже очень неприятно. Там были и очень неприятные моменты, когда API позволяло выгребать данные даже по закрытым профилям. Короче, clusterfuck похуже Strava. Пока что Polar просто закрыл функцию своей публичной карты и опубликовал следующее сообщение
https://www.polar.com/en/legal/faq/public_and_private_training_data_statement

Можно долго спорить, что изначально виноваты пользователи, сами раздающие эту информацию (особенно если это солдаты на секретных базах), но подобные сервисы должны также думать больше о безопасности своих пользователях и потенциальных последствиях публикации таких данных. В общем, с момента истории со Стравой моя позиция по ссылке выше особо не поменялась. Берегите свои данные!

А еще выходные принесли историю про взлом сервиса TimeHop - сервиса, который показывал вам, что вы делали прошлым летом (в смысле, что вы там публиковали в этот день в прошедшие годы в социальных сетях).

Вот официальное заявление компании по этому поводу
https://www.timehop.com/security/

Кто-то залогинился в облачный сервис компании с админским логином(!) (2ФА - нет, не слышали), и после разведки (доступ был на протяжении 7 месяцев!) получили доступ к рабочей базе. Имена, адреса электронной почты, номера телефонов, и, что самое интересное - токены для доступа всех учетных записей 21 млн пользователей. Сервис утверждает, что сами данные пользователей (социальный контент) остался в неприкосновенности. Токены сбросили, так что при логине придётся пройти повторную авторизацию. Кроме этого, пере-подключить все социальные сервисы, которые вы захотите использовать с TimeHop. Короче, красиво у них там получилось обосраться

Ещё читатель прислал интересную ссылку про исследование вектора атаки на Smart TV через Hybrid broadband broadcast TV (HbbTV), формат доставки приложений в формате цифрового ТВ по стандарту DVB-T. Возможные варианты порчи жизни: модификации аналитических данных о просмотре программ, модификация контента для доступа с телевизора, криптомайнинг (конечно, куда без него), показ видео на экране вместо текущей трансляции, использование телевизора для доступа к локальной сети. Эти HbbTV приложения исходят из того, что сеть, по которой они транслируются, безопасна, и поэтому никак не подписываются телеканалами, их транслирующими. Пока что только исследование с потенциальными примерами, но от исследования до реальной атаки может пройти не так много времени. В целом, интересно почитать хотя бы о том, насколько разнообразен мир информационных опасностей, особенно в свете того, что мы все больше и больше окружаем себя «умными» гаджетами.

https://www.sstic.org/media/SSTIC2018/SSTIC-actes/smart_tvs_security_of_dvb-t/SSTIC2018-Article-smart_tvs_security_of_dvb-t-kasmi_lopes-esteves_claverie.pdf

Что вы как пользователь можете сделать? Если в телевизоре есть такие настройки, то лучше полностью пока что отключить HbbTV в телевизоре. А дальше - консорциум может улучшить спецификацию DVB, производители телевизоров могут улучшить безопасность своих телевизоров, и тд.

Привет. Вчера Apple выпустила официальное обновление iOS 11.4.1, и помимо обычного содержания исправлений безопасности, о котором можно почитать здесь (https://support.apple.com/en-us/HT208938), в самом обновлении есть интересная фича, о которой я неоднократно писал здесь в канале. Фича называется USB Accessories, и функциональность её достаточно простая: если час не разблокировать устройство, порт Lightning блокируется для передачи данных и работает только для зарядки устройства. Это сделано для борьбы с несколькими устройствами, которые научились перебирать простые цифровые пароли и сливать данные с устройств. Полезно, безопасно, вот это все.

Но прекрасные ребята из компании Элкомсофт обнаружили одну мелкую недоработку в реализации этого алгоритма.
https://blog.elcomsoft.com/2018/07/this-9-device-can-defeat-ios-usb-restricted-mode/

Если в течение этого часа с последней разблокировки iPhone или iPad в разъем Lightning подключить какой-нибудь аксессуар (например, переходник для фотоаппарата, чтения SD-карт, и тд), то режим USB Accessories не будет активирован по истечение этого часа. Если аксессуар отключить, то отсчет сбрасывается и начинает опять отсчитывать 60 минут. УПС. (как пишет Олег Афонин, переходники на minijack в этом случае не работают). Так что, видимо, какое-то время Apple получит буст продаж всяких аксессуаров, когда представители правоохранительных органов будут запасаться различными переходниками, чтобы сохранить доступность устройства для последующего взлома. Остается вопрос — это Apple прохлопала или все же это часть какого-то плана, о котором мы не знаем?

У D-Link украли сертификаты и подписывали им вредоносное ПО, используемое для воровства паролей. Хорошо.
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/

Читатель прислал интересную ссылку про обнаруженную багу в Убунте - по описанию, бага позволяет входить в систему без пароля, если при спящем компьютере заменить жесткий диск. Хмммм. Конечно, физический доступ - это физический доступ, н все равно выглядит как-то неприятно

https://habr.com/company/acribia/blog/416425/

Дополнение к сегодняшней записи про USB Accessories блокировку в iOS 11.4.1
(https://t.me/alexmakus/2223). Apple, оказывается, ещё вчера опубликовала документ, описывающий, как именно работает этот режим ограничения подключения USB-устройств к iOS гаджетам.

https://support.apple.com/en-us/HT208857

Из него я знал, что этот «обход» блокировки путём подключения аксессуара - это не недосмотр Apple, а предполагаемое поведение:

If you don’t first unlock your password-protected iOS device—or you haven’t unlocked and connected it to a USB accessory within the past hour—your iOS device won’t communicate with the accessory or computer

То есть поведение вполне ожидаемое. Но есть лингвистический нюанс: «or you haven’t unlocked and connected it to a USB accessory within the past hour». То есть «разлочил и подключило аксессуар». Но в случае, который описывают Элкомсофт, речь идёт о подключении аксессуара к залоченному устройству, у которого тикает таймер, и в этот момент он останавливается. Короче, не очень понятно до конца.

В качестве бонуса из этого документа можно также узнать, что при подключении некоторых устройств ios-гаджеты могут и не заряжаться (вот это может быть даже более неприятно) -

and in some cases, it might not charge. Такие дела.

Привет. Сегодня у нас коллекция из ссылок, в то или иное время присланная читателями канала:

https://xakep.ru/2018/07/10/bancor-attack/
криптовалютный обменник взломали. что-то невероятное, не помню, чтобы такое когда-либо происходило!

https://www.wired.com/story/facebook-gave-russian-internet-giant-special-data-extension/
какая-то сильная шумиха вокруг истории, когда Mail.ru с помощью своих приложений получала, как и Cambridge Analytica, и миллионы других разработчиков под Facebook, доступ к пользовательским данным, а теперь, когда Facebook начал постпенно перекрывать кислород, то почему-то Mail.ru такой доступ продлил на пару недель. История мутная, туда намешали и Мильнера, который собрал в кучу мейлру, и в Фейсбук инвестировал, и деньги от госструктур получал, в общем, тут много у кого подгорает.

https://xakep.ru/2018/07/11/settingcontent-ms-ban/
Microsoft запретила работу файлов SettingContent-ms в документах Office 365

https://www.wired.com/story/apple-china-censorship-bug-iphone-crash-emoji
https://arstechnica.com/information-technology/2018/07/iphone-crashing-bug-likely-caused-by-code-added-to-appease-chinese-govt/
как фильтрация тайваньского флага в айфоне привела к багу, который валил iPhone

https://tripwire.me/2JbIkvK
Крупный американский ритейлер Macy’s объявил о взломе системы, и о том, что в пользовательские аккаунты ходил вообще непонятно кто и как


Ну и совершенно адская история про то, как разработчик в Apple пытался украсть и продать на сторону секретные материалы по проекту автономного автомобиля компании
https://www.macrumors.com/2018/07/10/apple-employee-steals-trade-secrets/

Короче, тут такое дело. Помните, я недавно писал про то, как исследователи исследовали, не пишут ли приложения звук с микрофона, и в процессе обнаружили, что некоторые приложения используют аналитические сервисы компании Appsee и сохраняют происходящее на экране в видео или делают скриншоты? Так вот, у вас есть возможность прикоснуться, так сказать, к прекрасному в приложении сети Бургер Кинг, которая именно это и делает

https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6021526

немножко паникерский пост на Пикабу о том, что “собирают данные карты, все пропало”. Ну, допустим, не все пропало, подобные сервисы обычно достаточно неплохо анонимизируют данные, о чем, кстати, можно почитать в ответе менеджера по приложению из БургерКинга в этом посте
https://pikabu.ru/@SergeyBurgerKing

А вот тут можно и чуть детальней почитать о самой технологии записи экрана, применяемой в SDK Appsee
https://www.appsee.com/features/user-recordings

Интересно, что затрагивает это и пользователей Android, и iPhone, у последних вроде как запись приложением экрана должна приводить к запросу на разрешение этой записи (если используется ReplayKit). возможно, если речь идет о записи из определенного SDK в рамках одного приложения, то тогда запрос на разрешение не требуется, но все равно как-то нехорошо.

Кибератаки везде

И снова здравствуйте. Закрывая тему с Бургеркингом, их приложением и слежкой за пользователями, хочу дать ссылку на ТЖ, где в целом неплохо разобрались в вопросе и разложили все по порядку

https://tjournal.ru/73536-burger-king-i-zapis-ekranov-pochemu-kompaniya-otricaet-sbor-personalnyh-dannyh-i-kak-otkazatsya-ot-slezhki

От себя хочу добавить, что такие рекламные мониторилки — естественное развитие всяких Флурри и Крешалитикс, сообщающих информацию о пользователях, их поведении, и проблемах в приложении. Надо также понимать, что AppSee — не единственное аналитическое СДК, которое так делает, и какие там еще приложения подобную информацию сохраняют, мы просто пока не знаем. Очень надеюсь, что и Google, и Apple научатся отлавливать такие СДК с записью контента в приложении и будут их нещадно банить в своих магазинах.

Твит со скриншотами, поэтому я дам на него ссылку просто. Там обнаружили сканер и распознавалку автомобильных номеров, без всякой защиты транслирующей в интернет собираемую информацию. а сколько еще такой информации можно найти в интернете, когда создатели системы не задумываются даже о том, что к их информации кто-то может захотеть получить доступ
https://twitter.com/sshell_/status/1016887687779778560

тут такое дело… если вам слова eslint-scope что-то говорят, то эта ссылка для вас. там в версию 3.7.2 кто-то подложил что-то нехорошее, что пытается загрузить ваши данные вовне, поэтому будьте осторожны
https://github.com/eslint/eslint-scope/issues/39

Сразу две новости похожего плана

1. кто-то продавал данные по доступу к системам безопасности крупного международного аэропорта всего за 10 долларов (потому что доступ к RDP — кто там на него особо заморачивается)
https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

2. Кто-то продавал секретные военные документы о военных дронах всего за 150-200 долларов (потому что кто-то не сменил пароль на FTP-доступа на роутере)
https://www.bleepingcomputer.com/news/security/hacker-steals-military-docs-because-someone-didn-t-change-a-default-ftp-password/

еще очень полезная ссылка от читателя — браузер Chrome в борьбе за уменьшение рисков и последствий от проблемы Spectre (эксплуатация недостатков в спекулятивном исполнении команд в процессорах) включил изоляцию сайтов друг от друга. Таким образом, минимизируется риск, что вредоносный сайт сможет похитить информацию из памяти о другом сайте
https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html

Еще раз сделаем попытку закрыть тему одной бургерной компании, их мобильного приложения и “слежки за пользователями”. Теперь — ответом разработчиков самого приложения

https://habr.com/company/e-Legion/blog/417043/