Привет, с вами после длинного викенда снова воодушевленная разными новостями редакция канала “информация опасносте” в моем лице.

1. Начнем с поправки касательно Fortnite и её распространения на Android мимо Google Play. Меня несколько человек поправили, что в целом инсталляция одного приложения на android без Google Play в последнее время немного модифицировалась и можно временно “снять” галку для одной установки, после чего опция установки из других источников выключится (или включится?) обратно. То есть конкретно для этого кейса это как бы безопасно, хотя сам факт распространения приложения не через официальный канал потенциально несет в себе угрозу для пользователей. Уже даже сейчас в интернете встречаются вредоносные приложения для Android, маскирующиеся под Fortnite, а с выходом официальной наверняка появятся и перепакованные версии, несущие в себе отдельные “бонусы”. Короче, имхо, жадность за 30% выручки перевесила потенциальные эффекты для безопасности пользователей, и это немножко удручает.

https://www.eurogamer.net/articles/digitalfoundry-2018-fortnite-on-android-doesnt-use-google-play-confirmed

АПД Эти ваши Андроиды хрен разберешь. Читатель пишет, что “Опция, которая автоматически отключается — фича производителя, а не ОС. Первым её сделал Самсунг 3 года назад. В самой ОС же механизм изменился только в 8-ке: теперь опции нет. Теперь есть пермишен
https://myachinqa.blogspot.com/2017/10/android-80-2-target-android-80-api.html?m=1”


2. А вот тут еще вчера Wall Street Journal писал о переговорах Facebook с банками в США по совместному обмену данными. Заголовок звучит достаточно устращающе — “Facebook to Banks: Give Us Your Data, We’ll Give You Our Users”
https://www.wsj.com/articles/facebook-to-banks-give-us-your-data-well-give-you-our-users-1533564049

Известно, что Фейсбук собирает много оффлайн-данных для скрещивания с онлайн-данными для получения более полной картины о пользователях. Так-то вроде бы речь идет о том, что ФБ предлагал бы пользователям возможность продажи-покупки товаров в социальной сети, проверку баланса счета, уведомления о мошеннических операциях. При этом, конечно, в этот список попадает и такая полезная информация, как данные по транзакциям по картам. Фейсбук, правда, утверждает, что он не будет использовать эту информацию для таргетирования рекламы или передавать эти данные третьим лицам, но все равно звучит как-то стремно и неприятно. К счастью, банки в США — те еще консерваторы и любят хранить данные о своих клиентах у себя и не делиться ими по возможности с кем попало, поэтому я надеюсь, что ФБ их так легко не уговорит.


3. На прошлой неделе я писал про развод по почте с вымогательством выкупа за якобы имеющиеся записи неприличного поведения получателя письма на каком-то порно-сайте (https://t.me/alexmakus/2280). Вот еще по этому поводу статья https://www.the-parallax.com/2018/08/06/porn-extortion-scam-breached-passwords/, резюмировать которую можно так:
- Игнорируйте это
- Не реюзайте пароли
- Пользуйтесь менеджерами паролей
- Чаще применяйте двухфакторную авторизацию.


4. 200 тысяч роутеров Mikrotik в Бразилии заразили вредоносным ПО для майнинга криптовалюты.

https://twitter.com/bad_packets/status/1024868429797322753

Злоумышленники использовали уязвимость в прошивке роутера для, по сути того, чтобы организовать MiTM атаку, и вставлять майнинговый html/js код в страницы, которые загружали пользователи на устройствах, подключающихся через роутеры
https://threatpost.com/huge-cryptomining-attack-on-isp-grade-routers-spreads-globally/134667/

По просьбе знакомых даю ссылку на вакансию директора по IT-безопасности. уверен, в канале найдется немало подходящих кандидатов
https://www.rferl.org/jobs/detail/TEC2039-1801.html

Хотел завтра опубликовать (то есть позже сегодня по времени многих из вас), но держаться нету сил. У Snapchat, оказывается, утекла часть исходного кода приложения для iOS, который обнаружился на GitHub. Snapchat прислал тут же DMCA запрос на блокировку доступа

https://github.com/github/dmca/commit/7f359b0798e924363ac16910514b1f0e5a9d6fa1

Правда, в интернете как утекло, так уже и не вырубишь топором, потому что некоторые юзеры пишут, что у них код остался
https://twitter.com/iSn0we/status/1026738393353465858

Немножко смешной (и одновременно грустный) твит чувака, который купил машину и тут же у дилера, используя известную уязвимость, хакнул мультимедийную систему и поставил туда Android Auto. Автопроизводители еще долго будут осознавать, что software is hard

https://twitter.com/0xAmit/status/1027341134228533250

какой интересный проект — Social Mapper. использует распознавание лиц для того, чтобы находить людей в разных социальных сервисах. Видимо, чтото типа нашумевшего FindFace, распознававшего пользователей в ВК, но тут поддерживается список сетей побольше:
LinkedIn
Facebook
Twitter
GooglePlus
Instagram
VKontakte
Weibo
Douban

Можно использовать для поиска информации о жертве в разных соцсетях (не то, чтобы я призываю вас это делать)

https://github.com/SpiderLabs/social_mapper

современные СМИ такие СМИ. Статья о том, что ААААА, МИЛЛИОНЫ СМАРТФОНОВ С УЯЗВИМОСТЯМИ, блаблабла (якобы Министерство безопасности США обладает информацией о уязвимостях в смартфонах, позволяющих получить полный контроль над телефоном, доступ к данным и тд), но никакой технической информации в статье не присутствует — что за платформа, какие версии, какие производители, и тд, и тп.). Так и рождаются мифы о том, что “к микрофонам всех телефонов можно скрытно подключиться и слушать их”
https://www.fifthdomain.com/show-reporters/black-hat/2018/08/07/manufacturing-bugs-allow-millions-of-phones-to-be-taken-over-dhs-project-to-announce/

Я тут много писал про iOS и USB Accessories Mode, так вот этот пост не о нем 🙂 Пару дней назад, как вы, возможно, знаете, вышла финальная версия Android 9 (он же Pie), и Elcomsoft опубликовал у себя в блоге сравнение функциональности по включению фич безопасности между iOS и Android. Теперь в обеих системах, если вы чувствуете какую-то опасность, вы можете сделать так, что отключится разблокировка телефона по сканированию пальца (или лица), на экран перестанут выводиться уведомления и тд. В принципе, и в iOS, и в Android идея одна и та же, разница, однако, как всегда, в нюансах. Например, на iOS достаточно даже в кармане зажать две кнопки, а на Android нужно еще на меню выбрать специальную опцию (не говоря уже о том, что этот режим Lockdown выключен по умолчанию). Почитайте сравнение, мне показалось, что в iOS это все-таки сделано лучше
https://blog.elcomsoft.com/2018/08/android-pie-lockdown-option-a-match-for-ios-sos-mode/

Читатель прислал ссылку на статью в, простите, “Известиях”, о якобы уязвимости в Телеграмме, которая позволяет вычислить номер телефона пользователя. Там тоже детали никто не раскрывает, только уточняется, что по запросам МВД уже ведется поиск пользователей. Честно говоря, выглядит как пугалка какая-то, да и источник так себе. Вообще беглый гуглинг показывает прям какую-то вспышку новостей про страшно уязвимый и небезопасный Телеграм, как будто это какая-то спланированная кампания по дискредитации мессенджера. (собакаподозревака.жпг)
https://iz.ru/769085/anzhelina-grigorian/deanonimnyi-telegram-v-populiarnom-messendzhere-nashli-uiazvimost

еще парочка ссылок на почитать:

- взлом WPA PSK https://hashcat.net/forum/thread-7717.html
(скорей бы уже распространился WPA3)

- производитель процессоров TSMC (делает процессоры для iPhone) признался, что у них был простой в производстве из-за того, что непропатченные Windows 7 компьютеры (!!!) подхватили WannaCry (!!!)
https://www.v3.co.uk/v3-uk/news/3037154/tsmc-chip-production-knocked-offline-by-wannacry-virus-outbreak-affecting-unpatched-windows-7

вдогонку про Телеграм и “деанонимизацию”, сразу несколько пользователей прислали различные объяснения этой истории, я скопирую парочку сюда, и закроем эту тему

(АПД. Тут какието странные ссылки были, которые почемуто вели на каналы, а не на конкретные посты, поэтому я их пока что убрал). Но, суть, короче, в том, что все отталкивается от баз номеров телефонов.
https://t.me/tlgblog/336
https://t.me/tgmarketing/956

Как известно, самый безопасный интернет - это когда никакого интернета!

Привет. Поскольку трудо выебудни заканчиваются и впереди выходные, сегодня набор ссылок вам на почитать на выходных:

1. Хардварный бэкдор в процессорах x86
прежде чем вы побежите выбрасывать свой компьютер с процессором Intel, отмечу, что речь идёт о процессорах VIA C3, используемых в промышленной автоматизации, кассовых аппаратах, банкоматах и медицинском оборудовании. Последующие поколения процессоров не содержат этого бэкдора

https://github.com/xoreaxeaxeax/rosenbridge/blob/master/README.md

2. Кстати, об уязвимостях банкоматов. Коммерсант пишет об уязвимости в банкоматах NCR,  используемых российскими банками, которая позволяет устанавливать на сейфовую часть банкомата, выдающую купюры, устаревшее программное обеспечение и отправлять команды на снятие наличных (УДОБНО!). Собственно, прикол в том, что об уязвимости известно еще с февраля этого года, но российские банки почему-то не знали об этой проблеме и её исправлении. Чтобы исправить её, нужно вручную подключаться к каждому устройству, а поскольку таких банкоматов в России около 40 тысяч, то, видимо, банки особо не спешат это делать, а попытки успешных взломов скрывают.

https://www.kommersant.ru/doc/3708881

Дополнение про проблему с шифрованием WiFi, о которой я писал вчера (https://t.me/alexmakus/2304) прислал читатель канала:

Про уязвимость WPA ( https://hashcat.net/forum/thread-7717.html ) - уязвим только WPA Enterprise (802.1X) с включенными расширениями роуминга 11r/k/i/q, т.е. потенциально уязвимы только "серьезные" корпоративные сети. Стоит напомнить, что например у популярного Ubiquity роуминга на базе 11r/k/i/q нет.

В Вегасе в эти дни проходит конференция Black Hat, и там вообще много всего интересного рассказывают. В частности, два эксперта обнаружили способ скомпрометировать новый Мак, прямо из коробки при первом подключении к WiFi. Уязвимость связана с поддержкой систем mobile device management и device enrollment program. Мак при первом включении обращается к Apple, чтобы уточнить, что он принадлежит к какой-то корпорации и должен пройти автоматический процесс установки софта и настроек. Этим обычно занимается третья сторона - провайдер МДМ-решения. Так вот, исследователи нашли уязвимость, позволяющую «воткнуться» между сервером МДМ-сервиса и устройством жертвы, и во время настройки «натолкать» в Мак всякого вредоносного ПО. Атака сама по себе довольно нетривиальная и сложно реализуемая, но нельзя сказать, что невозможная. Исследователи смогли продемонстрировать ее только потому, что один из них работает в МДМ-вендоре и смог без проблем установить такой промежуточный MITM-сервер между компьютером и MDM-решением. Дополнительные детали по ссылке, но вообще полезно будет узнать, что в 10.13.6 эта уязвимость уже исправлена.

https://www.wired.com/story/mac-remote-hack-wifi-enterprise/

В рамках пятничного развлечения можете почитать статью, как хакеры, собравшиеся на DEF CON в Вегасе, развлекаются с доступными им устройствами (то термостат хакнут, то флешки с вирусами разбросают, и тд)
https://mashable.com/2018/08/09/def-con-hackers-break-las-vegas/

Привет. История дня — это статья в Associated Press о том, что Google  следит за вашим местоположением на телефоне, даже если вы запретили в настройках приватности для Google Maps отправлять вашу информацию о местоположении на сервера Google. В общий котёл сваливается информация о местоположении, когда вы просто запустили приложение Maps, если вы открывали погодное приложение на Android. Поисковые запросы в интернете тоже сохраняются в ваш Google Account.

Чтобы полностью отключить трекинг местоположения, привязанный к аккаунту, нужно хорошенько покопаться в настройках Google на вебе. Раздел Web and App activity можно поставить на паузу, и тогда активность с любого вашего устройства не будет сохраняться в аккаунте.
настройки аккаунта тут
https://myaccount.google.com/activitycontrols

(причём там же в настройках просто Location History отключить недостаточно, пишет AP).


Детали статьи AP можно почитать по ссылке ниже

https://apnews.com/828aefab64d4411bac257a07c1af0ecb

Привет! Сегодня у нас еще одна тема дня, ссылку на которую мне прислали примерно половина читателей канала.

Все началось вот с этой статьи на BBC с прекрасным заголовком «Следственный комитет России закупает "волшебные кубы" из Китая для взлома Telegram»

https://www.bbc.com/russian/features-45172681

Дальше, конечно, поползло по всяким СМИ разной степени желтизны
https://www.novayagazeta.ru/news/2018/08/14/144160-bi-bi-si-sledstvennyy-komitet-zakupil-kompleksy-dlya-vzloma-telegram-na-smartfonah

https://www.bfm.ru/news/392195

(Заголовки лучше другого — « «Волшебный куб» из Китая взломает Telegram для СКР за 9 минут»).

Я пообщался с экспертами в теме, которые сказали, что основная специализация MagiCube вовсе не по мобильным телефонам, они специализируются по изъятию и декодированию данных с жестких дисков компьютеров - то есть, в частности, в первую очередь работают с бекапами данных от смартфонов. откуда там взялись 9 минут на взлом айфона (по сравнению с сутками на устройствах Cellebrite, эксперты не смогли ответить). Пасскоды к айфонам эти кубы не подбирают. Так что осторожно с чтением советских газет до обеда, вместо обеда, после обеда и вообще осторожно с газетами. Журналисты там еще и не такое напишут.

Кстати, даже видео в статье BBC очевидно демонстрирует клонирование жесткого диска компьютера в этом «чемоданчике» с последующим анализом. Так что либо тут журналисты что-то намутили, либо продавцы в тендере наобещали больше, чем устройство может... ну, в общем, я думаю, вы поняли.

Ховайся кто можит! ФБР предупредила о предстоящей атаке на банкоматы по всему миру. Детали как-то мутноваты, но вроде бы был какой-то взлом у компании, выдающей Карты, поэтому возможна одновременная попытка неограниченного снятия наличных в банкоматах различных банков. Больше деталей по ссылке
https://krebsonsecurity.com/2018/08/fbi-warns-of-unlimited-atm-cashout-blitz/

И снова здравствуйте! Сегодня несколько ссылок с короткими комментариями. Он сказал "Поехали" и нажал энтер:

1. Один клик — все, что нужно, чтобы обойти защитные механизмы в технологии Accessibility в macOS 10.13 High Sierra (проблема исправлена в 10.14). Деталей маловато, но вот что есть:
рассказ об уязвимости https://www.defcon.org/html/defcon-26/dc-26-speakers.html#Wardle2

сама уязвимость https://nvd.nist.gov/vuln/detail/CVE-2017-7150

2. Тоже рассказ с конференции BlackHat об уязвимости в кардиостимуляторах компании MedTronic и других медицинских устройствах компании.
https://www.blackhat.com/us-18/briefings.html#understanding-and-exploiting-implanted-medical-devices

Тут вам и апдейты без HTTPS, и неподписанные прошивки, и уязвимость со стороны сервиса обновлений компании. Манипулируя прошивкой, можно нанести вполне конкретный физический вред пациенту. Все, как я люблю.

Больше текста по этому поводу и на русском тут
https://xakep.ru/2018/08/14/future-is-now-arent-you-happy/

(кстати, о подобных уязвимостях в "умных" капельницах я писал както давно https://t.me/alexmakus/378)

3. "Как сделать так, чтобы Spectre отпустил, пожалуйста", наверняка задаются вопросом в Intel. Но он все не отпускает, и тут обнаружили очередную спектро-подобную уязвимость в Software Guard Extensions — самом безопасном элементе процессора. Встречайте Foreshadow — новый вид атак на компьютеры с процессорами Intel, затрагивающими виртуальные машины, гипервизоры, память ядра и тд. Как же страшно жить-то, а...

https://foreshadowattack.eu/

Привет, 13000+ читателей канала (хотя количество туда-сюда немножко флуктуирует, но все равно очень круто). На сегодня у меня для вас есть такие интересные новости:

- редакторы канала, посвященного таблицам Google, подготовили специальную таблицу, которая позволяет проводить некий мини-аудит таблиц Google в вашей учетной записи, которые потенциально могут быть доступны для индексации поисковыми механизмами. На волне новостей о том, как то Яндекс, то Google позволяют находить общедоступные таблицы с паролями и прочей конфиденциальной информацией, это может оказаться полезным!

https://t.me/google_sheets/314