Привет! После длинных выходных редакции канала мы возобновляем свежие трансляции в мире инфоопасностей. К счастью, за время отсутствия обновлений интернет сломали всего лишь два раза (и починили), так что вы ничего особенного не пропустили. Для разминки предлагаю посмотреть на мнение организации OpenID Foundation по поводу системы Sign In With Apple (о которой я писал недавно тут
https://alexmak.net/2019/06/12/wwdc2019-sign-in-with-apple/). Это система аутентификации пользователей с применением Apple ID, которую Apple построила на базе OpenID, но без полной совместимости со стандартном. Это, по мнению организации, создаёт определенные риски для пользователей, которые будут пользоваться Sign In With Apple, поэтому организация призывает довести соответствие стандарту до полной совместимости.

Письмо организации
https://openid.net/2019/06/27/open-letter-from-the-openid-foundation-to-apple-regarding-sign-in-with-apple/
Список отличий реализации Apple
https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md

пользуясь случаем, компания Logitech передаёт привет своим пользователям! В нескольких клавиатурах, мышах и других устройствах компании, использующих Unifying USB Receiver, обнаружены уязвимости, позволяющие перехватывать набранный текст, а также отправлять свои текстовые команды на компьютер жертвы. Часть уязвимостей уже исправлена компанией Logitech, но некоторые пока остаются активными. Logitech обещает исправить их в августе. Как показывает материал по ссылке (за неё спасибо читательнице канала), найти и обновить прошивку устройства тоже не так просто.

https://www.heise.de/ct/artikel/Logitech-keyboards-and-mice-vulnerable-to-extensive-cyber-attacks-4464533.html

от читателя, zero day в Mac-клиентах Zoom https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

с Zoom, конечно, адосик тот еще:

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day.

AAAAAAAAAAA

и ответ Zoom
https://blog.zoom.us/wordpress/2019/07/08/response-to-video-on-concern/

короткая версия: “обновитесь до последней версии”

но вообще, возвращаясь к оригинальному репорту, лучше последовать его рекомендациям и удалить эту штуку
https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

Про преступления и наказания.

РАЗ

преступление: British Airway допустила взлом сайта и утечку данных около 500 тыс пользователей
https://t.me/alexmakus/2386

наказание: возможный штраф 183 млн фунтов
https://www.bbc.com/news/business-48905907

ДВА

преступление: взлом Starwood/Marriott, утечка данных на почти 400 млн человек
https://t.me/alexmakus/2531

наказание: штраф в 99 млн фунтов
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

а говорили, что GDPR совершенно бесполезный.

а прекрасная история про то, как подростки пробрались в ночью в свою школу, чтобы нарисовать там на стене свастику и прочие расистские оскорбления . маски на голову натянули, чтобы их не узнали. Только не учли, что их смартфоны автоматически, используя логины, подключились к сети школы, и их таким образом идентифицировали

The school’s WiFi system requires students to use individual IDs to get online. After they log in once, their phones automatically connect whenever they are on campus.
At 11:35 p.m. on May 23, the students’ IDs began auto-connecting to the WiFi. It took only a few clicks to find out exactly who was beneath those T-shirt masks.

https://www.washingtonpost.com/graphics/2019/local/teen-graffiti-hate-crime-divides-maryland-high-school/

Эта информация будет полезна читателям с устройствами на базе Android.

Исследование показало, что тысячи приложений на Android игнорируют запреты на права в операционной системе (о местоположении и другой информации) — несмотря на запреты пользователей, они обходят их.

Вот сам отчет https://www.ftc.gov/system/files/documents/public_events/1415032/privacycon2019_serge_egelman.pdf

Вот материал об этом на русском http://www.content-review.com/articles/47214/


А в качестве бонуса — свежая новость от CheckPoint о новом варианте вредоносного ПО для Android, которое уже заразило более 25 млн устройств. Вредоносное ПО использует известные уязвимости в Android и подменяет установленные приложения зараженными версиями без ведома пользователей. И название хорошее — Agent Smith

https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/

Тема с Zoom (популярное решение для телеконференций) и вебсервером, который разворачивало на Маке их решение, вчера, кажется, дошла до логического окончания. Вчера Apple протолкнула на Маки скрытый апдейт, который просто вычистил этот сервер от греха подальше. (веб-сервер, напомню, позволял другим пользователям без ведома подключаться к чужим конференциям, и оставался на Маке даже после удаления приложения). От пользователей никаких действий не требуется, все происходит в автоматическом режиме
https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/

Кстати, еще про Apple. Похоже, что кто-то сообщил компании об уязвимости в приложении Walkie-Talkie (такая рация на Apple Watch). Эта уязвимость позволяла стороннему человеку подслушивать с микрофона iPhone без согласия владельца (ЧТОВООБЩЕКАК)

We were just made aware of a vulnerability related to the Walkie-Talkie app on the Apple Watch and have disabled the function as we quickly fix the issue. We apologize to our customers for the inconvenience and will restore the functionality as soon as possible. Although we are not aware of any use of the vulnerability against a customer and specific conditions and sequences of events are required to exploit it, we take the security and privacy of our customers extremely seriously. We concluded that disabling the app was the right course of action as this bug could allow someone to listen through another customer’s iPhone without consent.  We apologize again for this issue and the inconvenience.

Apple утверждает, что информации об эксплуатации этой уязвимости нет, но пока нет фикса, функциональность Walkie-Talkie заблокирована
https://techcrunch.com/2019/07/10/apple-disables-walkie-talkie-app-due-to-vulnerability-that-could-allow-iphone-eavesdropping/

Никогда такого не было и вот опять.Сотрудники Google прослушивают аудио, записанные колонками Google Home и Google Assistant на смартфонах. Сотрудники прослушивают некоторые записи, чтобы улучшить систему распознавания, хотя пользователи не в курсе того, что это происходит. По некоторым записям, содержащим личную информацию, журналисты смогли вычислить персональные данные людей, чьи записи оказались в базе, и подтвердить с ними тот факт, что это их записи. Кроме того, в некоторых случаях там в анализируемые записи попадают фрагменты, которые не должны были быть записаны, потому что прозвучала фраза, похожая на “окейгугл”, но не Okay, Google. NOT CREEPY AT ALL
https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/

УТЕЧКА ДАННЫХ
https://twitter.com/11rcombs/status/1149219046598086656

на выходные у меня для вас есть 48 страниц отчета по изучению прошивок телекоммуникационного оборудования Huawei. Исследователи изучили 1,5 миллиона файлов из почти 10 тыс образов к 558 различным корпоративным устройствам Huawei. Выводы исследователи делают неутешительные. Если коротко — то все плохо, оборудование менее безопасно, сотни потенциальных уязвимостей для бэкдоров, включая захардкоженные логины и пароли и встроенные криптографические ключи. Масса непропатченных известных уязвимостей из опенсорса, потому что в некоторых случаях разработчики почемуто решали использовать древние 20-летние библиотеки вместо современных аналогов. Несмотря на обещания Huawei улучшать безопасность устройств, исследователи делают вывод, что она со временем ухудшается.

Даже если у вас нет времени читать весь документ, раздел Key Findings — это хорошее место получить общее представление о том, что говорится в отчете. Очень занимательное чтиво.

https://finitestate.io/wp-content/uploads/2019/06/Finite-State-SCA1-Final.pdf

у Evite унесли в начале года данные на пользователей, которые регистрировались в сервисе до 2013 года (потенциально имена, пароли и другую информацию). 101 млн записей, в основном адреса электронной почты приглашенных на события пользователей.
https://www.evite.com/security/update?usource=lc&lctid=1800182

полезная заметка о паролях и о том, что не так важна сила пароля, брат, как MFA
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984

интересная тема с фоточками у Фейсбука. при загрузке фотографии на ФБ, я так понял, ФБ добавляет в фотографию немного своей информации в виде некоего тэга. Поэтому если кто-то, например, скачает такую фотографию, а потом зальет её на ФБ, то ФБ на основании своей добавленной инфы сможет просечь происхождение фотки и связать между собой этих двух людей.

https://twitter.com/oasace/status/1149181539000864769

Оказалось, что это не новость и обсуждалось еще в 2015 году
https://stackoverflow.com/questions/31120222/iptc-metadata-automatically-added-to-uploaded-images-on-facebook

вот еще комментарий на Реддите по этому поводу о возможностях трекинга
https://www.reddit.com/r/privacy/comments/ccndcq/facebook_is_embedding_tracking_data_inside_the/etoz2m9/

ничего удивительного в том, что у Инстаграмма тот же механизм обнаружился
https://www.reddit.com/r/privacy/comments/ccrtlv/instagram_is_also_embedding_tracking_data_in_the/

Корпорация добра!

Я, кстати, хотел добавить комментарий про FaceApp (модный в последние пару дней проект, в котором приложение, используя ML, “старит” человека на фотографии). А то там в интернете чего только не напишут по этому поводу, включая то, что якобы приложение передает всю библиотеку фотографий на сервер разработчиков приложения (на самом деле нет).

Тот факт, что разработчики из России, добавляет истеричности многим комментаторам. Исследования сетевого трафика показали, что передачи всех фотографий не происходит, а в iOS приложение использует специальное системное API, дающее пользователю возможность указать одну фотографию для доступа приложения. Но при этом обработка фотографии происходит на сервере, и разработчик недостаточно четко коммуницирует эту информацию, что фотография передается на сервер. Что еще происходит с собранными фотографиями на сервере — тоже непонятно; сколько они хранятся, удаляются ли после обработки, передаются ли третьим сторонам. Короче, на ваше усмотрение.

ВАЖНЫЙ АПДЕЙТ
Разработчики FaceApp написали касательно вопросов о приложении, включая про хранение и удаление фотографий

We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:
1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696).  We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.

Если вы создавали свою учетную запись в Slack до марта 2015 года, то сегодня вам могут сбросить пароль. Ситуация связана со взломом 4-летней давности, когда взломали инфраструктуру Slack,  и украли некоторую пользовательскую информацию, включая хеши паролей. В свете свежеобнаруженной информации Slack решил еще вдогонку некоторым пользователям сделать принудительное повышение безопасности
https://slackhq.com/new-information-2015-incident

Тред у Мозиллы по поводу интернет-инноваций в Казахстане, где теперь все пользователи интернета должны улучшить свой интернет путем установки сертификата "для улучшения безопасности" — по сути, такая прекрасная государственная MiTM атака. Читать-то https-трафик хочется.
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114

материал по поэтому поводу
https://meduza.io/news/2019/07/19/zhiteley-kazahstana-obyazali-ustanovit-sertifikat-bezopasnosti-dlya-zaschity-ot-hakerskih-atak-i-prosmotra-protivopravnogo-kontenta