Владельцам айфонов будет полезно узнать, что:
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/

б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785

в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы

короче, нет повода не обновиться.

интересное расследование Медузы об участниках группировки EvilCorp
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery

о них я писал тут
https://t.me/alexmakus/3169

16k get хорошо! спасибо, что читаете!

камеры Ring (компания принадлежит Amazon) в этом канале фигурируют, наверно, не реже, чем Фейсбук со всеми своими факапами. В основном по поводу того, как они дружат с полицией, и предоставляют без каких либо ордеров возможность полиции просматривать видео с камер, причем без уведомления владельцев камер. А была еще история про то, как сотрудники компании (с офисом в Украине) просматривали видео и идентифицировали объекты на видео. Но тут сразу две новости, и обе прекрасны сами по себе:

- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors,  которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279

Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras

Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.

Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того, чтобы их удалять. так вот, есть очень удобная страничка, на которой размещен большой список различных онлайн-сервисов. Там же сразу есть:
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/

фишинг в Телеграме. Надо отдать должное самому ТГ, сообщение пришло в 9.51, а в 9.59 аккаунт уже был отмечен как удаленный. Но я что хочу сказать. Фишеры - ленивые мудаки, даже английский текст нормально не смогли написать, эту белиберду с кучей ошибок должно быть стыдно распространять.

Кстати, раз уж ТГ удаляет отправителей, то такие сообщения тоже надо бы удалять, отмечая их как спам

По наводке читателя история про "умные" замки, которые можно вскрыть благодаря уязвимости, которую нельзя исправить. Потому что (сюрприз!) обмен ключами шифруется с использованием MAC-адреса устройства. Заходи кто хочешь, бери что хочешь!
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/

Воры украли(!) незашифрованные(!) диски с банковскими(!) данными 29 тысяч сотрудников Фейсбука (зарплаты, бонусы, частная финансовая информация). При этом сотрудник зарплатного отдела, потащивший с собой в машине эти диски, вроде как даже не имел права этого делать (wtf вообще)

https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees

ведя этот канал уже несколько лет, какое-то время назад начал испытывать сильнейшее чувство дежавю. мне все время кажется, что "об этой проблеме я уже писал". а они все повторяются и повторяются, вот как, например, история с ключами выше. А вот снова про детские "умные" часы, которые оказываются не такими умными. Марки, доступные на Амазон —  GreaSmart, Jsbaby и Smarturtle — предназначены для мониторинга детей. Все они идентичны аппаратно и программно, ошибка для всех часов общая: как минимум, часы умеют принимать по СМС файлы изменения конфигурации, что позволяет нападающему, используя пароль, установленный по умолчанию (123456), менять настройки часов. В итоге открываются возможности перехвата часов и слежки за перемещением детей совсем не родителям этих детей. Это как с "умными" телевизорами — самый простой способ в этом случае не покупать детям подобное барахло. А то им на часы потом начнут всякие любители поболтать с детишками звонить.

https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/

и снова понедельник, снова трудо выебудни! (ну, понедельник уже почти закончился, но неважно). просто полезная тулза, разбивающая параметры УРЛов на компоненты для дальнейшего изучения. это позволяет больше узнать о том, что же на самом деле закодировано в адресе

https://dfir.blog/introducing-unfurl/

Системы распознавания лиц в аэропортах, в платежных системах и других важных местах могут быть обмануты с помощью напечатанных трехмерных масок и даже фотографий. Никогда такого не было, и вот опять!
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/

Показали результаты фишинг-тестирования в одной компании, где фишинговое письмо рассылал IT-отдел. 15% человек кликнули на ссылку в письме, 6% ввели пароль. Админы, помните о том, что люди — самое слабое звено.

не успела Google и операторы запустить "новую SMS" — стандарт RCS для обмена сообщениями, как там уже нашли уязвимость, которая делает этот стандарт ничем не лучше, чем SMS.
https://www.wired.com/story/rcs-texting-security/

во-первых, это красиво... аналоговая очередь за цифровыми паролями!

https://twitter.com/svblxyz/status/1206948966442708992

Преступление и наказание:

Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102

Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it

Количество дней с последнего инцидента со смартчасами-трекерами для детей:
0

Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.  

https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners

преступление: взлом Zynga

https://t.me/alexmakus/3077

Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"