Еще пара ссылок по теме канала, которые накопились за последнюю неделю:

Приложение для дверных звонков Ring напичкано сторонними трекерами для сбора аналитики, пишет EFF (тоже мне сюрприз, покажите мне мобильное приложение без аналитики)
https://www.eff.org/deeplinks/2020/01/ring-doorbell-app-packed-third-party-trackers

Уязвимости в популярном сервисе для телеконференций Zoom позволяли хакерам подслушивать чужие звонки
https://blog.checkpoint.com/2020/01/28/check-point-research-finds-vulnerabilities-in-zoom-video-communications-inc/

LabCorp, одна из двух крупнейших компаний по медицинским анализам в США, оставила уязвимость в своем сайте, где была также внутренняя система CRM. В итоге при желании можно было получить один документ с информацией о здоровье пациента. Подменяя последовательные номера документов, можно было получить также информацию на других людей
https://techcrunch.com/2020/01/28/labcorp-website-bug-medical-data-exposed/

мопед не мой, но все равно полезное

По данным Statcounter, Android является самой распространенной мобильной ОС в мире, на ее долю в настоящее время приходится 76% рынка. Доля пользователей iOS составляет 22%.

Постоянный рост числа пользователей и разнообразие экосистемы Android  делают платформу идеальной мишенью для кибератак. Стоит отметить, что 90% гаджетов не обновляются до актуальной версии ОС с исправленными уязвимостями. Неудивительно, что 99% мобильных вредоносных программ обнаруживаются именно на устройствах на Android.

В 2019 году лидирующие позиции по количеству задетектированных вредоносов, нацеленных на Android, заняли Россия (15,2%), Иран (14,7%) и Украина (7,5%).

В целом, количество детектируемого нежелательного ПО по сравнению с 2018 годом снизилось на 9% благодаря усилиям Google. Однако нельзя говорить о том, что угрозы в Google Play встречаются реже. Напротив, все чаще обнаруживаются трояны, замаскированные под безопасные приложения, которым удается пройти проверку безопасности.

Так, эксперты ESET недавно обнаружили активную рекламную кампанию в Google Play, продвигающую именно такую программу, и отследили ее оператора. Впоследствии выяснилось, что вредоносное приложение было загружено восемь миллионов раз.  

Кроме того, в августе 2019 года ESET проанализировала вредоносное ПО, замаскированное под приложение-радио, созданное с помощью шпионского инструмента с открытым исходным кодом AhMyth.

Важно отметить, что в 2019 году Google сделала серьезный шаг по повышению кибербезопасности экосистемы Android, создав альянс с лабораторией ESET по борьбе с киберпреступностью в Google Play.

Вторая по популярности мобильная платформа iOS в 2019 году столкнулась с уязвимостью, которая позволяла осуществить джейлбрейк версии 12.4.

Еще одна серьезная уязвимость позволяла злоумышленнику через приложение iMessage получить доступ к файлам пользователя.

Число обнаруженных вредоносов для устройств на iOS выросло на 98% по сравнению с 2018 годом, и на 158% по сравнению с 2017. При этом количество новых видов вредоносного ПО остается довольно низким.

Что касается географического распределения этих обнаружений, они в основном сосредоточены в Китае (44%), США (11%) и Индии (5%).

как добывают данные с телефонов, которые топили, жгли и разбивали в попытках скрыть данные
https://www.zdnet.com/article/burn-drown-or-smash-your-phone-forensics-can-extract-data-anyway/

из рубрики "преступление и наказание". пока не наказание, как таковое, но перспективно.

про компанию NSO Group, вредоносное ПО которой неоднократно было использовано для взломов политических активистов, журналистов, и, похоже, Джеффа Безоса (основателя Amazon), новости на этом канале выходили неоднократно. Точнее даже — многократно. Компания утверждает, что продает свои решения только правоохранительным органам для борьбы с преступностью и терроризмом, но, похоже, соответствует это истине не всегда. Тем более хорошо, что, похоже, ФБР решила изучить более внимательно, что там происходит
https://www.reuters.com/article/us-usa-cyber-nso-exclusive/exclusive-fbi-probes-use-of-israeli-firms-spyware-in-personal-and-government-hacks-sources-idUSKBN1ZT38B

красивая история про TeamViewer, хранящий пароли в зашифрованном виде в реестре Windows. И что пароль можно расшифровать. А при повторном использовании пароля в других местах известно что может быть. А TeamViewer на отчет о проблеме отреагировал одним письмом "мы посмотрим".

https://whynotsecurity.com/blog/teamviewer/

Все хорошо, прекрасная маркиза, за исключением одного. мы тут случайно ваши видео каким-то совершенно левым людям показали, но это так, мелочь, не стоит обращать внимания. Кстати, если вы закачивали свои данные, там тоже могут оказаться чужие видео. но это норма, подумаешь

Если у вас есть "умные" лампочки Philips Hue (достаточно массовые, надо сказать), то:
а) вам будет интересно узнать, что в этой системе была обнаружена уязвимость, позволяющая злоумышленникам проникнуть в локальную сеть с помощью эксплоита в протоколе Zigbee, используемом для управления различными IoT устройствами. Детали будут раскрыты чуть позже
https://blog.checkpoint.com/2020/02/05/the-dark-side-of-smart-lighting-check-point-research-shows-how-business-and-home-networks-can-be-hacked-from-a-lightbulb/
б) хорошие новости, что уже есть фикс прошивки для лампочек, так что надо просто запустить приложение для iOS или Android, и в настройках найти и установить обновление (правильная версия 1935144040)

Пользуясь случаем, воткну свою любимую картинку про архитектуру "умных" лампочек. Раньше достаточно было выключателем щелкнуть, но это было слишком просто. Нужен был вайфай, телефон, сервера, облака, вот это все. Так стало хорошо.

Кстати, про апдейты. Там еще если кто использует WhatsApp Desktop, нужно поставить апдейт в связи с этой уязвимостью. Она приводила к возможности чтения локальных файлов, если кликнуть по специальной ссылке из пришедшего сообщения.
https://www.facebook.com/security/advisories/cve-2019-18426
https://www.perimeterx.com/tech-blog/2020/whatsapp-fs-read-vuln-disclosure/

Пользуетесь планшетом Wacom на Маке? а он в рамках сбора аналитики сообщает производителю список всех приложений, которые вы запускаете у себя на компьютере. Даже те, которые к планшету никакого отношения не имеют. И вот так с этим везде — все пытаются собирать информацию, которая им не нужна, но зачем-то все равно собирают. каждая такая мелкая история со слежкой накапливается и уже чувствуется, что люди от этого устали.
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/

Возвращаемся к новости из далекого 2016 года. Там была история про видеокамеры наблюдения компании XiongMai Technologies, с использованием которых была организована DDoS атака. Благодаря этой атаке прилегли ресурсы у половины американского интернета
https://t.me/alexmakus/767

А исследователь безопасности Владислав Ярмак опубликовал детали о механизме бэкдора, который он обнаружил в прошивке устройств этой компании, включая камеры и записывающие устройства. Сами устройства работают на SoC HiSilicon, но проблема именно в прошивке компании Xiongmai (Hangzhou Xiongmai Technology Co, XMtech)
https://habr.com/en/post/486856/

И к новостям не таким давним. Пару недель назад я писал про компанию ClearView AI. Там стартапер-основатель, обпившись смузи, насобирал фоточек людей по социальным сетям и другим ресурсам, сделал нейронку с распознаванием лиц, и продает эти сервисы правоохранительным органам. Когда компании, у которых эти фоточки слили, услышали об этом, их юристы пустили слюну и тут же побежали в правильном направлении. Google, YouTube (то есть тоже Google), Twitter, и прочие уже прислали письма компании со словами немедленно прекратить использование фотографий, полученных с их сервисов, для распознавания лиц (потому что как правило документы с условиями использования таких сервисов открыто запрещают подобный сбор информации). Это пока не остановило основателя компании, который дал тут интервью, рассказывая, что то, что он делает, совершенно законно (нет), и защищено первой поправкой к конституции США (нет). Короче, чуваку явно нужен адвокат получше, а за этой сагой редакция канала продолжит следить с большим интересом.

https://www.cbsnews.com/news/clearview-ai-google-youtube-send-cease-and-desist-letter-to-facial-recognition-app/

Не очень длинная, но в целом познавательная статья о том, как перетекает информация из оффлайнового мира в онлайновый. В частности, речь идет о том, как онлайновые сервисы узнают о ваших намерениях и покупках в физическом ритейле, как после посещения магазина вас может преследовать реклама этого магазина и тд. Статья о том, как это устроено в США, но, думаю, в других странах ситуация может быть похожей.

Td;dr версия
Трекинг всего и вся: входы через открытые сети WiFi, приложения брендов и магазинов, заходы на сайты компаний, датчики Bluetooth в магазинах, информация о геолокации, пассивный трекинг через MAC-адреса устройств, последующий микс собранной персональной и неперсонифицированной информации для того, чтобы проследить конкретного пользователя. Частично помогает отключение BT и WiFi, но кто из нас реально это делает в своих телефонах? Не говоря уже о том, что мобильные операторы тоже занимаются продажей информации о пользователях всевозможным брокерам данных.

Короче, только лес, избушка, отсутствие электричества и интернета. И никакого ритейла.

https://www.vox.com/recode/2019/12/19/21011527/retail-tracking-apps-wifi-bluetooth-facebook-ads

Есть некая ирония в том, что у Фейсбука взломали корпоративный твиттер-аккаунт

https://twitter.com/Facebook/status/1225959837709697025

Исполнение кода на телефоне с правами демона Bluetooth в случае, если BT активирован на смартфоне с Android с 8.0 и 9.0 (на 10.0 демон просто падал)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022

Исправлена в патче за февраль (спасибо читателям, которые прислали ссылку)
https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-cve-2020-0022/

Тут ссылка на тред в твиттере, где, я так понимаю, пишут, что база данных избирателей в Израиле со всеми 6,5млн записей утекла в интернет
https://twitter.com/barzik/status/1226567613964312576

если сильны в иврите, то можно еще тут почитать (для подписчиков)
https://www.haaretz.co.il/captain/net/.premium-1.8509086

ДОПОЛНЕНИЕ

Статья на английском
https://www.haaretz.com/israel-news/elections/.premium-app-used-by-netanyahu-s-likud-leaks-israel-s-entire-voter-registry-1.8509696

История про Equifax - кредитное бюро в США, которое взломали в 2017 году, и украли практически все возможные данные на 150 млн американцев — получила свое продолжение сегодня.

Напомню, что об этой истории я писал неоднократно, в том числе и потому, что меня лично она, похоже, тоже затронула:
https://t.me/alexmakus/1352
https://t.me/alexmakus/1355
https://t.me/alexmakus/1367
https://t.me/alexmakus/1554
https://t.me/alexmakus/2551

Если интересно, походите по ссылкам, там и о взломе, и о том, какие данные украли, и о том, как этот взлом можно было предотвратить (потому что Equifax мудаки, конечно, и не исправили дыру в Apache Struts, о которой им сообщили задолго до взлома). Но сегодня я пишу об этом, потому что суд в США предъявил обвинение 4 членам китайской Народной Освободительной Армии именно во взломе инфраструктуры Equifax.

По ссылке — само обвинение:
https://www.justice.gov/opa/press-release/file/1246891/download

Почитав его, можно узнать о том, как происходил сам взлом, выгребание данных, маскировка от систем детекции взлома и тд. Все на английском, конечно, но что ж поделать. Представляю себе расследование со всеми логами промежуточных сервисов и серверов, которое привело в конце к фотографиям обвиняемых в конце этого документа.

https://meduza.io/feature/2020/02/10/ideya-prosta-ne-uprashivat-microsoft

на ночь глядя лучше не читать во избежание кошмаров

Уязвимости во множестве устройств Cisco, сразу 5 штук. Вместе с информацией об апдейтах и возможностях минимизации рисков

https://www.armis.com/cdpwn/

Очень хороший материал о том, как некоторые компании, предлагая клиентам бесплатные почтовые клиенты, зарабатывают сбором, обработкой и продажей пользовательских данных, не особо это раскрывая своим пользователям.
https://www.vice.com/en_us/article/pkekmb/free-email-apps-spying-on-you-edison-slice-cleanfox

Ответ компании, которой досталось больше всего в материале Vice
https://medium.com/changing-communications/a-reminder-of-how-we-use-data-and-protect-privacy-8b0cb2c5af71

В целом, даже немного ожидаемо, что за бесплатный продукт надо чем-то платить, хотя, похоже, не всем. Но почта — это такая чувствительная штука, что я бы лично поостерегся давать к ней доступ кому-либо вообще.