Aaaaaaaaaa

https://twitter.com/VinLew/status/1229647391864672256

я тут неоднократно писал про устройства компании Ring, и про то, как компания дружит с полицией, передавая ей данные, полученные с камер умных звонков и проч, и про то, как в новостях периодически всплывают истории про злоумышленников, подключающихся к чужим камерам. Кажется, как минимум со второй проблемой компания наконец-то решила разобраться, и ввела обязательную двухфакторную аутентификацию для пользователей
https://blog.ring.com/2020/02/18/extra-layers-of-security-and-control/

интересный материал у Motherboard о компании Yodlee, которая собирает и продает информацию о банковских транзакциях в американском ритейле. По утверждениям компании данные анонимны, но внутренние документы показывают, что с помощью доступной информации можно деанонимизировать пользователей. Вот так и объединяют потом данные из оффлайн-ритейла с онлайновыми профилями.
https://www.vice.com/en_us/article/jged4x/envestnet-yodlee-credit-card-bank-data-not-anonymous

Хорошие новости, которые, к сожалению, случаются реже, чем хотелось бы. Google занялась геноцидом приложений, которые следят за геолокацией пользователей в фоновом режиме:
1. у пользователей будет больше опций по управлению тем, как приложения получают информацию о геолокации
2. Сама система будет регулировать доступ к этой информации в фоновом режиме
3. Появится дополнительная проверка в Google Play на получение информации о геолокации в фоновом режиме

https://android-developers.googleblog.com/2020/02/safer-location-access.html

Safari для macOS и iOS с 1 сентября 2020 года перестанет показывать как доверенные сертификаты, срок службы которых составляет больше 398 дней. Этот шаг должен подстегнуть админов чаще обновлять сертификаты, чтобы уменьшить количество потенциально украденных и переиспользованных сертификатов в фишинговых и других атаках. Это также должно обеспечить поддержку самых последних изменений криптографии в сертификах. Ожидается, что Google, Firefox и Microsoft последуют этому шагу в ближайшее время.
https://www.theregister.co.uk/2020/02/20/apple_shorter_cert_lifetime/

а, и еще с прошлой недели про утечку данных клиентов MGM Resorts
https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/

DNS over HTTPS в Firefox, пока что по умолчанию включено только в США, но при желании можно включить и для остальных территорий
https://blog.mozilla.org/blog/2020/02/25/firefox-continues-push-to-bring-dns-over-https-by-default-for-us-users/

https://arstechnica.com/information-technology/2020/02/medical-device-vulnerability-highlights-problem-of-third-party-code-in-iot-devices/

как известно, S в IoT означает Security

Кстати, вдогонку про IoT и медицинские устройства. Целая пачка уязвимостей в BTLE потенциально делает несколько сотен различных гаджетов, включая медицинские устройства, уязвимыми к атакам. Проблема заключается в том, что уязвимость присутствует в SoC нескольких крупных вендоров "умных" устройств — Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics и Telink Semiconductor. Они выпустили свои патчи, но займет какое-то время, пока они дойдут до устройств, плюс некоторые другие вендоры пока что работают над исправлением ошибок. Эксплуатация уязвимостей может приводить к перезагрузкам устройств, их блокировке или обходу их систем безопасности.

https://asset-group.github.io/disclosures/sweyntooth/

Очередное приложение для слежки (за партнерами, детьми и тд)  оставило открытым свой сервер в интернете. Приложение KidsGuard сохраняло данные в бакете на Alibaba, и с телефона (где, кстати, не показывалась иконка приложения, и работа его была незаметна) туда сливалось почти все, включая фотографии, видео, историю чатов и записи звонков. Не делайте так, не ставьте на телефоны дорогих вам людей эти приложения для слежки. Мало того, что это неэтично, так еще и все эти компании пишут свои продукты за три копейки дешевыми аутсорсерами, и в итоге данные людей, за которыми ктото решает последить, оказываются потом доступными в интернете кому попало. Практически со всеми этими компаниями это уже было — можно поискать в истории канала mSpy или Flexispy.

https://techcrunch.com/2020/02/20/kidsguard-spyware-app-phones/

Вредоносное ПО xHelper для смартфонов Android, открывающее бэкдор в телефоне, умудряется заражать телефон даже после сброса до заводских настроек. (Хитрожопы создают папки com.mufc, которые почему-то не удаляются с телефонов при сбросе настроек)

https://blog.malwarebytes.com/detections/android-trojan-dropper-xHelper/
https://blog.malwarebytes.com/android/2019/08/mobile-menace-monday-android-trojan-raises-xHelper/
https://blog.malwarebytes.com/android/2020/02/new-variant-of-android-trojan-xHelper-reinfects-with-help-from-google-play/

Позавчера вышел апдейт к Chrome, и лучше бы его всетаки поставить - в нем исправлено несколько уязвимостей, к которым уже есть публичные эксплойты

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1
https://blog.exodusintel.com/2020/02/24/a-eulogy-for-patch-gapping/

не забывайте обновлять сертификаты, лол

А помните, я несколько недель назад писал о компании Clearview AI?

tl;dr версия: основатель натаскал фоточек из мест, которые это запрещают (социальные сети и все такое), пропарсил их алгоритмами и начал продавать доступ к системе распознавания лиц всяким правоохранительным органам
https://t.me/alexmakus/3242

Владельцы сервисов, с которых наскрейпили фоточки, разумеется, возмутились немного
https://t.me/alexmakus/3271

Но новость сейчас, разумеется, не об этом. Вчера компания уведомила своих клиентов, что злоумышленники получили доступ к полному списку клиентов компании, включая количество аккаунтов, а также количество поисковых запросов, которые производили клиенты. (Видимо, взломали какой-то CRM/billing или чтото такое, потому что Clearview утверждает, что "системы компании не были взломаны", и сами поисковые запросы не утекли)

https://www.thedailybeast.com/clearview-ai-facial-recognition-company-that-works-with-law-enforcement-says-entire-client-list-was-stolen

Что еще может пойти не так? не переключайтесь!

​​======РЕКЛАМА========
Где вы можете узнать почему Касперский зарезал всех DevOps'ов, как поссорились Илья Константинович с Антоном Юрьевичем и причем здесь инновационные методы headhunting'а?

А еще - как Samsung'и восстали против человеков, почему ЦРУ и АНБ косплеят Чипа и Дейла и многое другое.

Канал SecAtor - интересно про инфосек и не только.
======РЕКЛАМА========

Как оказалось, вопрос «что может пойти не так?» оказался провидческим. Пойти может не так всё

в качестве бонуса — информация о новой уязвимости, которая затрагивает более миллиарда устройств, как пишут обнаружившие её эксперты. Речь идет об уязвимости под названием KrØØk (CVE-2019-15126), которая является родственницей уязвимости KRACK (о ней на канале я писал в 2017 году). KrØØk затрагивает устройства с Wi-Fi-чипами производства Broadcom и Cypress, и она может присутствовать на смартфонах, планшетах, устройствах IoT, в роутерах Wi-Fi и маршрутизаторах. Она позволяет нападающим расшифровать сетевые пакеты, передаваемые по беспроводной сети с устройства, затронутого уязвимостью (подвержены WPA2-Personal и WPA2-Enterprise).

если я правильно понимаю, то простым языком ситуация выглядит так:
при получении специального пакета, которое даже не должно быть в той же сети, контроллер WiFi перезапишет общий ключ шифрования нолем. Но чип продолжит передавать данные с обнуленным ключом, а нападающий сможет расшифровать данные траффика (запросы DNS и HTTP), так как ключ теперь известен (ноль). Трафик, передаваемый в HTTPS, VPN, SSH, остается в безопасности — ломается только шифрование WiFi.

Среди потенциально затронутых устройств — iPhone 6 и позже, MacBook-и, Google Nexus 5 и 6, Amazon Kindle, Raspbeery Pi 3, роутеры Asus, Huawei. Хоть уязвимость и в железе, но она патчится софтовым методом, и Broadcom и Cypress уже выпустили обновления для своих чипсетов. Правда, какоето время займет, чтобы они дошли по цепочке до конечных пользователей (у многих производителей уже дошли, как пишут уже исследователи). Короче, ставить апдейты — это полезно.

https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/
и еще PDF с деталями
https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf

огого если так (лучше на рабочем месте не гуглить, что такое onlyfans. это типа платформа для монетизации контента, которую очень любят для продажи контента с повышенной степенью обнаженности)
https://twitter.com/broderick/status/1233097681742049281

Алярма (наверно). Вышло исследование о том, что на Android появилось вредоносное ПО, которое может перехватывать разовые пароли, сгенеренные в Google Authenticator. Появившийся летом этого Cerberus может злоупотреблть правами Accessibility в Android, и таким образом может перехватить содержимое контента в интерфейсе приложения, и переслать его на сервер. Пока что эта функциональность недоступна в версии Cerberus, который продается на форумах, но эксперты каким-то образом узнали о ней заранее.

Эта функциональность разработана для перехвата кодов двухфаторной аутентификации в банковских приложениях. Получив функциональность удаленного контроля, вредоносное ПО может затриггерить доступ к банковскому онлайн-аккаунту, а затем перехватить одноразовый код в Google Authenticator. В принципе, очевидно, что на банковских аккаунтах останавливаться необязательно.

В отчете по ссылке — о Cerberus и других подобных троянах с удаленным контролем.
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html