Владельцам роутеров Linksys Smart Wi-Fi компания передает свои приветствия и рекомендации по сбросу пароля в связи с возможным взломом устройств. Похоже, происходит активный credentials stuffing в аккаунты пользователей, которые применяют одни и те же пароли в разных аккаунтах, а страдают в итоге все.
https://www.linksys.com/us/support-article?articleNum=317063

как сообщают читатели, информация безопасносте!
https://send.firefox.com/

На прошлой неделе Apple и Google анонсировали одну интересную инициативу по отслеживанию контактов с людьми, которые получили подтверждение при тестировании на COVID-19. Суть заключается в том, что смартфоны с операционными системами обеих компаний будут обмениваться анонимными идентификационными ключами через Bluetooth LE, что будет выступать подтверждением близкого контакта. Если кто-то из этой пары позже был продиагностирован на наличие COVID-19, этот человек может отметить это в своем приложении (на сервер будут залиты последние 14 дней идентификационных ключей, которые меняются каждые 15 минут). Система в таком случае уведомит других юзеров, у которых был близкий контакт с этими ключами. Система не предполагает использования геолокации, а расчет совпадения с ключами будет происходить локально на устройствах, что должно обеспечить достаточно высокий уровень конфиденциальности пользовательских данных и сохранить анонимность.

Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.

Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/

красота. шикарная находка о захардкоженных ключах в устройствах компании Cellebrite
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt

Инфосек удивляет и радует (в двух словах - джейлбрейк для более простых вентиляторов легких, который превращает их в продвинутые, и пригодные к использованию в больницах для спасения больных)

https://twitter.com/qrs/status/1250095637535887367


https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/

Что, давно новостей про Zoom не было? две zero-days для Мак и Windows за 500 тысяч на рынке, налетай!
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000

49 расширений Chrome, которые Google убрала из web store, притворявшиеся криптокошельками, а на самом деле пытались воровать приватные ключи от них
https://www.zdnet.com/article/exclusive-google-removes-49-chrome-extensions-caught-stealing-crypto-wallet-keys/

======РЕКЛАМА======
21 апреля в 16.00 пройдет круглый стол ANTI-APT ONLINE. Представители «Инфосистемы Джет», Group-IB, Positive Technologies, «АВ Софт» и «Лаборатории Касперского» обсудят тенденции на российском рынке решений для защиты от целенаправленных атак, поделятся видением эффективного построения защиты от сложных атак, расскажут, как продукты работают в режиме удаленной работы, и разберут актуальные кейсы использования Anti-APT для решения конкретных задач.
Регистрируйтесь и приходите: https://events.webinar.ru/jet/antiapt
======РЕКЛАМА======

А помните компанию Clearview AI, про которую я тут неоднократно писал пару месяцев назад? Которая насобирала картинок с фотографиями людей по социальным сетям и другим сервисам, прогнала их через алгоритмы и научила нейросеть распознавать людей на фото и видео. После этого компания начала продавать сервис по распознаванию, по их словам, только правоохранительным органам, а, как оказалось, кому попало (потому что их сервер с базой клиентов взломали). Так вот, теперь им взломали ещё репозиторий - точнее, не взломали, он был неправильно настроен: хоть он и был защищён паролем, но позволял создавать новых пользователей, что и сделал один исследователь безопасности. В репозитории обнаружились код и собранные версии приложений компании, а также токены к Slack, с помощью которых можно было читать переписку сотрудников компании. Короче, молодцы там они

https://techcrunch.com/2020/04/16/clearview-source-code-lapse/

В рамках пятницы

Потенциально интересная игрушка
https://flipperzero.one/zero

Также напоминаю, что https://t.me/alexmakus/3410

я только не пони, почему сейчас только пришло время рассказать о событиях июля прошлого года
https://auth0.com/blog/insomnia-security-disclosure/
https://insomniasec.com/blog/auth0-jwt-validation-bypass

Я уже как-то давал ссылку на этот каталог, но не грех и повторить - каталог различных околокомпьютерных гаджетов и их рейтинг от Мозиллы в плане безопасности и сбора пользовательских данных

https://foundation.mozilla.org/en/privacynotincluded/

между тем, хакеры Серверной Кореи по прежнему представляют собой опасность для США и глобальной финансовой системы
https://www.reuters.com/article/us-usa-northkorea-cyber-advisory/north-korea-hacking-threatens-us-and-global-financial-system-us-officials-idUSKCN21X1Z0

(да, я знаю про опечатку, но так даже лучше)

Интересная ссылка от читателя про исследование, которое позволяет использовать вентиляторы(!) компьютеров для создания контролируемых вибраций, что позволило бы передавать информацию с изолированных систем. Эксперты университета имени Давида Бен-Гуриона в Негеве давно известны обнаружением необычных векторов атаки для получения данных с таких систем, рекомендую прочитать список в статье. Вот несколько примеров:
- получение данных через диод активности жесткого диска
- создание звуковых волн для передачи данных через управляемые операции чтения-записи жесткого диска
- передача данных через диоды клавиатуры
и тд.
https://www.zdnet.com/article/academics-steal-data-from-air-gapped-systems-using-pc-fan-vibrations/

И снова здравствуйте! Я просто оставлю этот тред в твиттере тут. Он длинный, но он того стоит: чувак решил разобраться, почему его «умный» пульт Logitech Harmony из 2009 года требует заряжённую батарейку, и обнаружил такое!!! Кликай, чтобы узнать!!! (QNX, Flash, отправку данных по http, и много всего другого интересного, но я рекомендую этот путь в кроличью нору проделать самостоятельно)

https://twitter.com/foone/status/1251395931351609347?s=21

совместное заявление более 300 ученых касательно различных методов по отслеживанию контактов и рисков для конфиденциальных персональных данных. В двух словах: ничего не получится, если не уважать приватность https://drive.google.com/file/d/1OQg2dxPu-x-RZzETlpV3lFa259Nrpk1J/view

иногда опасносте не информация, а криптовалюта
https://www.zdnet.com/article/hackers-steal-25-million-worth-of-cryptocurrency-from-uniswap-and-lendf-me/