интересное изменение в iOS 13.5 (пока что в стадии беты). изменение касается упрощения процедуры вызова поля пароля в ситуации, когда пользователь в маске — чтобы не заставлять FaceID пытаться узнать пользователя, теперь жестом снизу можно сразу вызвать опцию ввода пароля. я, правда, уже видел у кого-то заметки из серии “эпол сделала faceid менее безопасным”, но это не так.
https://www.theverge.com/2020/4/29/21241497/apple-ios-13-beta-faceid-face-mask-unlock-passcode-facetime-group-calls

на фоне пандемии коронавируса государства пользуются моментом, чтобы ввести побольше механизмов слежки за гражданами. А компании, предлагающие свои решения по добыче информации и слежке, активно продвигают свои решения государствам. Вот и Cellebrite, известная своими инструментами по взлому смартфонов, предлагает свои услуги правоохранительным органам с такой формулировкой: “если у вас есть больной, мы можем с его телефона добыть информацию о геолокации и о адресной книге, что позволит вам отправить в карантин правильных людей”. молодцы какие.
https://www.reuters.com/article/us-health-coronavirus-spy-specialreport-idUSKCN22A2G1

Популярное объяснение о том, как работает сквозное шифрование Signal
https://medium.com/@justinomora/demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4

Вчера Apple выпустила бета-версию iOS 13.5 (для разработчиков и публичных тестировщиков), в рамках которой появилась первая реализация уведомлений о контактах с зараженными коронавирусом. (я писал об этой технологии тут https://t.me/alexmakus/3432)

сама технология представляет собой API в системе, и предполагается, что разработчики различных медицинских госорганов будут создавать на разных локальных рынках приложения, которые будут это API использовать. А дальше уже благодаря информации о ключах, полученных через Bluetooth, пользователи смогут получать информацию о том, находились ли они поблизости с кем-то, кто мог быть носителем вируса.

И все бы хорошо, но 3 из 5 опрошенных пользователей в США утверждают, что не хотят или не смогут участвовать в такой системе обмена информацией. Это и проблемы отсутствия смартфонов, и вопрос недоверия к технологическим компаниям, с которым Apple и Google еще, видимо, долго придется бороться. (наверняка, отказываются участвовать примерно те же люди, которые радостно заливают на ФБ всю свою личную жизнь с фотками и координатами). Интересно, что в некоторых странах уже существуют свои собственные приложения, которые гораздо более активно используют информацию о местоположении и, возможно, представляют собой потенциально больше опасности для персональных данных. Но кто там будет разбираться.

https://www.washingtonpost.com/technology/2020/04/29/most-americans-are-not-willing-or-able-use-an-app-tracking-coronavirus-infections-thats-problem-big-techs-plan-slow-pandemic/

никогда такого не было и вот опять. “бэкдор с функциональностью телефона” — смартфоны Xiaomi — отправляют на сервера компании информацию о поведении пользователя на телефоне. все посещенные вебсайты, запросы в поисковиках, все прочитанные элементы в читалке новостей, открытие папок, и тд. Веб-браузеры компании Mi Browser Pro и the Mint Browser, которые доступны в Google Play, собирают ту же информацию о посещенных сайтах и запросах, даже если окно находится в режиме “инкогнито”. Как обычно, низкая стоимость устройства отбивается информацией о пользователях, которую потом можно монетизировать.
https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/

Интересно, что утечка деталей игры The Last Of Us 2, возможно, является результатом кибератаки

а вот прекрасная история о современных технологиях. Я уже как-то писал, что неоднократно натыкался на чужие адресные книги из телефонов в мультимедия-системах прокатных автомобилей. А тут даже круче история. Tesla апгрейдит в некоторых автомобилях системы управления мультимедией, но внезапно оказывается, что старые компоненты обнаруживаются на eBay. и если их купить, то внутри этих систем можно обнаружить массу личной информации, включая домашние и рабочие адреса владельцев, сохраненные пароли WiFi, события из календарей, сохраненные куки различных сервисов, и тд. В случае с кукисами Netflix вообще можно управлять учетной записью видеосервиса. Замечательный отчет об этом всем по ссылке. Безусловно, наличие Tesla в названии добавляет кликбейтности конкретно этой истории, но по мере “компьютеризации” автомобилей это будет затрагиватьи других производителей. (именно поэтому мы тут собираем реплику машины 1965 года без всякой электроники. на самом деле, конечно, не поэтому, но все равно релевантно)
https://insideevs.com/news/419525/tesla-data-leak-personal-info-ebay/

Сегодня Apple и Google передают новые ресурсы разработчикам, которые создают мобильные приложения для врачей и организаций, работающих в сфере общественного здравоохранения во всем мире. Это поможет им создавать приложения для отслеживания контактов лиц, заразившихся новым коронавирусом. Разработчики получат пользовательские интерфейсы (UI) и образцы кода для iOS и Android. С учётом того, что Google и Apple не будут принимать непосредственное участие в создании приложений, эти обновления являются частью постоянных усилий компаний по поддержке разработчиков, создающих приложения для организаций, работающих в сфере общественного здравоохранения.
• Образец пользовательского интерфейса UI доступен для загрузки представителями СМИ только здесь — изображения очищены по правам для публикации.
• Образец кода iOS доступен для ознакомления здесь, а образец кода Android доступен для ознакомления здесь.

Apple и Google сегодня также независимо друг от друга выпустили политики, которым разработчики должны будут следовать при распространении своих приложений, созданных на базе интерфейса программирования приложений (API), в App Store и Google Play. Вот некоторые требования Apple и Google, предназначенные для увеличения эффективности этих усилий и обеспечения конфиденциальности, согласия и контроля пользователей, которые должны соблюдать все разработчики, использующие API для отслеживания контактов лиц, заразившихся новым коронавирусом:

• Приложения должны быть созданы государственным органом здравоохранения или для него; их можно использовать только для действий, препятствующих распространению COVID-19.  
• Приложения должны запрашивать согласие пользователей, прежде чем приложение сможет использовать API для отслеживания контактов лиц, заразившихся новым коронавирусом.
• Приложения должны требовать получения от пользователя согласия, прежде чем предоставлять положительный результат теста и «Ключи диагностики», связанные с их устройствами, в орган здравоохранения.
• Приложения должны собирать только минимальный объем необходимых данных и могут использовать эти данные только для противодействия распространению COVID-19. Любое другое использование пользовательских данных, включая таргетирование рекламы, запрещено.
• Приложениям запрещено запрашивать разрешение на доступ к геолокации.
• Использование API для отслеживания контактов лиц, заразившихся новым коронавирусом, будет ограничено одним приложением для каждой страны, чтобы обеспечить высокую степень внедрения и загрузки пользователями и во избежание фрагментации. Компании готовы поддержать различные органы здравоохранения, если в стране действует дробление на регионы с автономным самоуправлением.

На прошлой неделе Apple выпустила первую бета-версию Xcode 11.5 – это предварительная версия инструментов разработчика Apple, содержащая новую версию iOS SDK, включающую API для отслеживания контактов лиц, заразившихся новым коронавирусом. Кроме того, компания выпустила бета-версию iOS 13.5, содержащую код, необходимый для запуска приложений, созданных с использованием API для отслеживания контактов лиц, заразившихся новым коронавирусом. Аналогичным образом, Google представила бета-обновление Google Play Services с API для отслеживания контактов лиц, заразившихся новым коронавирусом, и прилагаемым SDK, чтобы разработчики могли начать тестирование с помощью Android Developer Studio.

Google и Apple обновили документацию по использованию технологий Bluetooth и криптографии также как и структуру интерфейса программирования приложений. Последнюю версию документации и часто задаваемые вопросы можно скачать здесь для Apple и здесь для Google, с историями изменений для удобства их отслеживания.

Очень странная история про то, как некий злоумышленник дал взятку сотруднику компании Roblox для того, чтобы иметь возможность просматривать личные данные пользователей популярного сервиса (более 100 млн активных пользователей). Он мог видеть имейлы пользователей, менять пароли, удалять двухфакторную аутентификацию, банить пользователей и тд. А также выдавать внутриигровую валюту. Цель хакера, по его словам, заключалась только в том, чтобы доказать то, что данные пользователей можно получить без проблем много где. WTF вообще
https://www.vice.com/en_us/article/qj4ddw/hacker-bribed-roblox-insider-accessed-user-data-reset-passwords

Также вот - у 28 тыс клиентов GoDaddy украли данные логинов SSH

https://www.theregister.co.uk/2020/05/05/godaddy_ssh_login_details_compromised/

А тем временем, если у вас смартфон Samsung, то рекомендуют обновиться на апдейт, который вышел на этой неделе. Уязвимость была обнаружена в коде Android для смартфонов корейской компании, который отвечает за обработку изображений формата Qmage. Полезно знать, что уязвимость может быть эксплуатирована без всякого участия со стороны пользователей, а как Android автоматически пересылает все изображения, полученные на устройстве в Skia (графическую библиотеку Android). Угадывая положение библиотеки Skia в памяти, можно было с помощью Qmage доставить на телефон исполняемый код.

https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899

еще ссылка от читателя:

Вкратце: email передавался через GET запрос, потом появлялся везде, где можно появиться, в Referer заголовках различных трекерах, включая Google Analytics, Facebook и прочих

https://medium.com/@thezedwards/the-2020-url-querystring-data-leaks-millions-of-user-emails-leaking-from-popular-websites-to-39a09d2303d2

Британское министерство здравоохранения опубликовало исходный код приложений для мониторинга контактов с людьми, которые могли быть носителями вируса

✅Android: https://github.com/nhsx/COVID-19-app-Android-BETA
✅iOS: https://github.com/nhsx/COVID-19-app-iOS-BETA
✅Documentation: https://github.com/nhsx/COVID-19-app-Documentation-BETA

ууууу, шикарная и полезная штука — список различных приложений в разных странах для мониторинга Covid-19 контактов, информация, которую они собирают, прозрачность проектов, и вообще общий уровень отношения к конфиденциальности данных пользователей

https://public.flourish.studio/visualisation/2241702/
https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/
https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0

в начале апреля я давал ссылку на опрос компании Positive Technologies об организации удаленной работы в компаниях. Спасибо всем за участие!

Cпециалисты по IT и ИБ рассказали Positive Technologies, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку. Какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств, что чаще всего выводят на периметр – все это в отчете по итогам опроса.

иногда мне кажется, что достаточно просто репостить старые новости, и это будет все равно дайджест новых. в 2019 году я писал об уязвимости в стандарте подключений Thunderbolt (под названием Thunderclap). и вот снова новая уязвимость - Thunderspy, которая позволяет злоумышленникам получить доступ к данным диска залоченнго компьютера. Да, требует физического доступа к компьютеру, но зато дает возможность получить данные, даже если диск зашифрован. Затрагивает все ПК, выпущенные до 2019 года. Intel утверждает, что уязвимость была исправлена в апдейтах операционных систем в прошлом году.

отчет https://thunderspy.io
статья о ней https://www.wired.com/story/thunderspy-thunderbolt-evil-maid-hacking/
ответ Intel https://blogs.intel.com/technology/2020/05/more-information-on-thunderspy/

три года с момента атаки WannaCry, помните, как весело всем было?
https://t.me/alexmakus/1131

Пара ссылок от читателей на новости, которые я пропустил:

1. https://siguza.github.io/psychicpaper/
0day (все еще) sandbox escape уязвимость для iOS приложений, которую автор нашел аж в 2017 году, поправлена в последней бэте

2. Индийскую платформу Unacademy взломали, утекло от 11М до 22М учётных записей. Думаю, из хорошего - то, что пароли не хранились в открытом виде, и хеши сгенерированы на PBKDF2 (надеюсь, что с солью), так что быстро и массово все пароли rainbow таблицей не подберут, но простые пароли из словаря всё равно обнаружатся. Так что рекомендация всем пользователям Unacademy (и вообще): поменять пароль, использовать сложный пароль, включить 2FA. https://gbhackers.com/unacademy-hacked/

ну и большая новость на прошлой неделе, которую мало кто пока что понимает — Zoom приобрел сервис Keybase для организации сквозного шифрования
https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/
https://keybase.io/blog/keybase-joins-zoom

По следам этого поста. Выплатили $17,99.