Cybersecus дайджест #74

Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!

Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com

Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio

Роскомнадзор пригрозил блокировкой OpenVPN, причем речь идет не столько о сервисе, сколько о блокировке протокола. Кажется, будет весело.
https://meduza.io/feature/2019/04/10/roskomnadzor-prigrozil-blokirovkoy-openvpn-esli-ispolnyat-eto-reshenie-bukvalno-posledstviya-budut-kak-s-telegramom

«Лаборатория Касперского» обнаружила теневой интернет-магазин Genesis, в котором продаются более 60 тысяч украденных цифровых личностей стоимостью от 5 до 200 долл. США, в том числе логины и пароли к интернет-магазинам и платёжным сервисам. https://www.plusworld.ru/daily/cat-security-and-id/post-428359/

Сканер отпечатков пальцев в Samsung Galaxy S10 успешно обманули. Никогда такого не было (что с Самсунгами, что с айфонами), и вот опять!
https://www.grahamcluley.com/the-samsung-galaxy-s10s-ultrasonic-fingerprint-scanner-is-hacked/

Патчи месяца
– Microsoft выпустила апрельский апдейт, в котором исправляются 74 уязвимости, включая несколько уязвимостей нулевого дня
https://portal.msrc.microsoft.com/en-us/security-guidance/summary

– Кроме Microsoft, свой регулярный апдейт выпустила Adobe, исправив 43 уязвимости в продуктах компании.
https://blogs.adobe.com/psirt/?p=1735

– У Intel тоже патчи 4 уязвимостей
https://www.zdnet.com/article/intel-finally-issues-spoiler-attack-alert-now-non-spectre-exploit-gets-cve-but-no-patch/

Интересный материал о том, почему же сегодня из посольства Эквадора вынесли Джулиана Ассанжа и какие обвинения ему предъявляет США, запросившие экстрадицию Ассанжа из Великобритании. (Спойлер:помощь Челси Мэннинг во взломе секретной компьютерной системы).
https://motherboard.vice.com/en_us/article/mb8qyn/julian-assange-charged-with-hacking-conspiracy-not-publishing

И хорошие новости! Теперь ваш смартфон с Android, начиная с версии 7.0, может стать физическим ключом безопасности для двухфакторной авторизации. То есть не надо покупать дополнительно отдельный ключ, и можно просто использовать телефон.
https://support.google.com/accounts/answer/9289445?p=phone-security-key&visit_id=636905117624892527-1197655510&rd=1


Discover more from alexmak.net

Subscribe to get the latest posts sent to your email.

Leave a Reply