Web Authentication в Chrome 70

Но есть и хорошие новости 🙂 Chrome 70 теперь поддерживает аутентификацию на вебе с помощью Touch ID на Маке и сканера отпечатков пальцев на Android.

https://blog.chromium.org/2018/09/chrome-70-beta-shape-detection-web.html

Уязвимость в Webroot для Мак

Если вам кажется, что в последнее время стало как-то много новостей про безопасность в Маках, то вам не кажется — их действительно почему-то поступает больше, чем обычно. В этот раз уязвимость не в самой macOS, но в приложении, которое безопасность этой самой macOS должно было бы обеспечивать — Webroot SecureAnywhere. Уязвимость CVE-2018-16962 была обнаружена экспертами Trustwave и уже какое-то время назад исправлена, но традиционно осадок остался. Саму уязвимость эксплуатировать не так-то просто, но если получилось, то она приводила к повреждению памяти на уровне ядра системы, и давало потенциальному злоумышленнику полный доступ к операционной системе. Насколько известно, реальных методов эксплуатации этой уязвимости не было, а у сторонников теории, что ПО для безопасности компьютера только увеличивает энтропию во Вселенной, появился еще один аргумент.

Если вы пользуетесь пакетом Webroot SecureAnywhere, то убедитесь, что версия пакета у вас 9.0.8.34 или выше. Заявление Webroot:

The security of our customers is of paramount importance to Webroot. This vulnerability was remedied in software version 9.0.8.34 which has been available for our customers since July 24, 2018. We have no evidence of any compromises from this vulnerability.

For any user running a version of Mac not currently supported by Apple (OS 10.8 or lower), we recommend upgrading to an Apple-supported version to receive our updated agent and be in line with cybersecurity best practices on system patching.

Продолжение про cold boot attack против компьютеров

Я вчера писал про обнаруженную в прошивках компьютеров уязвимость, которая позволяет получить доступ не только к содержимому памяти компьютера, но и к содержимому диска компьютера. F-Secure подвезли немножко больше деталей в виде рассказа на сайте, а также опубликовали в твиттере демонстрацию получения ключа от шифрования диска:

https://twitter.com/FSecure/status/1040149572230828032/video/1

Рекомендации со вчера не изменились: если беспокоитесь за свои данные, то а) ограничение физического доступа к компьютеру, плюс б) PIN в BitLocker на компьютере с Windows и пароль в Firmware на Маке.

Уязвимость прошивки современных компьютеров

Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.


(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)
Continue reading

Скальпель Apple

Пока все обсуждают, что нового показала Apple вчера на мероприятии, я хочу собрать список того, что Apple не то что «не показала», а даже практически «убила».

iPhone X – вместо того, чтобы сделать прошлогодний флагман более дешевым вариантом, Apple просто убрала эту модель. То есть в каком-то роде те аналитики, которые прогнозировали, что «Эпол убьёт айфон Х», оказались правы: его действительно не стало, хотя XS – это все равно практически он, но с улучшениями.
Continue reading

Очередная утечка сотен миллионов имейлов

200 гигабайт данный на 440 миллионов записей, включая имена и адреса электронной почты — все это лежало в незащищенной базе данных MongoDB (конечно же) в открытом доступе. Компания Veeam, специализация которой — резервные копии и восстановление данных для облачных инфраструктур, оставила открытой базу своих клиентов. молодцы какие.

https://www.linkedin.com/pulse/veeam-inadvertently-exposed-marketing-info-hundreds-its-bob-diachenko/

TrendMicro и Mac App Store

Я писал о приложениях Trend Micro, собирающих историю браузеров у пользователей, установивших эти приложения из Mac App Store, источника, который (чисто теоретически) должен был бы предотвращать попадание туда таких приложений.

Вчера Trend Micro опубликовали ответ, в котором они признали, что их приложения собирали историю из браузеров, но “совсем чуть-чуть”, и только один раз — мол, изучить, как там пользователь пересекался с adware.

Apple долго не раздумывала, и выпилила все ранее перечисленные приложения из магазина (остались только те, в которых этой “feature”, как сказала Trend Micro, не было):

Continue reading

Эксплоит критической уязвимости в Tor

Больше деталей на английском тут
https://www.zdnet.com/article/exploit-vendor-drops-tor-browser-zero-day-on-twitter/

на русском тут
https://www.securitylab.ru/news/495545.php

Уязвимость исправлена в версии 5.1.8.7

British Hackways

И снова с вами новости из мира, в котором информация ежесекундно подвергается опасносте!

На прошлой неделе я писал о том, что British Airways стала жертвой взлома, который привел к утечке данных 380 тысяч карт клиентов авиакомпании. Тогда компания решила не делиться информацией о том, как произошел взлом, а сейчас информация стала доступной благодаря расследованию компании RiskIQ. Та же группа злоумышленников (Magekart, которая взломала сервис по продаже билетов Ticketmaster UK, смогла вставить 22 строки кода JavaScript в страницу оплаты при покупке билетов, что позволило одновременно атаковать и покупки на вебе, и в мобильном приложении

О предстоящем мероприятии 12 сентября

Завтрашнее мероприятие ждут многие. Кто – чтобы узнать, что производители смартфонов на Android будут копировать весь следующий год. Кто – чтобы нагенерить ссылок, по которым благодарные читатели будут еще очень долго кликать в поисках полезного контента. Кто – чтобы рассказать, как Apple в очередной раз пролюбила все полимеры и обречена на вечное забвение. В общем, все как обычно, и ничего не меняется.

Я, конечно, тоже жду. Не так, как предположил один мой хороший знакомый, спросив “у тебя завтра праздник?” 🙂 За столько лет презентаций я давно отвык от этих мероприятий как чего-то увеселительного, да и вообще, как оказалось, в жизни есть гораздо более важные вещи, чем гаджеты. Они, как показывает опыт, должны быть вторичными по отношению к главным приоритетам в жизни, и скорее помогать нам в наших целях, чем составлять центр нашей вселенной. (я в выходные катался на велосипеде по дорожке вдоль океана, и мне постоянно приходилось увиливать от людей, уткнувшихся в телефоны, и вообще не смотрящих на дорогу впереди себя).
Continue reading