ZombieLoad

Обнаружен новый набор уязвимостей в процессорах Intel (вплоть до 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.

Ссылки по теме:
Информация об атаке

Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
Continue reading

Новое приложение Apple TV

На прошлой неделе у меня была возможность послушать рассказ “от первоисточников”, так сказать, о новом приложении Apple TV для iOS и tvOS. (Написать эти заголовок и строку было не так просто, как может показаться — нужно было не запутаться в упоминаниях Apple TV как приложения, которое выпущено в том числе и для Apple TV как приставки). It just works!™

Так вот, вместе со вчерашним выходом обновлений iOS 12.3 и tvOS 12.3 пользователи получили обновленное приложение Apple TV. Оно было анонсировано в марте на мероприятии Apple по запуску новых сервисов компании. Кстати, это приложение вышло не только для устройств Apple, но и для смарт-телевизоров Samsung (это показали еще в январе на CES, хотя и под именем iTunes Store). Осенью также выйдет и приложение для macOS. Именно в этом приложении тоже осенью появится собственный контент Apple TV+ со своими собственными сериалами и фильмами, но вчерашний апдейт приложения не о нем. Некоторые изменения в новом приложении не очень актуальны для пользователей Apple TV в России, но не все так безнадежно, судя по ответам представителей компании.
Continue reading

Квартальные результаты Apple, второй квартал 2019 года

И снова с вами, несмотря на праздники, регулярная ежеквартальная рубрика “Хроники краха Apple” (или, как я еще её называю, комментарии к озвученным результатам деятельности компании за прошедший квартал).

Сначала главные финансовые показатели квартала (как известно, Apple прекратила раскрывать количество проданных единиц своих устройств). Общая выручка составила 58 млрд долларов, что на 5% ниже по сравнению с годом ранее, когда была зафиксирована выручка в объеме 61,1 млрд долл.
Из этих 58 млрд:
– $31,05 млрд: iPhone
– $11.45 млрд: Сервисы (новый рекорд)
– $5,51 млрд: Мак
– $5,13 млрд: Носимая электроника, электроника для дома и аксессуары
– $4.87 млрд: iPad

На следующий квартал Apple прогнозирует выручку в объеме между 52,5 и 53,5 млрд долл (годом ранее выручка составила 53,3 млрд). Похоже, что маховик сервисов набирает обороты и дальнейшее снижение выручки прекращается. Уже все не так ужасно, как в предыдущем квартале, после которого в этом периоде действительно ожидалась некая стабилизация. Интересно, что обычно июньский квартал показывал снижение против мартовского на 15%, а в этом году Apple прогнозирует снижение всего лишь на 8%

Вот как на эти новости отреагировал рынок — акции компании выросли на 5% на торгах после закрытия рынка:

Continue reading

Apple vs мониторилки использования смартфонов

Пару недель назад я писал о том, как Лаборатория Касперского подала жалобу против Apple по поводу блокировки апдейтов для их приложения по мониторингу активности детей. Я там подробно разобрал и сам пост ЛК, и технические ограничения самой iOS, которые требуют определенных приседаний для того, чтобы такие приложения вообще работали (и как эти приседания, вероятней всего, нарушают требования Apple к мобильным приложениям в iOS).

На прошлой неделе к этой теме еще подключилась The New York Times, опубликовавшая материал на эту тему, в котором тоже активно педалируется месседж, что Apple ограничивает приложения сторонних разработчиков в пользу функции Screen Time в iOS 12. Статья изобилует цитатами разработчиков, которые жалуются, что их приложения начали блокировать с бухты-барахты, без всяких предупреждений. Вся эта активность привела к тому, что Фил Шиллер, вице-президент Apple по продуктовому маркетингу ответил в письме одному из пользователей, в котором описал позицию компании и отметил, что статья в NYT подала информацию только с одной стороны, не озвучив позицию компании полностью.
Continue reading

Cybersecus дайджест #75

Год блокировки Роскомнадзором мессенджера Telegram показал, что ужесточение регулирования интернета в России неизбежно, но ему можно эффективно сопротивляться, отмечает Александр Плющев
https://www.dw.com/ru/комментарий-telegram-год-цифрового-неповиновения/a-48331914

Пост от редакции этого канала о том, как пока одни операторы в РФ тестируют поддержку eSIM, другие распространяют FUD о рисках eSIM и хакерских атаках, которые обязательно возрастут, когда eSIM появится в РФ.
https://alexmak.net/2019/04/15/esim/

Директор по развитию сетевой инфраструктуры Яндекса Алексей Соколов на конференции «Обеспечение доверия и безопасности при использовании ИКТ» рассказал, как технологии из закона «о суверенном интернете» (принят сегодня госдумой) обвалили сервисы Яндекса пару недель назад.
https://roem.ru/16-04-2019/277211/zakon-deystvuet/

Если вы пользовались клиентом Origin от Electronic Arts, рекомендуется обновиться до последней версии. EA исправили критическую уязвимость, которая могла привести к исполнению вредоносного кода на компьютере. Уязвимость затрагивает версию Origin для Windows, и связана с собственным форматом URL, который использует клиентское приложение origin://
https://techcrunch.com/2019/04/16/ea-origin-bug-exposed-hackers/
Continue reading

Бурление вокруг eSIM

В последние пару недель я заметил почему-то обилие материалов в российских СМИ по поводу SIM-карт в целом, и eSIM в частности. Подозреваю, российские операторы пытаются расшевелить тему с одной стороны, а с другой стороны есть силы, которые пытаются форсить тему криптографии в SIM-картах, вот эти материалы и всплывают:

Например, материал у РБК о подготовке перехода на новые SIM-карты:

Сотовые операторы начали переход на отечественную связь Идет подготовка к выдаче абонентам сим-карт с российской криптографией

Или странный материал у того же РБК о том, что операторы(!) почему-то сопротивляются внедрению eSIM:

Операторы связи и ФСБ выступили против используемой в iPhone технологии

А ещё обратный материал у Ведомостей (paywall) о том, что операторы вроде бы как раз и не против eSIM:

Российские операторы сотовой связи не реагируют на возражения ФСБ
Некоторые из них готовятся к внедрению технологии eSim, хотя спецслужба выступает против нее

Continue reading

О сервисах, которые анонсировала Apple

Вчера было очень необычное мероприятие Apple, и когда я говорю “необычное”, я скорее имею в виду “странное”, чем “волнующее”. С одной стороны, совершенно очевидно, что в эпоху закончившегося безумного роста продаж iPhone “сервисы всякие нужны, сервисы разные нужны”. С другой стороны, вчерашний анонс был в основном именно анонсом (а не релизом), и большинство анонсированных сервисов не будут доступны в ближайшее время. На многие вопросы, возникшие еще до мероприятия (машина Apple по раскрутке хайпа и наличие сторонних партнеров позволило утечь большей части информации о том, что анонсировали), остались без ответа. Да и вообще как-то все то действо, происходившее на сцене, сильно выбивалось из духа обычных презентаций Apple.

Интересно еще и то, что часть сервисов, анонсированных вчера, либо актуальны только для пользователей в США, либо какое-то еще время будут доступны только в США и паре других стран. Что объясняет разочарование некоторых: “Вроде бы ничего не показали”. Зато это дает возможность другим компаниям попробовать скопировать и запустить что-то подобное на локальных рынках, куда Apple пока не дотянулась. В любом случае, пройдемся по тому, что же вчера показала Apple, и как это вписывается в то, что уже есть на рынке США. В данном случае моя перспектива с взглядом отсюда может оказаться полезной.
Continue reading

Apple Card

На прошедшем вчера анонсе Apple рассказала о неком повороте компании в банковскую сферу, в частности анонсировав кредитную карту, выпускаемую совместно с MasterCard и Goldman Sachs. Карта представляет собой, по сути, виртуальную карту в приложении Wallet и работающую через Apple Pay. Система позволяет видеть на телефоне все транзакции в читаемом виде, получать ежедневно начисляемый возврат по всем покупкам в размере 2% (3% от покупок в Apple), а также в удобном и понятном виде будет обеспечивать возможность оплаты долга по карте, показывая переплату по процентам в разных кейсах. Поддержка по карте будет предоставляться по чату Messages. Доступна карта будет только в США летом этого года.


Continue reading

Лаборатория К как Спотифай — тоже против Apple

Вчера Лаборатория Касперского опубликовала пост в блоге, рассказав о том, что компания подала против Apple жалобу в Федеральную Антимонопольную Службу (ФАС) России. Детали можно почитать по ссылке, но суть там примерно такова:
– у ЛК есть приложение Safe Kids для iOS, которое позволяет родителям следить за местоположением детей, тем, сколько времени они проводят за экранами устройств, какими приложениями пользуются, контролировать доступные детям сайты и многое другое, то есть, по сути, продвинутый родительский контроль;
– С какого-то времени Apple перестала пропускать обновления приложения в App Store, аргументируя это нарушениями правил App Store для разработчиков и требуя внести необходимые изменения в работу приложения (которые бы, в свою очередь, сократили возможности решения ЛК);
– В ЛК считают, что таким решением Apple ограничивает возможности разработчиков и пользователей, и вообще ведет себя как монополист;
– ФАС, по мнению ЛК, видимо, должна этот вопрос как-то решить, заставив Apple в данном случае я даже не знаю что — я так и не уловил четко это из статьи в блоге. В пример работы антимонопольных органов приводится ситуация с нефтяной компаний Standard Oil, которую разделили около 100 лет назад. Видимо, российский ФАС должен разделить Apple или, как минимум, заставит изменить свои правила, чтобы приложение ЛК прошло проверку.

Поскольку у меня несколько лет назад был опыт работы с приложением, подобным Safe Kids, да и вообще я известный яблофил, я подумал, что будет полезно прокомментировать “вырванные из текста и контекста” утверждения в блоге ЛК. За кадром этого обсуждения оставим сам факт нарушения приватности ребенка, каждый родитель для себя пусть решает, насколько глубоко он хочет вторгаться в личную жизнь ребенка и контролировать её. Лично я считаю, что подобные вопросы должны решаться в первую очередь путем общения и пояснения, а жесткие ограничения и слежка за ребенком только усилят его желание прикоснуться посильнее к запретным плодам. Тем более, что если огромные корпорации типа Google/Twitter/Facebook фейлят в плане фильтрации запретного контента, не подходящего для детей, то решения типа SafeKids тем более их не остановят.
Continue reading

Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com