Cybersecus дайджест #59

Начинаем весну ударно, большой коллекцией ссылок (потому что за два дня накопилось).

1. Устройства UFED компании Cellebrite, которая выпускает гаджеты для взлома iPhone и Android, которые та продает различным правоохранительным органам, оказались доступными на eBay. Полиция, распродавая невостребованные устройства (часто за 100 долларов), часто содержат в себе информацию об мобильных устройствах, исследуемых в рамках различных расследований. (Сейчас, правда, eBay вычистил устройства из продажи).
https://www.forbes.com/sites/thomasbrewster/2019/02/27/the-feds-favorite-iphone-hacking-tool-is-selling-on-ebay-for-100and-its-leaking-data/

2. Уязвимость в спецификации передачи данных по протоколу Thunderbolt, которую назвали Thunderclap. При наличии таких устройств, подключенных к компьютерам Win/Mac/Linux, информацию можно выгружать прямо из памяти компьютера. Проблема затрагивает ноутбуки и настольные компьютеры Apple, выпущенные после 2011 года (кроме 12-дюймовых MacBook), а также ноутбуки и настольные компьютеры ПК, выпущенных после 2016 года и работающих под управлением Windows и Linux (если там есть поддержка интерфейса Thunderbolt, разумеется). Уязвимы Thunderbolt всех версий, то есть Thunderbolt 1, 2 и 3. По сути, речь идет о доступе на уровне ОС, который получают внешние устройства вроде сетевых карт или графических ускорителей.
Уязвимость была обнаружена еще в 2016 году, и с тех пор работали с производителями над фиксом. Apple выпустила апдейт для Маков в рамках 10.12.4 в том же году, а Windows 10, начиная с версии 1803, тоже защищает против уязвимости на уровне прошивки для новых устройств.
Не то, чтобы такая проблема грозит обычным пользователям, но в целом всегда нужно помнить, что не стоит втыкать в свой компьютер неизвестные устройства.

https://thunderclap.io/#faq
Пояснения исследователя https://www.lightbluetouchpaper.org/2019/02/26/struck-by-a-thunderbolt/

3. Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

4. У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

5. Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

6. О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

7. Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

8. Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

Cybersecus дайджест #56

С нумерацией выпусков оно как-то даже веселее! И новостей сразу больше стало.

1. У Google есть такой продукт — Nest Secure, система сигнализации для дома (база плюс набор датчиков). В феврале Google анонсировала, что Nest Secure сможет стать самостоятельным устройством для Google Assistant — интеллектуального помощника, с которым можно взаимодействовать с помощью голосовых команд. Так-так, прекрасно. Ой, погодите, что? У устройства есть микрофон? Только вот юзерам, которые уже второй год покупали Nest Secure, о том, что в их устройство встроен микрофон, никто не сказал. Этого также не было в документации по продукту. Google утверждает, что это ошибка (видимо, микрофон сам случайно упал в устройство при сборке, и так десятки тысяч раз), и вообще до этого апдейта микрофон был неактивен. Надо ли удивляться тому, что потом пользователи не доверяют компаниям, подозревая их в незаконной прослушке и подглядыванию за пользователями? А сколько таких устройств со скрытыми микрофонами могут насобирать компании под всемирно известным брендом Noname, и ничего не подозревающие пользователи купят их себе домой?
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html

2. У WordPress 5.0.0 обнаружилась уязвимость, позволяющая получить контроль над сайтом. Кто не проапдейтился на 5.0.3, сам виноват!
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

3. Статья у MIT о том, как пошла целая череда взломов блокчейнов, которые типа должны были быть невзламываемыми. Хмммм….
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/

4. Ну и мое любимое — IoT, который работает, но не так, как хотелось бы пользователям. История про то, как новая модель кроссовок Nike, которая умеет “затягивать шнурки” по команде с телефона. ТОлько вот выпущенный апдейт для приложения под Android зафейлил процесс апдейта прошивки кроссовок и для многих пользователей кроссовки внезапно перестали работать. Надо больше “умных” устройств и еще больше прошивок!
https://play.google.com/store/apps/details?id=com.nike.adapt&showAllReviews=true

5. Большой отчет правительства Великобритании о Facebook и его практиках по слежке за пользователями и конкурентами (в том числе с использованием многократно упоминавшейся тут программы Onavo). Зажимание Vine, белые списки для разных приложений по доступу к пользовательским данным, вот это все. Но все, что мы слышим от Facebook — “мы не продаем данные пользователей рекламодателям”. Конечно, не продают, они её сдают в аренду.
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/

Cybersecus дайджест #55

На 55 пятом выпуске коллекции мне пришла в голову мысль, что неплохо бы ввести для выпусков нумерацию, с чем я себя и поздравляю!

1. Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.

Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/

2. Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/

3. Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663

4. Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health

Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Мобильная аналитическая слежка

Вчера журналисты TechCrunch, кажется, открыли для себя мобильную аналитику, ну, или как минимум, особое её ответвление — запись экрана приложения. На сайте TC вышла статья о том, что некоторые популярные приложения — Hotels.com, Singapore Airlines, Air Canada, Expedia — используют для сбора информации об активности пользователей в приложениях инструмент аналитики Glassbox. А у Glassbox, как выяснилось, есть функциональность, которая позволяет записывать содержимое экрана конкретного приложения, в которое такое SDK встроено, чтобы потом анализировать то, как пользователи в реальности используют приложение.

Читатели канала в этом месте наверняка испытают чувство дежавю, потому что мы это все проходили в прошлом году с BurgerKing и их приложением для заказов (раз, два, три), которое занималось именно тем же. В этом же случае журналисты TechCrunch проанализировали трафик нескольких других приложений, и ОБНАРУЖИЛИ ТАКОЕ! КЛИКАЙ СКОРЕЙ, ЧТОБЫ УЗНАТЬ!
Continue reading

Cybersecus дайджест

1. Огромный материал от Motherboard об отрасли “разблокировки” ворованных iPhone, привязанных к учеткам iCloud. Там и грабители, заставлявшие пользователей выходить из учёток iCloid, и последующий фишинг, чтобы заполучить пароль iCloud, если телефон все еще залочен. Дополнительно социальная инженерия с Apple, чтобы обмануть компанию и уговорить её разблокировать телефон — например, путем фальшивого инвойса о покупке, или взятками сотрудникам компании в магазинах. Там же и сторонние сервисы, которые часто промышляют подобным, запрашивая разблокировку у Apple. Прекрасный и интересный материал, рекомендую к прочтению
https://motherboard.vice.com/en_us/article/8xyq8v/how-to-unlock-icloud-stolen-iphone

2. Говоря о паролях и Apple, надо еще упомянуть несколько странную историю про продемонстрированный эксплойт неизвестной уязвимости, позволяющей добыть пароль из Keychain на Маке. Вот видео:
https://www.youtube.com/watch?v=nYTBZ9iPqsU

На нем видно, как исследователь Linuz Henze запускает приложение, добывающее пароли из “Связки Ключей” в macOS 10.14.3 (что как бы не очень хорошо). Детали самого эксплойта неизвестны, исследователь отказывается предоставлять их в Apple из-за отсутствия bug bounty программы для обнаруженных уязвимостей в macOS. Чтобы защититься уже сейчас от этой (и, возможно, других программ), которые используют эту уязвимость, можно защитить Keychain дополнительным паролем. Правда, чтобы воровать пароли, вредоносное приложение еще должно на ваш Мак попасть. Короче, ждем деталей.
Continue reading

Дыра в FaceTime

Журналисты 9to5Mac обнаружили ошибку в системе аудио и видеозвонков FaceTime, используемую в устройствах iOS, которая позволяет позвонить кому-нибудь с iPhone по FaceTime, и тут же, не дожидаясь ответа, услышать аудио с телефона на другой стороне. Apple подтвердила, что такая ошибка присутствует, и обновление “будет выпущено на этой неделе”.

Ошибка затрагивает устройства с iOS 12.1.2 и даже 12.2 (операционная система должна поддерживать групповые FaceTime-звонки), и работает следующим образом: вы набираете кого-то с помощью FaceTime Video. До того, как человек ответил, достаточно сделать свайп вверх, и добавить туда свой собственный номер телефона к звонку. FaceTime почему-то решает, что это активный групповой звонок, и начинает передавать аудио от человека, которому вы звонили изначально, даже если этот человек еще не ответил на вызов. При этом получатель звонка даже не представляет себе, что какая-то информация передается тому, кто послал вызов. Но там есть еще продолжение, которое даже хуже. Если получатель звонка нажмет кнопку питания или регулировки громкости, чтобы проигнорировать звонок, FaceTime перестает передавать аудио, но начинает передавать видео! Безопасность, шмезопасность!

Журналисты MacRumors смогли также воспроизвести эту ошибку на Маке. На данный момент, до выхода обновления с исправлением, единственный метод избежать случайного или намеренного подслушивания через FaceTime, это полностью отключить FaceTime на своих устройствах.

На Маке, нужно открыть приложение FaceTime, и в меню выбрать “Выключить FaceTime”:

На iPhone или iPad, нужно зайти в приложение “Настройки”, найти там FaceTime, и отключить верхнюю галку:

Берегите свою информацию!

Апдейт. Apple уже отключили групповой FaceTime, поэтому воспроизвести ошибку невозможно.

Источник:
https://www.idownloadblog.com/2019/01/28/apple-disables-group-facetime-after-critical-privacy-bug-surfaces/

Cybersecus дайджест

Привет! После неожиданного затишья — снова большая коллекция интересных ссылок на тему того, как практически вся информация находится опасносте! В ней каждый найдет для себя что-то интересное.

1. Хакеры взламывают и управляют промышленными кранами
https://www.forbes.com/sites/thomasbrewster/2019/01/15/exclusive-watch-hackers-take-control-of-giant-construction-cranes/

2. Новый отчет о состоянии кибербезопасности в министерстве обороны США . Незакрытые серверные боксы, передача незашифрованных данных через USB-флешки, отсутствие двухфакторной аутентификации, пароли по умолчанию во многих системах — это только некоторые из сотен проблем, обнаруженных комиссией по исследованию проблемы.
https://media.defense.gov/2019/Jan/11/2002078551/-1/-1/1/DODIG-2019-044.PDF

2а. Кстати, а вот еще интересный PDF — “Национальная стратегия разведки США” на 2019 год.
https://www.dni.gov/files/ODNI/documents/National_Intelligence_Strategy_2019.pdf

3. Полиция в США часто применяет камеры для распознавания номеров автомобилей. Журналист TechCrunch обнаружил более 150 устройств для распознавания автомобильных номеров, которые подключены к интернету, и данные на которых доступны к просмотру. Как правило, речь идет о паролях по умолчанию, которые описаны в документации, и которые никто не меняет.
https://techcrunch.com/2019/01/22/police-alpr-license-plate-readers-accessible-internet/

4. Все, как я люблю — хакеры подключились к камере Nest и напугали владельцев камеры объявлением, что на США летят ракеты Северной Кореи. А все потому, что повторное использование паролей — зло!
https://www.mercurynews.com/2019/01/21/it-was-five-minutes-of-sheer-terror-hackers-infiltrate-east-bay-familys-nest-surveillance-camera-send-warning-of-incoming-north-korea-missile-attack/

5. Apple выпустила вчера апдейты для своих операционных систем, и там всегда интересно читать содержимое исправлений безопасности
iOS 12.1.3
macOS Mojave 10.14.3
tvOS 12.1.2
watchOS 5.1.3

(10 исправлений уязвимостей, обнаруженных разработчиками Google, в iOS 12.1.3)

6. Эксперт и архитектор по безопасности, работавший в Apple, перешел в правозащитную организацию ACLU и рассказывает в интервью о наблюдении, опасности бэкдоров и других интересных вещах
https://motherboard.vice.com/en_us/article/wjmqgw/apples-security-expert-joined-the-aclu-to-tackle-authoritarian-fever

7. Забавный хэштег в Твиттере — shodansafari, где выкладывают всякие интересности в широко известном в узких кругах поисковике Shodan. Этот поисковик используется для обнаружения незащищенных и открытых устройств и баз данных. Камеры, роутеры, устройства для обнаружения взрывчатки и много всего другого… Иногда интересно, иногда вызывает депрессию.
https://twitter.com/hashtag/shodansafari?src=hash&ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1062457924679811073&ref_url=https%3A%2F%2Ftechcrunch.com%2F2019%2F01%2F21%2Fshodan-safari%2F

8. Апдейт от Google про 2018 год в G Suite. Из которого, в частности, мне было интересно узнать, что каждую минуту система обрабатывает почти 10 млн спам и фишинговых писем.
https://cloud.google.com/blog/products/g-suite/2018-in-g-suite-a-year-in-review

9. Уязвимость в WiFi прошивке затрагивает ноутбуки, смартфоны, роутеры. Уязвимость в прошивке чипсета Marvell Avastar 88W8897, используемого в Sony PlayStation 4, Xbox One, ноутбуках Microsoft Surface и Samsung Chromebooks, в смартфонах Samsung Galaxy J1 и тд.
https://www.zdnet.com/article/wifi-firmware-bug-affects-laptops-smartphones-routers-gaming-devices/

Insecurity cameras

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: “there is no such thing as an IoT security camera”.
https://twitter.com/ErrataRob/status/1084567735990919168