Cybersecus дайджест

Подборка новых материалов и ссылок, а также несколько таких, которые по случайности не попали во вчерашний выпуск.

Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/

Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/

Я как-то писал об истории, из которой было понятно только то, что правоохранительные органы США склоняют Facebook к раскрытию шифрования Messenger для записи переговоров кого-то из подозреваемых в рамках какого-то определенного расследования. Тогда у правительства США не получилось заставить Facebook это сделать. Интересно, что правоохранительная организация ACLU пытались через суд получить детали этого расследования, но судья, как пишет Reuters, отказала, потому что “рассекречивание таких документов скомпроментировало методы правоохранительных органов”. Так что все продолжают оставаться в неведении, что и как хотели сделать правоохранительные органы, но это может служить очередным напоминанием о том, что им очень не нравятся механизмы шифрования и они будут продолжать пытаться обойти их или избавиться от них.
https://www.gizmodo.com.au/2019/02/you-dont-get-to-learn-how-the-fbi-tried-to-crack-facebook-messenger-encryption-judge-rules/

А тем временем в Великобритании вроде как предложили принять закон, по которому даже за случайный клик на материалы с пропагандой терроризма можно получить до 15 лет тюрьмы.
https://www.independent.co.uk/news/uk/crime/terrorist-propaganda-website-online-prison-sentence-uk-isis-a8776226.html

Cybersecus дайджест

Сегодня у нас несколько follow-ups для новостей этой недели, и несколько очень интересных статей для почитать на выходных.

1. После того, как Apple обнаружила, что Facebook и Google распространяли приложения с сертификатом для разработки корпоративных приложений среди пользователей, включая подростков, фруктовая компания отозвала эти сертификаты. Это внесло некоторый бардак в работу F/G, поскольку у них перестали работать многие внутренние приложения. Так вот, сегодня Apple выдала этим компаниям новые сертификаты, и конфликт, видимо, исчерпан. F/G придётся, конечно, пересобрать все свои внутренние приложения, чтобы они начали работать у сотрудников компаний. Интересно, что они пообещали Apple в обмен на такое решение? Уверен, эти вопросы решились на уровне первых лиц компаний.
FB https://twitter.com/mikeisaac/status/1091103868463636481?s=21
G https://twitter.com/mhbergen/status/1091168798856556544?s=21
Интересная статья о том, что происходило в FB, когда внутренние приложения перестали работать
https://www.nytimes.com/2019/01/31/technology/apple-blocks-facebook.html

2. Помните историю с багом FaceTime, позволявшим подслушивать собеседника до того, как он ответил на звонок? Изначально Apple обещала исправить лагуна этой неделе. Сегодня компания сказала, что бага на серверной срочнее исправлена, а вот апдейт с iOS выйдет на следующей неделе. Тогда же компания и включит функциональность обратно. Заодно компания поблагодарила обнаруживших багу, извинилась за него, а также пообещала улучшить процесс подачи информации о подобных находках. Хотя, конечно, осадочек остался.

3. Zeroidum предлагает более 100 тыс долларов за информацию об уязвимостях нулевого дня в роутерах MikroTik
https://twitter.com/Zerodium/status/1090950214121222144

4. Уязвимости в протоколе SS7, используемом мобильными операторами для синхронизации передачи текстовых сообщений и звонков, реально применяются уже для атак на банковские счета пользователей в Великобритании и Германии (злоумышленницам все равно надо знать логин и пароль пользователя, но всеми утечками и данными в интернете это обычно не проблема). Злоумышленники заводят новых получателей и делают на них переводы, перехватывая SMS. Двухфакторная аутентификация через SMS должна умереть.
https://motherboard.vice.com/en_us/article/mbzvxv/criminals-hackers-ss7-uk-banks-metro-bank
https://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

5. Airbus признал, что у компании вследствие взлома произошла утечка персональных данных сотрудников
https://thehackernews.com/2019/01/airbus-data-breach.html

6. Не новость, но хорошая заметка от ACLU, известной правозащитной организации в США о Ghost Proposal, рекомендациях британской разведки для внедрения бэкдоров для скрытного «прослушивания» переписки. Казалось бы, что может пойти не так?
https://www.aclu.org/blog/privacy-technology/consumer-privacy/spies-want-make-facetime-eavesdropping-bug-feature

7. Ещё одна история про сайт с информацией о ДНК и как это помогло решить одно нераскрытое убийство в штате Орегон. Информация о ДНК с места преступления позволила найти семью убийцы (тот был казнен в 1999 году), и они подтвердили, что 40 лет назад тот действительно находился в поездке на северозападе побережья Тихого океана.
https://www.portlandoregon.gov/police/news/read.cfm?id=199719&ec=1&ch=twitter

8. Прогноз о том, что ситуация со взломами будет ухудшаться (пффф, тоже мне новость):
https://www.pehub.com/vc-journal/this-will-be-the-worst-year-yet-for-cyberbreaches/

Cybersecus дайджест

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.

АПДЕЙТ Отозвали

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей. HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

Расплата Facebook

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в “исследовании” пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что “мы там всех предупреждали и запрашивали разрешения”.

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
– публикуется новость
– фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
– затем наступает фаза “Мы ничего не нарушали, но мы прекращаем эту практику”
– затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
– затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
– Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что “фейсбук как всегда” не так уж далека от правды.

Facebook как всегда

Вчера на TechCrunch вышел материал о приложении Facebook Research для iOS и Android. Это приложение распространяется через сторонние сервисы под соусом “исследования аудитории”, вот страница для регистрации по участию в сервисе (кроме Applause, используются сервисы BetaBound и uTest). Требование к аудитории — проживание в США и возраст от 13 до 37 лет. Участие в исследовании предполагает оплату 20 долларов в месяц, а в обмен на это приложение собирает с телефонов пользователей практически все, что можно с телефонов собрать. Дело в том, что:
а) приложение для iOS распространяется с использованием сертификата разработчика Apple для корпоративных приложений, что дает Facebook практически полный доступ к данным пользователей на телефонах, включая фото и видео, почту, историю в браузерах, информацию о местоположении и тд.
б) приложение является замаскированным VPN-клиентом Onavo, принадлежащим Facebook, и, соответственно, дает Facebook доступ ко всему сетевому трафику устройств, на которых установлено такое приложение.
В некоторых случаях приложение даже просит аплоадить скриншоты истории покупок на Amazon (что вообще?).

Про Onavo вы можете помнить из истории еще летом, когда оказалось, что Facebook собирает слишком много информации о пользователях, не предупреждая их об этом, и в итоге Onavo убрали из App Store. Именно Onavo, кстати, в свое время показал Фейсбуку рост популярности WhatsApp, что привело к приобретению сервиса компанией Facebook. Но тут ситуация осложняется не только тем, что сервисы, распространяющие это приложение, не раскрывают полный набор данных, собираемых этим приложением (достаточно посмотреть на описание внизу страницы регистрации).

“By installing the software, you’re giving our client permission to collect data from your phone that will help them understand how you browse the internet, and how you use the features in the apps you’ve installed . . . This means you’re letting our client collect information such as which apps are on your phone, how and when you use them, data about your activities and content within those apps, as well as how other people interact with you or your content within those apps. You are also letting our client collect information about your internet browsing activity (including the websites you visit and data that is exchanged between your device and those websites) and your use of other online services. There are some instances when our client will collect this information even where the app uses encryption, or from within secure browser sessions.”

Большинство пользователей, особенно подростки, в мир которых так хочет заглянуть Facebook, не способны полноценно осознать масштабы сбора информации, который осуществляет это приложение. Что именно собирает приложение, точно сказать невозможно, не посмотрев на логи на сервере, но зная Facebook, можно предположить, что все, до чего могли дотянуться их руки, они собирают.

Проблема еще и в том, что корпоративный сертификат разработчика Apple нельзя использовать для распространения приложений таким образом. Enterprise сертификаты могут использоваться для подписи приложений, которые будут использоваться сотрудниками компании для внутренних нужд, с целью разработки и тестирования. Непонятно, какой будет реакция Apple в этой ситуации. Теоретически компания может (и должна) отозвать корпоративный сертификат разработчика Facebook, но там и до полноценной войны между двумя корпорациями недалеко. У Apple не так много рычагов для влияния на Facebook — не станет же Apple удалять приложение Facebook из App Store. Но это настолько очевидная пощечина Apple с её борьбой за конфиденциальность пользовательских данных, что компания просто обязана как-то отреагировать. Пора доставать попкорн.

Cybersecus дайджест

Еще несколько интересных и актуальных ссылок на тему канала:

1. Заметка о модной штуке в ФБ и других соцмедиа — постах с фотографиями за 10 лет. Автор рассуждает на тему того, что такие посты хорошо помогают тренировать алгоритмы об изменениях человека с возрастом, что дает социальным сетям дополнительную информацию о нас. Что само по себе как бы не плохо, просто факт.
https://www.wired.com/story/facebook-10-year-meme-challenge/

2. Исследование о том, что пользователи очень плохо представляют себе масштабы сбора информации Фейсбук о них. Я с этим сталкиваюсь каждый раз, когда натыкаюсь на очередное обсуждение слухов о том, что “фейсбук нас слушает через микрофон смартфона”.
http://www.pewinternet.org/2019/01/16/facebook-algorithms-and-personal-data/

3. Интересный feature request к Google для того, чтобы внедрить специальный PIN на телефоне, который бы приводил к удалению данных на устройстве. Конечно, риски случайно удалить данные есть, но для некоторых ситуаций это может оказаться полезным
https://issuetracker.google.com/issues/121372590

4. Илон Маск выставил Tesla в соревновании по взлому Pwn2Own
https://www.theverge.com/2019/1/14/18182539/teslas-model-3-pwn2own-cansec-west-bug-bounty-hacked

5. Уязвимость в Fortnite позволяла злоумышленникам перехватывать учетные записи пользователей.
https://research.checkpoint.com/hacking-fortnite/

6. Большой материал о Magecart, группировке, которая взламывает сайты и подключает свое вредоносное ПО для кражи данных о банковских картах
https://www.riskiq.com/blog/labs/magecart-adverline/

7. Как Твиттер раскрывал информацию о местоположении пользователей
https://arxiv.org/pdf/1901.00897.pdf

Cybersecus дайджест

1. История, заслуживающая внимания — как журналисты издания Motherboard за 300 долларов смогли получить данные о местоположении iPhone на основе данных, продаваемых операторами мобильной связи в США. Данные, продаваемые операторами, оказываются доступными на сайтах, которые используют bounty hunters (пытался понять, как правильно перевести bounty hunters на русский. есть типа термин “охотник за головами”, но он не совсем правильно описывает современных bounty hunters, которые ловят тех, кто сбежал из-под залога. Наверно, все-таки пусть будет “охотник за головами”). Пора заводить отдельный канал “информация о местоположении опасносте”.
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

2. Yubico анонсировали ключи с портом Lightning для iOS-устройств (а также с USB-C)
https://www.yubico.com/2019/01/yubico-launches-the-security-key-nfc-and-a-private-preview-of-the-yubikey-for-lightning-at-ces-2019/

3. Интересно, что немецкого хакера, слившего информацию о публичных личностях, вычислили по аккаунту в Telegram, который был зарегистрирован на настоящий номер телефона. Он общался с каким-то корешем, который много хвастался в интернете таким контактом, кореша арестовали как свидетеля, и все.
https://twitter.com/i0n1c/status/1082612305391730688

4. Некоторые пользователи смартфонов Samsung обнаружили, что они не могут удалить приложение Facebook со своих телефонов. Таковым было условие сделки между Samsung и Facebook. Пользователи могут “отключить” приложение, но при этом опасаются, что приложение все равно собирать и отправлять данные в Facebook (FB говорит, что это не так, но кто же им поверит?)
https://www.bloomberg.com/news/articles/2019-01-08/samsung-phone-users-get-a-shock-they-can-t-delete-facebook

5. 85 приложений в Google Play с миллионами закачек, маскирующиеся под игры и другие приложения, на самом деле работали в фоне, показывали рекламу втихаря и всячески накручивали деньги своим разработчикам
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-disguised-as-game-tv-remote-control-apps-infect-9-million-google-play-users/

Cybersecus дайджест

И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны “предоставить все возможности и помощь учреждениям”. За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе “Hemisphere”, в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью “Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook”.
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:

But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.

https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/

Facebook опять

Кажется, где-то в районе сентября в канале была целая череда новостей про различные истории с Маками в плане инфобезопасности, и тогда создавалось впечатление, что канал только про Маки. Теперь же у меня создается впечатление, что канал про Facebook, потому что никогда такого не было и вот опять!

Facebook сегодня объявили, что в Photo API закралась ошибка, которая привела к тому, что фотографии 6,8 млн пользователей стали доступны приложениям, которые не должны были их видеть. Эти приложения были авторизованы для доступа к ограниченным наборам фотографий, но из-за ошибки приложениям стали доступны фотографии из историй, а также фотографии, которые пользователи загрузили в Facebook, но не опубликовали их.

Ошибка произошла в период с 12 сентября по 25 сентября, когда Facebook обнаружили проблему и исправили её. Но информация о ней стала доступна только сейчас, потому что Facebook, видимо, вынужден был разгребать историю с гораздо большей утечкой данных. Facebook пришлет тем пользователям, которых затронула эта проблема, уведомление с извинениями (Facebook вообще много приходится извиняться в последнее время), а также будет работать с теми разработчиками, приложения которых получили доступ к фотографиям. Таких разработчиков, по словам Facebook, 876, а приложений — около 1500.

Документы Facebook

Парламент Великобритании выложил в открытый доступ 250 страниц документов и внутренней переписки компании Facebook, которая была изъята у основателей стартапа Six4Three в рамках судебного разбирательства между стартапом и социальной сетью.

Вот ссылка на документ (PDF):
https://www.parliament.uk/documents/commons-committees/culture-media-and-sport/Note-by-Chair-and-selected-documents-ordered-from-Six4Three.pdf

Из этих документов можно узнать массу интересного о том, как Facebook использует пользовательские данные, их политику при работе с разработчиками приложений, и как они используют свое доминантное положение на рынке социальных сетей.

Документ разбит на несколько разделов:

White lists
О неких белых списках компаний, которые сохранили данные о пользователях и их друзьях после изменения политики Facebook в 2014-2015 годах касательно доступа к пользовательским данным

Value of friends data
О том, как Facebook оценивал доступ к пользовательским данным и данным о друзьях, и как это влияло на выручку, получаемую разработчиками приложений

Reciprocity
Об обмене данных о пользователях между разработчиками и Facebook после внедрения новой версии платформы социальной сети

Android
О том, как Facebook внедрял возможность получить доступ к информации о звонках и сообщениях пользователей на смартфонах с Android (осознавая, что это может быть проблемой с точки зрения PR), и как компания пыталась замаскировать этот факт — чтобы не показывать соответствующее уведомление при обновлении приложения (УДОБНО!). Эта информация впоследствии была использована для подсказок о “людях, которых вы можете знать”.

Onavo
Я писал несколько раз в канале об Onavo — VPN-клиенте, который купила Facebook, и предлагала пользователям сети установить на смартфоны (и как его выперла из App Store Apple). Из документа можно узнать, что Facebook это все делал намеренно, пытаясь еще больше узнать о своих пользователях, в том числе о том, какие приложения они используют и как часто — чтобы принимать решение о том, какие приложения копировать и каких разработчиков покупать.

Targeting competitor apps
Как Facebook реагировал на приложения, которые им не нравились, и как принимались решения о перекрытии кислорода (доступа к данным) таким приложениям.

Сплошная корпорация добра, скажу я вам, этот Facebook. Connecting the world требует этого всего, как я понимаю.

Вот, например, письмо Цукерберга, в котором он размышляет о продаже пользовательских денег за деньги:

Короче, там много такого. Впереди как раз выходные, можно будет усесться поудобней и почитать повнимательней весь документ. А сколько всего мы еще не знаем.

А потом человек, сидящий в Facebook, задает там вопрос:

Конечно, ему даже в голову не придет, что там не нужно микрофон слушать, чтобы и так о нем все знать.