Cybersecus дайджест #57

Ух сегодня ссылок накопилось (в том числе и потому, что вчера была неожиданная пауза с обновлением). Поехали!

Материал в Men’s Health (не пугайтесь!) о разводках, когда пользователям приходит письмо “я хакер, тебя взломал, вот твой пароль, у меня видео о том, что ты делал за компьютером прошлым летом, шалунишка такой!”. В принципе, ничего нового, о чем еще не говорилось в канале, но тут заметка с комментарием редакции канала, что всегда приятно!
https://mhealth.ru/blog/redakciya/kak-rabotaet-onlajn-razvodka-s-kompromentiruyushim-video-i-pochemu-eto-blef/

Админы сайтов на Drupal, тут важное. Очень критичная уязвимость в Drupal требует скорейшего обновления сайта, потому что эксплуатация этой уязвимости позволяет злоумышленникам запускать вредоносный код на сайте. Правда, там есть два условия, при которых сайт становится уязвимым:
– в Drupal 8 должен быть включен модуль RESTful Web Services (rest) и разрезать запросты PATCH или POST
– или же включен сервис JSON:API в Drupal 8, или RESTful Web Services в Drupal 7
https://www.drupal.org/sa-core-2019-003

TechCrunch, которые в свое время рассказали об экспериментах Facebook с распространением приложения мимо App Store и сбором информации о пользователях в виде исследования, теперь пишет, что Facebook полностью сворачивает проект с этим исследованием. Компания также полностью закрывает приложение Onavo, убирая его из Google Play (из App Store его выперли раньше).
https://techcrunch.com/2019/02/21/facebook-removes-onavo/

Статья о том, что человеку, который изобрел GPS, не нравится, что теперь кто попало и как попало следит за местоположением людей.
https://www.forbes.com/sites/parmyolson/2019/02/13/the-father-of-gps-really-doesnt-like-having-his-location-tracked/

И о слежке. Большой материал в NYT о том, как Китай следит за своими гражданами, используя под видом медосмотров сбор информации о ДНК (и им при этом помогают американцы со своими исследованиями). В ситуации с оцифровыванием и контролируемым хранением материалов авторитарные режимы определенно имеют преимущество перед демократично-либеральными режимами, где население пока что прикрывается свободами для защиты от подобных наблюдений.
https://www.nytimes.com/2019/02/21/business/china-xinjiang-uighur-dna-thermo-fisher.html

Материал на The Verge о лучших аппаратных ключах для двухфакторной аутентификации
https://www.theverge.com/2019/2/22/18235173/the-best-hardware-security-keys-yubico-titan-key-u2f

Еще один интересный материал на The Verge — о пиратских магазинах приложений для iPhone, которые также используют корпоративные сертификаты разработчиков для установки мимо App Store. Со всеми этими историями про Facebook, Google и массу других разработчиков, явно злоупотребляющих возможностями корпоративных сертификатов, Apple явно пора взяться за более тщательный контроль того, кто получает доступ к этим сертификатам и как их использует.
https://www.theverge.com/2019/2/20/18232140/apple-tutuapp-piracy-ios-apps-developer-enterprise-program-misuse

Материал о вредоносном ПО Separ и как он используется для воровства пользовательских данных. Там вообще интересная тема с методом “Living of the land”, в рамках которого жертва c фишинговый письмом получает фейковый документ PDF, который на самом деле является самораспаковывающимся архивом. Из архива на диск распаковываются файлы с именами, похожими на файлы от приложений Adobe, которые с высокой вероятностью могут уже быть на диске пользователей.
https://www.deepinstinct.com/2019/02/19/a-new-wave-of-the-separ-info-stealer-is-infecting-organizations-through-living-off-the-land-attack-methods/

Развлечение на выходные — тест от Google на предмет того, насколько вы устойчивы против фишинга.
https://phishingquiz.withgoogle.com

Cybersecus дайджест #56

С нумерацией выпусков оно как-то даже веселее! И новостей сразу больше стало.

1. У Google есть такой продукт — Nest Secure, система сигнализации для дома (база плюс набор датчиков). В феврале Google анонсировала, что Nest Secure сможет стать самостоятельным устройством для Google Assistant — интеллектуального помощника, с которым можно взаимодействовать с помощью голосовых команд. Так-так, прекрасно. Ой, погодите, что? У устройства есть микрофон? Только вот юзерам, которые уже второй год покупали Nest Secure, о том, что в их устройство встроен микрофон, никто не сказал. Этого также не было в документации по продукту. Google утверждает, что это ошибка (видимо, микрофон сам случайно упал в устройство при сборке, и так десятки тысяч раз), и вообще до этого апдейта микрофон был неактивен. Надо ли удивляться тому, что потом пользователи не доверяют компаниям, подозревая их в незаконной прослушке и подглядыванию за пользователями? А сколько таких устройств со скрытыми микрофонами могут насобирать компании под всемирно известным брендом Noname, и ничего не подозревающие пользователи купят их себе домой?
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html

2. У WordPress 5.0.0 обнаружилась уязвимость, позволяющая получить контроль над сайтом. Кто не проапдейтился на 5.0.3, сам виноват!
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

3. Статья у MIT о том, как пошла целая череда взломов блокчейнов, которые типа должны были быть невзламываемыми. Хмммм….
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/

4. Ну и мое любимое — IoT, который работает, но не так, как хотелось бы пользователям. История про то, как новая модель кроссовок Nike, которая умеет “затягивать шнурки” по команде с телефона. ТОлько вот выпущенный апдейт для приложения под Android зафейлил процесс апдейта прошивки кроссовок и для многих пользователей кроссовки внезапно перестали работать. Надо больше “умных” устройств и еще больше прошивок!
https://play.google.com/store/apps/details?id=com.nike.adapt&showAllReviews=true

5. Большой отчет правительства Великобритании о Facebook и его практиках по слежке за пользователями и конкурентами (в том числе с использованием многократно упоминавшейся тут программы Onavo). Зажимание Vine, белые списки для разных приложений по доступу к пользовательским данным, вот это все. Но все, что мы слышим от Facebook — “мы не продаем данные пользователей рекламодателям”. Конечно, не продают, они её сдают в аренду.
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/

Cybersecus дайджест

Подборка новых материалов и ссылок, а также несколько таких, которые по случайности не попали во вчерашний выпуск.

Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/

Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/

Я как-то писал об истории, из которой было понятно только то, что правоохранительные органы США склоняют Facebook к раскрытию шифрования Messenger для записи переговоров кого-то из подозреваемых в рамках какого-то определенного расследования. Тогда у правительства США не получилось заставить Facebook это сделать. Интересно, что правоохранительная организация ACLU пытались через суд получить детали этого расследования, но судья, как пишет Reuters, отказала, потому что “рассекречивание таких документов скомпроментировало методы правоохранительных органов”. Так что все продолжают оставаться в неведении, что и как хотели сделать правоохранительные органы, но это может служить очередным напоминанием о том, что им очень не нравятся механизмы шифрования и они будут продолжать пытаться обойти их или избавиться от них.
https://www.gizmodo.com.au/2019/02/you-dont-get-to-learn-how-the-fbi-tried-to-crack-facebook-messenger-encryption-judge-rules/

А тем временем в Великобритании вроде как предложили принять закон, по которому даже за случайный клик на материалы с пропагандой терроризма можно получить до 15 лет тюрьмы.
https://www.independent.co.uk/news/uk/crime/terrorist-propaganda-website-online-prison-sentence-uk-isis-a8776226.html

Cybersecus дайджест

Сегодня у нас несколько follow-ups для новостей этой недели, и несколько очень интересных статей для почитать на выходных.

1. После того, как Apple обнаружила, что Facebook и Google распространяли приложения с сертификатом для разработки корпоративных приложений среди пользователей, включая подростков, фруктовая компания отозвала эти сертификаты. Это внесло некоторый бардак в работу F/G, поскольку у них перестали работать многие внутренние приложения. Так вот, сегодня Apple выдала этим компаниям новые сертификаты, и конфликт, видимо, исчерпан. F/G придётся, конечно, пересобрать все свои внутренние приложения, чтобы они начали работать у сотрудников компаний. Интересно, что они пообещали Apple в обмен на такое решение? Уверен, эти вопросы решились на уровне первых лиц компаний.
FB https://twitter.com/mikeisaac/status/1091103868463636481?s=21
G https://twitter.com/mhbergen/status/1091168798856556544?s=21
Интересная статья о том, что происходило в FB, когда внутренние приложения перестали работать
https://www.nytimes.com/2019/01/31/technology/apple-blocks-facebook.html

2. Помните историю с багом FaceTime, позволявшим подслушивать собеседника до того, как он ответил на звонок? Изначально Apple обещала исправить лагуна этой неделе. Сегодня компания сказала, что бага на серверной срочнее исправлена, а вот апдейт с iOS выйдет на следующей неделе. Тогда же компания и включит функциональность обратно. Заодно компания поблагодарила обнаруживших багу, извинилась за него, а также пообещала улучшить процесс подачи информации о подобных находках. Хотя, конечно, осадочек остался.

3. Zeroidum предлагает более 100 тыс долларов за информацию об уязвимостях нулевого дня в роутерах MikroTik
https://twitter.com/Zerodium/status/1090950214121222144

4. Уязвимости в протоколе SS7, используемом мобильными операторами для синхронизации передачи текстовых сообщений и звонков, реально применяются уже для атак на банковские счета пользователей в Великобритании и Германии (злоумышленницам все равно надо знать логин и пароль пользователя, но всеми утечками и данными в интернете это обычно не проблема). Злоумышленники заводят новых получателей и делают на них переводы, перехватывая SMS. Двухфакторная аутентификация через SMS должна умереть.
https://motherboard.vice.com/en_us/article/mbzvxv/criminals-hackers-ss7-uk-banks-metro-bank
https://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

5. Airbus признал, что у компании вследствие взлома произошла утечка персональных данных сотрудников
https://thehackernews.com/2019/01/airbus-data-breach.html

6. Не новость, но хорошая заметка от ACLU, известной правозащитной организации в США о Ghost Proposal, рекомендациях британской разведки для внедрения бэкдоров для скрытного «прослушивания» переписки. Казалось бы, что может пойти не так?
https://www.aclu.org/blog/privacy-technology/consumer-privacy/spies-want-make-facetime-eavesdropping-bug-feature

7. Ещё одна история про сайт с информацией о ДНК и как это помогло решить одно нераскрытое убийство в штате Орегон. Информация о ДНК с места преступления позволила найти семью убийцы (тот был казнен в 1999 году), и они подтвердили, что 40 лет назад тот действительно находился в поездке на северозападе побережья Тихого океана.
https://www.portlandoregon.gov/police/news/read.cfm?id=199719&ec=1&ch=twitter

8. Прогноз о том, что ситуация со взломами будет ухудшаться (пффф, тоже мне новость):
https://www.pehub.com/vc-journal/this-will-be-the-worst-year-yet-for-cyberbreaches/

Cybersecus дайджест

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.

АПДЕЙТ Отозвали

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей. HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

Расплата Facebook

После вчерашней новости о том, как Facebook злоупотребил корпоративным сертификатом разработчика Apple для распространения приложения по сбору информации с участвующих в “исследовании” пользователей, ответ Apple оказался быстрым и на удивление эффективным. Apple отозвала девелоперский сертификат, что полностью ограничило возможность распространения и работы внутренних приложений в Facebook на iPhone. Это включает в себя бета-версии приложений компании, а также все внутренние приложения, например, для перемещения между офисами или для заказа обеда (о ужас, как же сотрудникам Facebook придется заказывать обед вручную, как будто дикари какие-то). Наверно, это станет дополнительным поводом Цукербергу потребовать от всех сотрудников отказаться от iPhone и перейти на Android, как он уже призывал топ-менеджеров сделать это.

Заявление Apple по поводу нарушения правил Facebook:
“We designed our Enterprise Developer Program solely for the internal distribution of apps within an organization. Facebook has been using their membership to distribute a data-collecting app to consumers, which is a clear breach of their agreement with Apple. Any developer using their enterprise certificates to distribute apps to consumers will have their certificates revoked, which is what we did in this case to protect our users and their data.”

Facebook, правда, на тот момент успел заявить, что прекращает эту исследовательскую программу, но было уже поздно. Кроме этого, Facebook пытается оспорить некоторые моменты статьи в TechCrunch, утверждая, что “мы там всех предупреждали и запрашивали разрешения”.

Key facts about this market research program are being ignored. Despite early reports, there was nothing ‘secret’ about this; it was literally called the Facebook Research App. It wasn’t ‘spying’ as all of the people who signed up to participate went through a clear on-boarding process asking for their permission and were paid to participate. Finally, less than 5 percent of the people who chose to participate in this market research program were teens. All of them with signed parental consent forms.

Интересно, что в случае подписки на участие в исследовании подростка возрастом от 13 до 17 лет, требовалось согласие родителей, которое выражалось в том, что нужно было нажать один чекбокс.

Классический сценарий PR-кризиса Facebook выглядит так:
– публикуется новость
– фейсбук опровергает какие-то детали из статьи, не комментируя проблему по сути
– затем наступает фаза “Мы ничего не нарушали, но мы прекращаем эту практику”
– затем фаза дополнительных оправданий и опровержений
(вы находитесь здесь)
– затем наступает фаза, когда кто-то публикует статью, в которой оправдывает действия Facebook
– Затем Facebook (иногда, когда проблема действительно серьезная, это даже Цукерберг) извиняется, рассказывая, что больше ни-ни.

Так что мысль о том, что “фейсбук как всегда” не так уж далека от правды.

Facebook как всегда

Вчера на TechCrunch вышел материал о приложении Facebook Research для iOS и Android. Это приложение распространяется через сторонние сервисы под соусом “исследования аудитории”, вот страница для регистрации по участию в сервисе (кроме Applause, используются сервисы BetaBound и uTest). Требование к аудитории — проживание в США и возраст от 13 до 37 лет. Участие в исследовании предполагает оплату 20 долларов в месяц, а в обмен на это приложение собирает с телефонов пользователей практически все, что можно с телефонов собрать. Дело в том, что:
а) приложение для iOS распространяется с использованием сертификата разработчика Apple для корпоративных приложений, что дает Facebook практически полный доступ к данным пользователей на телефонах, включая фото и видео, почту, историю в браузерах, информацию о местоположении и тд.
б) приложение является замаскированным VPN-клиентом Onavo, принадлежащим Facebook, и, соответственно, дает Facebook доступ ко всему сетевому трафику устройств, на которых установлено такое приложение.
В некоторых случаях приложение даже просит аплоадить скриншоты истории покупок на Amazon (что вообще?).

Про Onavo вы можете помнить из истории еще летом, когда оказалось, что Facebook собирает слишком много информации о пользователях, не предупреждая их об этом, и в итоге Onavo убрали из App Store. Именно Onavo, кстати, в свое время показал Фейсбуку рост популярности WhatsApp, что привело к приобретению сервиса компанией Facebook. Но тут ситуация осложняется не только тем, что сервисы, распространяющие это приложение, не раскрывают полный набор данных, собираемых этим приложением (достаточно посмотреть на описание внизу страницы регистрации).

“By installing the software, you’re giving our client permission to collect data from your phone that will help them understand how you browse the internet, and how you use the features in the apps you’ve installed . . . This means you’re letting our client collect information such as which apps are on your phone, how and when you use them, data about your activities and content within those apps, as well as how other people interact with you or your content within those apps. You are also letting our client collect information about your internet browsing activity (including the websites you visit and data that is exchanged between your device and those websites) and your use of other online services. There are some instances when our client will collect this information even where the app uses encryption, or from within secure browser sessions.”

Большинство пользователей, особенно подростки, в мир которых так хочет заглянуть Facebook, не способны полноценно осознать масштабы сбора информации, который осуществляет это приложение. Что именно собирает приложение, точно сказать невозможно, не посмотрев на логи на сервере, но зная Facebook, можно предположить, что все, до чего могли дотянуться их руки, они собирают.

Проблема еще и в том, что корпоративный сертификат разработчика Apple нельзя использовать для распространения приложений таким образом. Enterprise сертификаты могут использоваться для подписи приложений, которые будут использоваться сотрудниками компании для внутренних нужд, с целью разработки и тестирования. Непонятно, какой будет реакция Apple в этой ситуации. Теоретически компания может (и должна) отозвать корпоративный сертификат разработчика Facebook, но там и до полноценной войны между двумя корпорациями недалеко. У Apple не так много рычагов для влияния на Facebook — не станет же Apple удалять приложение Facebook из App Store. Но это настолько очевидная пощечина Apple с её борьбой за конфиденциальность пользовательских данных, что компания просто обязана как-то отреагировать. Пора доставать попкорн.

Cybersecus дайджест

Еще несколько интересных и актуальных ссылок на тему канала:

1. Заметка о модной штуке в ФБ и других соцмедиа — постах с фотографиями за 10 лет. Автор рассуждает на тему того, что такие посты хорошо помогают тренировать алгоритмы об изменениях человека с возрастом, что дает социальным сетям дополнительную информацию о нас. Что само по себе как бы не плохо, просто факт.
https://www.wired.com/story/facebook-10-year-meme-challenge/

2. Исследование о том, что пользователи очень плохо представляют себе масштабы сбора информации Фейсбук о них. Я с этим сталкиваюсь каждый раз, когда натыкаюсь на очередное обсуждение слухов о том, что “фейсбук нас слушает через микрофон смартфона”.
http://www.pewinternet.org/2019/01/16/facebook-algorithms-and-personal-data/

3. Интересный feature request к Google для того, чтобы внедрить специальный PIN на телефоне, который бы приводил к удалению данных на устройстве. Конечно, риски случайно удалить данные есть, но для некоторых ситуаций это может оказаться полезным
https://issuetracker.google.com/issues/121372590

4. Илон Маск выставил Tesla в соревновании по взлому Pwn2Own
https://www.theverge.com/2019/1/14/18182539/teslas-model-3-pwn2own-cansec-west-bug-bounty-hacked

5. Уязвимость в Fortnite позволяла злоумышленникам перехватывать учетные записи пользователей.
https://research.checkpoint.com/hacking-fortnite/

6. Большой материал о Magecart, группировке, которая взламывает сайты и подключает свое вредоносное ПО для кражи данных о банковских картах
https://www.riskiq.com/blog/labs/magecart-adverline/

7. Как Твиттер раскрывал информацию о местоположении пользователей
https://arxiv.org/pdf/1901.00897.pdf

Cybersecus дайджест

1. История, заслуживающая внимания — как журналисты издания Motherboard за 300 долларов смогли получить данные о местоположении iPhone на основе данных, продаваемых операторами мобильной связи в США. Данные, продаваемые операторами, оказываются доступными на сайтах, которые используют bounty hunters (пытался понять, как правильно перевести bounty hunters на русский. есть типа термин “охотник за головами”, но он не совсем правильно описывает современных bounty hunters, которые ловят тех, кто сбежал из-под залога. Наверно, все-таки пусть будет “охотник за головами”). Пора заводить отдельный канал “информация о местоположении опасносте”.
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

2. Yubico анонсировали ключи с портом Lightning для iOS-устройств (а также с USB-C)
https://www.yubico.com/2019/01/yubico-launches-the-security-key-nfc-and-a-private-preview-of-the-yubikey-for-lightning-at-ces-2019/

3. Интересно, что немецкого хакера, слившего информацию о публичных личностях, вычислили по аккаунту в Telegram, который был зарегистрирован на настоящий номер телефона. Он общался с каким-то корешем, который много хвастался в интернете таким контактом, кореша арестовали как свидетеля, и все.
https://twitter.com/i0n1c/status/1082612305391730688

4. Некоторые пользователи смартфонов Samsung обнаружили, что они не могут удалить приложение Facebook со своих телефонов. Таковым было условие сделки между Samsung и Facebook. Пользователи могут “отключить” приложение, но при этом опасаются, что приложение все равно собирать и отправлять данные в Facebook (FB говорит, что это не так, но кто же им поверит?)
https://www.bloomberg.com/news/articles/2019-01-08/samsung-phone-users-get-a-shock-they-can-t-delete-facebook

5. 85 приложений в Google Play с миллионами закачек, маскирующиеся под игры и другие приложения, на самом деле работали в фоне, показывали рекламу втихаря и всячески накручивали деньги своим разработчикам
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-disguised-as-game-tv-remote-control-apps-infect-9-million-google-play-users/

Cybersecus дайджест

И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны “предоставить все возможности и помощь учреждениям”. За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе “Hemisphere”, в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью “Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook”.
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:

But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.

https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/