Прозрачность

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

– Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
– Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
– Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
– Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
– Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
– Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
– Вопросы, касающиеся национальной безопасности США.
– Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Continue reading

Cybersecus дайджест

Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!

1. “Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей”
https://www.bbc.com/russian/features-46596673

2. “Наши с вами персональные данные по-прежнему нагло продаются”
https://habr.com/post/433384/

3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они… Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html

4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC

5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/

6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085

8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
https://www.rbc.ru/politics/20/12/2018/5c1b671f9a7947ec90c89b6b

Cybersecus дайджест

компенсируя за вчерашнюю паузу, сегодня сразу много ссылок на самые разные и специфичные вкусы, да.

1. История о том, как кто-то хакнул “видеоняню” (как по мне, дурацкий перевод термина “baby monitor”) и требовал выкупа за якобы выкраденного ребенка. Похоже, что имел место reuse паролей, благодаря которому злоумышленник вошел в аккаунт Nest пользователя.
https://www.nbcnews.com/news/us-news/nest-camera-hacker-threatens-kidnap-baby-spooks-parents-n949251

2. Мемасики в Твиттере, дающие команду вредоносному ПО, кто бы мог подумать! Ничего святого не осталось у этих киберпреступников!
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

3. Google согласилась не продавать свои API для распознавания лиц, чтобы избежать злоупотреблений этой технологией
https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/amp/

4. Уязвимость в SQLite c RCE
https://blade.tencent.com/magellan/index_en.html
Детальное описание
PoC

5. Разработчик приложения для создания анимированных аватаров оставил доступной в интернете и не защищенной паролем ElasticSearch базу с данными на 5 миллионов пользователей, включая имена, страну и местоположение (для примерно 400 тыс пользователей), а также адресную книгу тех пользователей, кто разрешил доступ приложению к адресной книге
https://techcrunch.com/2018/12/13/popular-boomoji-app-exposed-millions-contact-lists-location-data/

6. Блог-пост Signal по поводу австралийского закона
https://signal.org/blog/setback-in-the-outback/

И снова Google+

Помните, в октябре была история про то, что в Google+ обнаружилась уязвимость, которая позволяла видеть данные пользователей? Тогда Google сказала, что “в течение двух недель были доступны данные на 500 тысяч пользователей”, при том, что уязвимость существовала три года. После этого Google даже пообещала и закрыть Google+ в 2019 году.

Так вот, сегодня Google призналась, что еще одна уязвимость в API Google+ привела к тому, что данные на 52,5 млн пользователей были доступны из приложений, которые использовали Google+ API. Сам баг существовал только 6 дней в ноябре этого года, и позволял приложениям получать информацию о профиле пользователя, включая имя, адрес электронной почты, пол, дату рождения, возраст и тд, даже если эти данные были непубличными. Более того, уязвимость позволяла через профиль пользователя получать данные и на других пользователей.

Google говорит, что нет свидетельств того, что эта уязвимость была эксплуатирована каким-либо приложением, но на всякий случай Google приняла решение ускорить процесс сворачивания Google+: доступ к API закроется через 90 дней, а сама социальная сеть вместо августа 2019 года закроется в апреле 2019 года. Спешите что-нибудь туда запостить, пока не закрыли!

https://www.blog.google/technology/safety-security/expediting-changes-google-plus/

Уязвимость Google+

В статье в Wall Street Journal (paywall) сегодня рассказали о том, что уязвимость в Google+ на протяжении трех лет позволяла видеть данные профиля пользователей (имя, адрес электронной почты, пол, возраст), даже если эти данные были отмечены как скрытые. Google утверждает, что сторонние разработчики не воспользовались этой уязвимостью для сбора пользовательских данных. Вот пост Google о том, что произошло и что будет дальше:
https://www.blog.google/technology/safety-security/project-strobe/

Проблема, по словам представителей Google, затрагивала около 500 тыс пользователей (на протяжении последних двух недель, пока хранятся логи. Что там было в прошлом, Google сказать не может). Интересно, что Google обнаружила эту проблему в марте 2018 года, но компания решила не сообщать о ней, так как опасалась внимания со стороны регуляционных органов (на волне внимания к проблеме Facebook и Cambridge Analytica). Эта скрытность, чувствую, еще вылезет Google каким-нибудь боком. Зато из хорошего: Google таки в течение следующего года закроет социальную сеть Google+ для потребителей, потому что “там все равно никого нет” (90% сессий короче 5 секунд — видимо, те, кто случайно туда попал).

Кроме того, Google проводит аудит доступа разработчиков к пользовательским данным и вносит соответствующие изменения. В частности, появятся ограничения для разработчиков приложений на Android в плане доступа к истории звонков: только те приложения-звонилки, которые установлены таковыми по умолчанию, плюс приложения для работы с голосовой почтой и резервными копиями. Появятся и дополнительные ограничения на доступ к почте в Gmail для разработчиков приложений.

Sign-in в Google Chrome

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила “залогинены” на “запоганены”, и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б – в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/

Тупиковый Android

Мне тут вчера попалась на глаза интересная заметка, и поскольку она совпадает с некоторыми моими мыслями, которые крутятся у меня в голове уже какое-то время, я решил её перевести, тем более, что она не очень длинная. Правда, эта заметка не даёт ответов на вопросы, которые у меня есть, поэтому, возможно, удастся их пообсуждать в комментариях к заметке.
————
Android – это тупик.
Я бы очень хотел написать более детальную и развёрнутую статью с пояснением, почему я думаю, что Android – это тупик, но я пока не могу толком аргументировать свои мысли почему я так думаю уже несколько месяцев. Это не означает, что Google завтра покинет рынок мобильных операционных систем, и не означает, что название «Android» куда-то исчезнет. Это означает, что то, что мы сегодня воспринимаем как «Android» – ядро Linux, Android Runtime, и все, что там поверх этого – отслужило свою службу с задачей «нам нужен продукт для конкуренции», и уйдёт в прошлое.
Continue reading

Внезапный интерес Google к вашим фото

У меня сложные отношения с Google как компанией, которая знает слишком много обо мне и использует эти данные для того, чтобы “продавать меня” рекламодателям. С одной стороны, их сервисы, безусловно, удобные и полезные, а с другой – от незнания того, что именно там Google делает с моими данными иногда прямо мороз по коже. С Facebook, кстати, та же история, только у них еще и ленту невозможно читать, поэтому я этого по возможности избегаю. С Apple все не так однозначно, Apple неоднократно демонстрировала, что приватность пользователей она ценит гораздо больше, чем “рекламные агентства” на буквы G и F, но даже с ними я стараюсь ограничивать то количество информации, которое я добровольно отдаю компании. Это вызывает определенные неудобства, так как многие современные сервисы рассчитаны как раз на то, что ты “отдаешься им полностью”, а они уже “сделают тебе хорошо”, но лучше я пока буду с паранойей, а там посмотрим.
Вот Google Photos — один из таких сервисов. На поверхности — чертовски удобный, и гораздо лучше, чем то, что предлагает Apple, но почему-то от него ощущение, как говорят американцы, creepy as hell. Конечно, фотографии как дополнение к почте, к которой уже имеет доступ Gmail, не кажутся большой трагедией, но неизвестность все равно напрягает. Я наткнулся на хорошую статью по этому поводу, которая, как мне кажется, отражает мое беспокойство, и решил её перевести, чтобы беспокойно было не только мне. Статья довольно взвешена и без панических ноток.
Continue reading

Не позволяйте Facebook делать вас несчастными

Давненько я ничего не переводил. В основном это связано с тем, что набросать свои мысли всегда легче и быстрее, чем что-то качественно перевести (да и, если быть откровенным, переводы у меня так себе – я все-таки любитель). Но тут попалась на глаза статья в NYT, которая хорошо дополняет мои мысли по поводу Facebook (и почему я туда стараюсь не ходить). Поэтому вот вам для спокойствия, вдохновения и не только.
———
Теперь это уже зафиксировано официально. Ученые проанализировали данные и подтвердили, о чем мы и так в глубине души знали. Социальные медиа заставляют нас чувствовать себя несчастными.

Мы уже смутно догадывались, что не могут все быть такими успешными, богатыми, привлекательными, расслабленными, умными и довольными, как они выглядят в Facebook. Но мы не можем остановиться, чтобы не сравнивать свою жизнь с отфильтрованной жизнью наших друзей.
Continue reading

Немножко про Nexus 6P

Я тут обзавелся Nexus 6P — в основном потому, что мне нужно смотреть кое-какие программы, ну и раз там Android, то хочется получать обновления сразу, а не как с другими производителями, когда апдейты приходят сначала в лучшем случае через полгода, а потом никогда. Для разнообразия я решил взять устройство, которым можно что-нибудь компенсировать при необходимости, а если что — то и грядку вскопать.
Если вы вдруг рассчитывали, что тут я буду рвать на части Android, то я буду вынужден вас расстроить. Во-первых, здесь я хочу просто отметить несколько вещей именно про устройство и его аппаратную часть, а во-вторых, как это ни прискорбно будет слышать фанатам Apple/iPhone, Android в чистом виде нынче весьма неплох. Есть какие-то моменты, где все-таки видно, что эту систему делали гики для гиков, есть моменты, где неудобно или недодумано, но это есть и в iOS. Так что для большинства пользователей Android сегодня — это то, что определяется выражением “good enough” — достаточно хорош для того, чтобы большинство людей могли этим вполне комфортно пользоваться. Теперь можете поплакать над своим айфоном.
Continue reading