Tag Archives: google

Cybersecus дайджест

Posted on by
Reply

Сегодня у нас несколько follow-ups для новостей этой недели, и несколько очень интересных статей для почитать на выходных.

1. После того, как Apple обнаружила, что Facebook и Google распространяли приложения с сертификатом для разработки корпоративных приложений среди пользователей, включая подростков, фруктовая компания отозвала эти сертификаты. Это внесло некоторый бардак в работу F/G, поскольку у них перестали работать многие внутренние приложения. Так вот, сегодня Apple выдала этим компаниям новые сертификаты, и конфликт, видимо, исчерпан. F/G придётся, конечно, пересобрать все свои внутренние приложения, чтобы они начали работать у сотрудников компаний. Интересно, что они пообещали Apple в обмен на такое решение? Уверен, эти вопросы решились на уровне первых лиц компаний.
FB https://twitter.com/mikeisaac/status/1091103868463636481?s=21
G https://twitter.com/mhbergen/status/1091168798856556544?s=21
Интересная статья о том, что происходило в FB, когда внутренние приложения перестали работать
https://www.nytimes.com/2019/01/31/technology/apple-blocks-facebook.html

2. Помните историю с багом FaceTime, позволявшим подслушивать собеседника до того, как он ответил на звонок? Изначально Apple обещала исправить лагуна этой неделе. Сегодня компания сказала, что бага на серверной срочнее исправлена, а вот апдейт с iOS выйдет на следующей неделе. Тогда же компания и включит функциональность обратно. Заодно компания поблагодарила обнаруживших багу, извинилась за него, а также пообещала улучшить процесс подачи информации о подобных находках. Хотя, конечно, осадочек остался.

3. Zeroidum предлагает более 100 тыс долларов за информацию об уязвимостях нулевого дня в роутерах MikroTik
https://twitter.com/Zerodium/status/1090950214121222144

4. Уязвимости в протоколе SS7, используемом мобильными операторами для синхронизации передачи текстовых сообщений и звонков, реально применяются уже для атак на банковские счета пользователей в Великобритании и Германии (злоумышленницам все равно надо знать логин и пароль пользователя, но всеми утечками и данными в интернете это обычно не проблема). Злоумышленники заводят новых получателей и делают на них переводы, перехватывая SMS. Двухфакторная аутентификация через SMS должна умереть.
https://motherboard.vice.com/en_us/article/mbzvxv/criminals-hackers-ss7-uk-banks-metro-bank
https://www.sueddeutsche.de/digital/it-sicherheit-schwachstelle-im-mobilfunknetz-kriminelle-hacker-raeumen-konten-leer-1.3486504

5. Airbus признал, что у компании вследствие взлома произошла утечка персональных данных сотрудников
https://thehackernews.com/2019/01/airbus-data-breach.html

6. Не новость, но хорошая заметка от ACLU, известной правозащитной организации в США о Ghost Proposal, рекомендациях британской разведки для внедрения бэкдоров для скрытного «прослушивания» переписки. Казалось бы, что может пойти не так?
https://www.aclu.org/blog/privacy-technology/consumer-privacy/spies-want-make-facetime-eavesdropping-bug-feature

7. Ещё одна история про сайт с информацией о ДНК и как это помогло решить одно нераскрытое убийство в штате Орегон. Информация о ДНК с места преступления позволила найти семью убийцы (тот был казнен в 1999 году), и они подтвердили, что 40 лет назад тот действительно находился в поездке на северозападе побережья Тихого океана.
https://www.portlandoregon.gov/police/news/read.cfm?id=199719&ec=1&ch=twitter

8. Прогноз о том, что ситуация со взломами будет ухудшаться (пффф, тоже мне новость):
https://www.pehub.com/vc-journal/this-will-be-the-worst-year-yet-for-cyberbreaches/

Cybersecus дайджест

Posted on by
Reply

Сегодня немножко ссылок по теме.

1. После того, как Apple вчера забанила корпоративный сертификат разработчика Facebook, оказалось, что у Google есть тоже подобная программа с распространением приложения вне App Store для сбора исследовательской информации. Правда, Google, не дожидаясь банхаммера Apple, быстренько программу свернула и попросила прощения, поэтому им сертификат не отозвали.

АПДЕЙТ Отозвали

2. Помните “Коллекцию 1” с огромным количеством логинов и паролей (773 млн), собранных из разных утечек? Теперь Wired пишет, что (совершенно ожидаемо) в интернете активно циркулируют остальные коллекции (2-5) на 2,2 млрд записей. HaveIBeenPwned пока что не заливал в себя эти архивы, но Hasso Plattner Institute это сделал, и поэтому проверить свой имейл на наличие в этих архивах можно тут (паранойя в виде “они просто собирают наши адреса имейлов” — на ваше усмотрение):
https://sec.hpi.de/ilc/search
Традиционная гигиена паролей (отсутствие re-use, 2FA) приветствуется!

3. Прокуратура штата Нью-Йорк решила, что надо срочно разобраться как следует и наказать кого попало по поводу баги в FaceTime, позволявшей подслушивать собеседника при звонках FaceTime. И почему компания так медленно реагировала на информацию о баге (responsible disclosure, 90 дней, вот это все, ну да ладно. не думаю, что у них что-то получится.)

4. Новое вредоносное ПО для macOS, специально заточенное на воровство кукисов для различных криптокошельков. Оно еще и криптовалюту пытается майнить, гадина такая. Я что-то читал-читал, но так и не понял, как подцепить эту софтину.
https://unit42.paloaltonetworks.com/mac-malware-steals-cryptocurrency-exchanges-cookies/

Прозрачность

Posted on by
Reply

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

– Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
– Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
– Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
– Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
– Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
– Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.
– Вопросы, касающиеся национальной безопасности США.
– Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.
Continue reading

Cybersecus дайджест

Posted on by
Reply

Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!

1. “Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей”
https://www.bbc.com/russian/features-46596673

2. “Наши с вами персональные данные по-прежнему нагло продаются”
https://habr.com/post/433384/

3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они… Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html

4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC

5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/

6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085

8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
https://www.rbc.ru/politics/20/12/2018/5c1b671f9a7947ec90c89b6b

Cybersecus дайджест

Posted on by
Reply

компенсируя за вчерашнюю паузу, сегодня сразу много ссылок на самые разные и специфичные вкусы, да.

1. История о том, как кто-то хакнул “видеоняню” (как по мне, дурацкий перевод термина “baby monitor”) и требовал выкупа за якобы выкраденного ребенка. Похоже, что имел место reuse паролей, благодаря которому злоумышленник вошел в аккаунт Nest пользователя.
https://www.nbcnews.com/news/us-news/nest-camera-hacker-threatens-kidnap-baby-spooks-parents-n949251

2. Мемасики в Твиттере, дающие команду вредоносному ПО, кто бы мог подумать! Ничего святого не осталось у этих киберпреступников!
https://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-use-malicious-memes-that-communicate-with-malware/

3. Google согласилась не продавать свои API для распознавания лиц, чтобы избежать злоупотреблений этой технологией
https://www.blog.google/around-the-globe/google-asia/ai-social-good-asia-pacific/amp/

4. Уязвимость в SQLite c RCE
https://blade.tencent.com/magellan/index_en.html
Детальное описание
PoC

5. Разработчик приложения для создания анимированных аватаров оставил доступной в интернете и не защищенной паролем ElasticSearch базу с данными на 5 миллионов пользователей, включая имена, страну и местоположение (для примерно 400 тыс пользователей), а также адресную книгу тех пользователей, кто разрешил доступ приложению к адресной книге
https://techcrunch.com/2018/12/13/popular-boomoji-app-exposed-millions-contact-lists-location-data/

6. Блог-пост Signal по поводу австралийского закона
https://signal.org/blog/setback-in-the-outback/

И снова Google+

Posted on by
Reply

Помните, в октябре была история про то, что в Google+ обнаружилась уязвимость, которая позволяла видеть данные пользователей? Тогда Google сказала, что “в течение двух недель были доступны данные на 500 тысяч пользователей”, при том, что уязвимость существовала три года. После этого Google даже пообещала и закрыть Google+ в 2019 году.

Так вот, сегодня Google призналась, что еще одна уязвимость в API Google+ привела к тому, что данные на 52,5 млн пользователей были доступны из приложений, которые использовали Google+ API. Сам баг существовал только 6 дней в ноябре этого года, и позволял приложениям получать информацию о профиле пользователя, включая имя, адрес электронной почты, пол, дату рождения, возраст и тд, даже если эти данные были непубличными. Более того, уязвимость позволяла через профиль пользователя получать данные и на других пользователей.

Google говорит, что нет свидетельств того, что эта уязвимость была эксплуатирована каким-либо приложением, но на всякий случай Google приняла решение ускорить процесс сворачивания Google+: доступ к API закроется через 90 дней, а сама социальная сеть вместо августа 2019 года закроется в апреле 2019 года. Спешите что-нибудь туда запостить, пока не закрыли!

https://www.blog.google/technology/safety-security/expediting-changes-google-plus/

Уязвимость Google+

Posted on by
Reply

В статье в Wall Street Journal (paywall) сегодня рассказали о том, что уязвимость в Google+ на протяжении трех лет позволяла видеть данные профиля пользователей (имя, адрес электронной почты, пол, возраст), даже если эти данные были отмечены как скрытые. Google утверждает, что сторонние разработчики не воспользовались этой уязвимостью для сбора пользовательских данных. Вот пост Google о том, что произошло и что будет дальше:
https://www.blog.google/technology/safety-security/project-strobe/

Проблема, по словам представителей Google, затрагивала около 500 тыс пользователей (на протяжении последних двух недель, пока хранятся логи. Что там было в прошлом, Google сказать не может). Интересно, что Google обнаружила эту проблему в марте 2018 года, но компания решила не сообщать о ней, так как опасалась внимания со стороны регуляционных органов (на волне внимания к проблеме Facebook и Cambridge Analytica). Эта скрытность, чувствую, еще вылезет Google каким-нибудь боком. Зато из хорошего: Google таки в течение следующего года закроет социальную сеть Google+ для потребителей, потому что “там все равно никого нет” (90% сессий короче 5 секунд — видимо, те, кто случайно туда попал).

Кроме того, Google проводит аудит доступа разработчиков к пользовательским данным и вносит соответствующие изменения. В частности, появятся ограничения для разработчиков приложений на Android в плане доступа к истории звонков: только те приложения-звонилки, которые установлены таковыми по умолчанию, плюс приложения для работы с голосовой почтой и резервными копиями. Появятся и дополнительные ограничения на доступ к почте в Gmail для разработчиков приложений.

Sign-in в Google Chrome

Posted on by
1

Эта информация будет актуальна для пользователей браузера Google Chrome. Начиная с версии 69, если вы логинитесь в какой-то сайт Google со своим аккаунтом, то этот аккаунт также будет автоматически использован для логина в сам браузер Google Chrome. До этой версии подобный вход давал пользователю опцию отказаться от логина в сам браузер, отказываясь от функциональности по синхронизации закладок, истории и прочей, которая требует аккаунта пользователя. То есть можно было не логинясь в браузер, по-прежнему использовать, например, сервис GMail.

С 69 версии это поведение изменилось, так что однажды войдя своей учетной записью в какой-то сайт Google, вы будете автоматически залогинены этой учеткой и в браузер (автокорректировка исправила “залогинены” на “запоганены”, и что-то в этом есть). Это позволило некоторым пользователям в интернете тут же заявить, что таким скрытым образом Google сразу начинает получать закладки и историю пользователя, но это не так, синхронизация этих данных по-прежнему требует отдельного подтверждения со стороны пользователя. Правда, теперь, залогинившись в браузер, ваш логин будет использован не только для Gmail, но и для поиска в Google, так что что-то Google о вас все равно узнает. Объяснение, которое дает Google этому изменению, что это упрощает ситуацию с общими компьютерами, когда пользователь А мог быть залогинен в Gmail, а пользователь Б – в браузер. Звучит так себе.

Правда, это изменение вызывает другие вопросы. До этого браузер и контент в браузере были отдельными сущностями, что позволяло браузеру быть как бы нейтральным по отношению к сервисам Google. Теперь же это разделение уходит, и теперь Chrome становится неотделимой частью сервисов Google. Мириться или не мириться с этим — на ваше усмотрение.

Еще по ссылке много интересных мыслей по этому поводу:
https://blog.cryptographyengineering.com/2018/09/23/why-im-leaving-chrome/

Тупиковый Android

Posted on by
Reply

Мне тут вчера попалась на глаза интересная заметка, и поскольку она совпадает с некоторыми моими мыслями, которые крутятся у меня в голове уже какое-то время, я решил её перевести, тем более, что она не очень длинная. Правда, эта заметка не даёт ответов на вопросы, которые у меня есть, поэтому, возможно, удастся их пообсуждать в комментариях к заметке.
————
Android – это тупик.
Я бы очень хотел написать более детальную и развёрнутую статью с пояснением, почему я думаю, что Android – это тупик, но я пока не могу толком аргументировать свои мысли почему я так думаю уже несколько месяцев. Это не означает, что Google завтра покинет рынок мобильных операционных систем, и не означает, что название «Android» куда-то исчезнет. Это означает, что то, что мы сегодня воспринимаем как «Android» – ядро Linux, Android Runtime, и все, что там поверх этого – отслужило свою службу с задачей «нам нужен продукт для конкуренции», и уйдёт в прошлое.
Continue reading

Внезапный интерес Google к вашим фото

Posted on by
Reply

У меня сложные отношения с Google как компанией, которая знает слишком много обо мне и использует эти данные для того, чтобы “продавать меня” рекламодателям. С одной стороны, их сервисы, безусловно, удобные и полезные, а с другой – от незнания того, что именно там Google делает с моими данными иногда прямо мороз по коже. С Facebook, кстати, та же история, только у них еще и ленту невозможно читать, поэтому я этого по возможности избегаю. С Apple все не так однозначно, Apple неоднократно демонстрировала, что приватность пользователей она ценит гораздо больше, чем “рекламные агентства” на буквы G и F, но даже с ними я стараюсь ограничивать то количество информации, которое я добровольно отдаю компании. Это вызывает определенные неудобства, так как многие современные сервисы рассчитаны как раз на то, что ты “отдаешься им полностью”, а они уже “сделают тебе хорошо”, но лучше я пока буду с паранойей, а там посмотрим.
Вот Google Photos — один из таких сервисов. На поверхности — чертовски удобный, и гораздо лучше, чем то, что предлагает Apple, но почему-то от него ощущение, как говорят американцы, creepy as hell. Конечно, фотографии как дополнение к почте, к которой уже имеет доступ Gmail, не кажутся большой трагедией, но неизвестность все равно напрягает. Я наткнулся на хорошую статью по этому поводу, которая, как мне кажется, отражает мое беспокойство, и решил её перевести, чтобы беспокойно было не только мне. Статья довольно взвешена и без панических ноток.
Continue reading