Tag Archives: nest

Cybersecus дайджест #56

Posted on by
Reply

С нумерацией выпусков оно как-то даже веселее! И новостей сразу больше стало.

1. У Google есть такой продукт — Nest Secure, система сигнализации для дома (база плюс набор датчиков). В феврале Google анонсировала, что Nest Secure сможет стать самостоятельным устройством для Google Assistant — интеллектуального помощника, с которым можно взаимодействовать с помощью голосовых команд. Так-так, прекрасно. Ой, погодите, что? У устройства есть микрофон? Только вот юзерам, которые уже второй год покупали Nest Secure, о том, что в их устройство встроен микрофон, никто не сказал. Этого также не было в документации по продукту. Google утверждает, что это ошибка (видимо, микрофон сам случайно упал в устройство при сборке, и так десятки тысяч раз), и вообще до этого апдейта микрофон был неактивен. Надо ли удивляться тому, что потом пользователи не доверяют компаниям, подозревая их в незаконной прослушке и подглядыванию за пользователями? А сколько таких устройств со скрытыми микрофонами могут насобирать компании под всемирно известным брендом Noname, и ничего не подозревающие пользователи купят их себе домой?
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html

2. У WordPress 5.0.0 обнаружилась уязвимость, позволяющая получить контроль над сайтом. Кто не проапдейтился на 5.0.3, сам виноват!
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/

3. Статья у MIT о том, как пошла целая череда взломов блокчейнов, которые типа должны были быть невзламываемыми. Хмммм….
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/

4. Ну и мое любимое — IoT, который работает, но не так, как хотелось бы пользователям. История про то, как новая модель кроссовок Nike, которая умеет “затягивать шнурки” по команде с телефона. ТОлько вот выпущенный апдейт для приложения под Android зафейлил процесс апдейта прошивки кроссовок и для многих пользователей кроссовки внезапно перестали работать. Надо больше “умных” устройств и еще больше прошивок!
https://play.google.com/store/apps/details?id=com.nike.adapt&showAllReviews=true

5. Большой отчет правительства Великобритании о Facebook и его практиках по слежке за пользователями и конкурентами (в том числе с использованием многократно упоминавшейся тут программы Onavo). Зажимание Vine, белые списки для разных приложений по доступу к пользовательским данным, вот это все. Но все, что мы слышим от Facebook — “мы не продаем данные пользователей рекламодателям”. Конечно, не продают, они её сдают в аренду.
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/

Cybersecus дайджест

Posted on by
Reply

По-прежнему не набирается основательного материала для отдельной заметки (что, учитывая направленность канала, хорошо), поэтому коллекция интересных ссылок на тему. Часть ссылок прислана читателями, за что им спасибо.

1. Помните “ОГРОМНЫЙ СЛИВ НА 773 МИЛЛИОНА АККАУНТОВ”, о котором трубили многие СМИ? Я о нем тоже писал на прошлой неделе. Я там, в частности, упомянул, что это не является чем-то необычным:

В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

Но читателям канала будет интересно также ознакомиться с материалом у Брайана Кребса, который разыскал автора этой коллекции. Тот рассказал, что именно “Коллекции 1” примерно 2-3 года, и собрана она была из всяких разных утечек, размещаемых русскими хакерами на всяких форумах дарквеба. ууууу, страшно, опять эти вездесущие русские хакеры. Но вывод из этого один: повторное использование пароля — зло, и самое главное — это защитить хотя бы один, самый главный аккаунт — почту, к которой привязаны многие другие аккаунты.
https://krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old/

2. Мама залогинилась удаленно, посмотреть в видеоняню, и обнаружила в кадре чужую спальню. Еще одна причина избегать установки дома лишних камер. КЛИКАЙ, ЧТОБЫ УВИДЕТЬ, ЧТО ПРИВЕЛО ЕЁ В ВОСТОРГ!
https://www.news.com.au/lifestyle/parenting/babies/terrified-mum-sees-strangers-bedroom-after-logging-into-remote-video-baby-monitor/news-story/683a9d4bc2650340d327c48ef4a6f3d9

3. Только вчера я писал о том, что хакеры подключались к камере Nest и озвучивали предупреждение о ракетной атаке. Теперь хулиганы делают то же самое, но призывают подписываться все на того же ютюбера Pewdiepie. Ранее призывы к подписке рассылали на чужие принтеры и даже на телевизоры
https://motherboard.vice.com/en_us/article/xwb8j7/watch-a-hacker-access-nest-cameras-and-demand-people-subscribe-to-pewdiepie

4. Abusing Exchange: One API call away from Domain Admin
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/