Cybersecus дайджест

1. Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

2. А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

3. Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

4. Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

5. Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

6. Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

"Где мой all-inclusive сервис, Apple?"

Последний раз, когда я задал вопрос “где…?” про Маки, Apple быстро подсуетилась и таки организовала мероприятие, на котором, скорей всего, новые Маки как раз и покажут. Ждем 27 октября, после которого мы, возможно, услышим много стонов в интернете про невинно убиенный мини-джек, токмо во исполнение воли пославшей мя… (и дальше придумайте сами по тексту), или про замену USB на USB-C, или еще что-нибудь, что придумает заточенный в белой комнате Джони Айв. Но я отвлекся немного.
Поэтому, когда я получил ответ на вопрос про Маки, я решил задать еще один наболевший вопрос. Но сначала небольшая предыстория. Признаюсь в страшном: я люблю Apple Music. (кстати, забыл предупредить, этот и следующий абзацы могут нанести тяжелую травму людям, которые активно корпят над созданием и поддержанием своей музыкальной коллекции). Я и сам когда-то увлекался коллекционированием музыки: оцифрованные CD, купленная в онлайн-сервисах музыка, скачанная из различных источников — все это приводилось в порядок, прописывались, где надо, тэги, добавлялись обложки, все красиво сортировалось по папкам, потом раскладывалось по плейлистам в iTunes, и тд. А потом появилась Apple Music.
alexmak_2016-oct-20
Танцующий в яркой рубашке Эдди Кью как олицетворение Apple Music
Continue reading