Cybersecus дайджест #80

1. Bloomberg, издание, которое в свое время опубликовало материал о наличии китайских “жучков” в серверах Apple и Amazon, теперь публикует статью об обнаруженных в сети Vodafone Italy бэкдорах в оборудовании Huawei. Уязвимости были обнаружены в период с 2009 по 2011 год в роутерах для домашнего интернета, а также в инфраструктурном оборудовании оператора. В статье также говорится, что уязвимости существовали и после 2012 года, и присутствовали в сетях компании в Великобритании, Германии, Испании и Португалии.

В отличии от истории про сервера Apple и Amazon, где обе компании активно опровергали информацию Bloomberg, в этом случае Vodafone подтвердил, что уязвимости действительно были обнаружены, но проблема была решена в 2011-2012 годах. Huawei со своей стороны утверждает, что это не намеренное включение бэкдоров в оборудование, а “технические ошибки, которые были обнаружены и исправлены”.
Материал Bloomberg https://www.bloomberg.com/news/articles/2019-04-30/vodafone-found-hidden-backdoors-in-huawei-equipment-jv3fmbrc
Дополнительный материал в ZDNet https://www.zdnet.com/article/huawei-denies-existence-of-backdoors-in-vodafone-networking-equipment-brands-them-technical-flaws/
Continue reading

Cybersecus дайджест #75

Год блокировки Роскомнадзором мессенджера Telegram показал, что ужесточение регулирования интернета в России неизбежно, но ему можно эффективно сопротивляться, отмечает Александр Плющев
https://www.dw.com/ru/комментарий-telegram-год-цифрового-неповиновения/a-48331914

Пост от редакции этого канала о том, как пока одни операторы в РФ тестируют поддержку eSIM, другие распространяют FUD о рисках eSIM и хакерских атаках, которые обязательно возрастут, когда eSIM появится в РФ.
https://alexmak.net/2019/04/15/esim/

Директор по развитию сетевой инфраструктуры Яндекса Алексей Соколов на конференции «Обеспечение доверия и безопасности при использовании ИКТ» рассказал, как технологии из закона «о суверенном интернете» (принят сегодня госдумой) обвалили сервисы Яндекса пару недель назад.
https://roem.ru/16-04-2019/277211/zakon-deystvuet/

Если вы пользовались клиентом Origin от Electronic Arts, рекомендуется обновиться до последней версии. EA исправили критическую уязвимость, которая могла привести к исполнению вредоносного кода на компьютере. Уязвимость затрагивает версию Origin для Windows, и связана с собственным форматом URL, который использует клиентское приложение origin://
https://techcrunch.com/2019/04/16/ea-origin-bug-exposed-hackers/
Continue reading

Cybersecus дайджест

1. История, заслуживающая внимания — как журналисты издания Motherboard за 300 долларов смогли получить данные о местоположении iPhone на основе данных, продаваемых операторами мобильной связи в США. Данные, продаваемые операторами, оказываются доступными на сайтах, которые используют bounty hunters (пытался понять, как правильно перевести bounty hunters на русский. есть типа термин “охотник за головами”, но он не совсем правильно описывает современных bounty hunters, которые ловят тех, кто сбежал из-под залога. Наверно, все-таки пусть будет “охотник за головами”). Пора заводить отдельный канал “информация о местоположении опасносте”.
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

2. Yubico анонсировали ключи с портом Lightning для iOS-устройств (а также с USB-C)
https://www.yubico.com/2019/01/yubico-launches-the-security-key-nfc-and-a-private-preview-of-the-yubikey-for-lightning-at-ces-2019/

3. Интересно, что немецкого хакера, слившего информацию о публичных личностях, вычислили по аккаунту в Telegram, который был зарегистрирован на настоящий номер телефона. Он общался с каким-то корешем, который много хвастался в интернете таким контактом, кореша арестовали как свидетеля, и все.
https://twitter.com/i0n1c/status/1082612305391730688

4. Некоторые пользователи смартфонов Samsung обнаружили, что они не могут удалить приложение Facebook со своих телефонов. Таковым было условие сделки между Samsung и Facebook. Пользователи могут “отключить” приложение, но при этом опасаются, что приложение все равно собирать и отправлять данные в Facebook (FB говорит, что это не так, но кто же им поверит?)
https://www.bloomberg.com/news/articles/2019-01-08/samsung-phone-users-get-a-shock-they-can-t-delete-facebook

5. 85 приложений в Google Play с миллионами закачек, маскирующиеся под игры и другие приложения, на самом деле работали в фоне, показывали рекламу втихаря и всячески накручивали деньги своим разработчикам
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-disguised-as-game-tv-remote-control-apps-infect-9-million-google-play-users/

Cybersecus дайджест

Под конец года что-то увеличилось количество материалов, которые достойны упоминания в канале, но, к сожалению, вселенная забыла увеличить количество доступного для этого времени. Короче, очередная подборка ссылок, зато там много всего интересного!

1. “Роскомнадзор внедрит новую технологию блокировок Telegram за 20 млрд рублей”
https://www.bbc.com/russian/features-46596673

2. “Наши с вами персональные данные по-прежнему нагло продаются”
https://habr.com/post/433384/

3. из-за внутренней ошибки Amazon случайно отправил 1700 голосовых записей, сделанных помощником Alexa, случайному человеку. Записи из гостиной, спальни, душа. Устанавливайте больше спикеров и камер в своих домах, говорили они… Это будет хорошо, говорили они!
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html

4. Microsoft выпустила срочное обновление безопасности для Internet Explorer, исправляющее уязвимость, используемую в целенаправленных атаках.
https://blogs.technet.microsoft.com/msrc/2018/12/19/december-2018-security-update-release-2/
Сама уязвимость https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653#ID0EMGAC

5. Какие-то слухи о взломе сервера с данными о сотрудниках в NASA
https://www.theregister.co.uk/2018/12/18/nasa_server_hack/

6. Квантовые вычисления и искусственный интеллект как угроза национальной безопасности
https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

7. Непонятные телодвижения Google вокруг запуска отцензурированного поиска в Китае (за ссылку спасибо читателю)
https://www.bbc.co.uk/news/amp/technology-46604085

8. С сайта мэрии Москвы произошла утечка личных данных родителей школьников
В Сети появились оплаченные с сайта mos.ru квитанции физлиц по платежам за услуги ЖКХ, а также платежам, получателями которых являются общеобразовательные учреждения и управление ГИБДД (спасибо читателю за ссылку)
https://www.rbc.ru/politics/20/12/2018/5c1b671f9a7947ec90c89b6b

Про Signal и Telegram

Сразу два небольших апдейта о двух популярных мессенджерах, которые оба много говорят о своей безопасности. Действительно, и Telegram, и Signal позиционируют себя как мессенджеры с шифрованием, и предназначенные для общения таким образом, чтобы коммуникации пользователей не попадались на глаза кому попало. Компании используют разный подход, в частности, сообщения у Telegram по умолчанию не шифруются оконечным шифрованием — для этого нужно запускать специальные secret chats, в то время как у Signal все коммуникации по умолчанию зашифрованы. Но периодически и тот, и другой мессенджер попадают в новости с очередным ляпом в безопасности, поэтому сложно рекомендовать тот или иной. В интернете можно найти не одно исследование безопасности этих мессенджеров (вот, например, навскидку нагугленное исследование Telegram студентами MIT)

Например, в свое время у Signal оказалась лажа с сохранением истории чатов на Маке в открытом текстовом виде (к нему потом вышел апдейт). А тут прошла новость о том, что десктопный вариант Telegram к хранимым на компьютере данным с недостаточной защитой – база данных не шифруется, и поэтому даже контент секретных чатов можно прочитать, получив доступ к компьютеру пользователя. В целом, надо бы сказать, что, на мой взгляд, это не так ужасно, как могут попытаться подать некоторые СМИ.
Continue reading

Telegram и IP-адрес

Если вы пользуетесь Telegram на Маке или Windows, вам будет интересно узнать об обнаруженной в продукте уязвимости, позволявшей выяснить IP адрес собеседника при голосовом p2p звонке. В вышедшем обновлении Telegram теперь появилась возможность настроить и другие опции при голосовых звонках, что минимизирует риски с этой проблемой.

Об уязвимости
https://www.inputzero.io/2018/09/bug-bounty-telegram-cve-2018-17780.html

Удалить нельзя заблокировать

К этому моменту вы уже наверняка из каждого утюга услышали новость о том, что РосКомНадзор потребовал от Apple удалить приложение Telegram из App Store:
«Во избежание возможных действий Роскомнадзора по нарушению функционирования указанных выше сервисов Apple, Inc. просим вас в кратчайшие сроки проинформировать нас о дальнейших действиях компании, направленных на решение данных проблемных вопросов», говорится в письме РКН. То есть речь уже не просто о требовании убрать приложение, но и об открытом шантаже: «если вы не уберёте приложение, мы вам отключим газ».
Тут столько всего интересного, что я даже не знаю, с чего начать. Можно начать с того, что это уже повторное обращение РКН к Apple – говорилось, что ещё 17 апреля РКН направил письмо в Apple и Google ограничить доступность приложения Telegram для России, но как-то что-то ничего не поменялось.
Continue reading

Сбежать из WhatsApp

Похоже, покупку WhatsApp компанией Facebook по достоинству оценили в первую очередь конкуренты компании — другие мессенджеры, у которых внезапно прибавилось пользователей после того, как было объявлено о сделке. И дело не только в том, что через пару дней после анонса WhatsApp “прилег” на несколько часов и не работал. Тот же Telegram, выросший на 8-10 миллионов новых пользователей, тоже не являлся примером стабильности, особенно когда к ним хлынул этот новый поток беглецов из WhatsApp.
Немцы тоже, например, активно пересаживаются на Threema, сервис, похожий на Telegram, и тоже обещающий шифрование и безопасность переписки. И сколько бы основатели WhatsApp не убеждали пользователей, что с точки зрения бизнес-модели их продукта ничего не изменится после их “вливания” в Facebook, пользователи все равно боятся.
Continue reading