Страница телеграм канала Информация опасносте

alexmakus logo

Информация опасносте

12879 подписчиков

Чаще про infosex (зачеркнуто) про infosec @alexmaknet mail: alexmak@alexmak.net


Входит в категории: Технологии
Информация опасносте
03.04.2020 20:04
Ну и закончим эту неделю хорошими новостями. В новых iPad Pro, как и в Макбуках, начиная с прошлого года, при закрытии устройства (в ноутбуках — при закрытии крышки, в планшетах — при закрытии обложкой) микрофон аппаратно отключается для предотвращения скрытого подслушивания. Ждём в айфоне, видимо. https://support.apple.com/guide/security/hardware-microphone-disconnect-mac-ipad-secbbd20b00b/web
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
03.04.2020 16:04
но давайте к более интересным новостям. когда-то я писал о программе вознаграждений, которую объявила Apple за обнаруженные уязвимости в устройствах и ПО компании. Вот и результат: исследователь Райан Пикрен рассказал о том, что он обнаружил уязвимости в Safari для iOS и macOS, которая позволяла сайтам получить доступ к камере на iPhone или Маке (УПС). На самом деле он обнаружил целый набор уязвимостей (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, & CVE-2020-9787), и их комбинация и приводила к багу. Он заключался в том, что браузер Safari неправильно парсил URI, и сайт мог обмануть браузер, прикинувшись доверенным. Как результат, сайт мог получить доступ к камере. В последних версиях iOS/macOS эти уязвимости были исправлены. Райан за эти уязвимости получил выплату в размере 75 тыс долларов. Общее описание https://www.ryanpickren.com/webcam-hacking-overview Детальное описание https://www.ryanpickren.com/webcam-hacking
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
03.04.2020 16:04
а помните, было такое хорошее время, когда не надо было писать про новые уязвимости в Zoom каждый день? (интересно, сколько из этих уязвимостей обнаружены конкурентами, которые страдают от того, что Zoom вырос с 10 млн активных пользователей в феврале до 200 млн в марте?) инструменты о поиске открытых митингов в Зуме для зумбомбинга https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/ вопросы к шифрованию в Zoom со сгенеренными в Китае ключами https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
03.04.2020 13:04
Несколько хороших постов про приложение для мониторинга жителей Москвы. из серии “я просто оставлю это здесь”. Кстати, интересный момент, что фигурирует только приложение для Android. Шансы на то, чтобы протолкнуть такое приложение в App Store, минимальны (хотя можно, конечно, применить метод “отключим газ одной фруктовой компании”, но в эти тяжелые времена она может и дверью хлопнуть). так что владельцам айфонов придется сидеть дома. https://t.me/MarshalC/544 https://t.me/MarshalC/546 https://t.me/MarshalC/547 https://t.me/MarshalC/549
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
02.04.2020 17:04
ОК, надеюсь, последняя новость про Zoom на какое-то время, но эту правда надо запостить. компания объявила, что останавливает разработку новых фич на 90 дней и фокусируется на вопросах безопасности и конфиденциальности пользовательских данных https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ ЗЫ как вариант — коллекция теоретически более безопасных альтернатив (спасибо читателю за ссылку) https://vivaldi.com/blog/private-apps-remote-work/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
02.04.2020 05:04
Pull, пока не убрали https://twitter.com/evacide/status/1245470967788269568
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 21:04
Так, если такими темпами пойдет, то нужно будет делать ежедневный Zoom дайджест! https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 17:04
надеюсь, что вам новости про Zoom надоели так же сильно, как и мне. НО БЛИН. Две свежих zero day уязвимости в клиентах сервиса под Мак, включая инъекцию кода в доступ к микрофону и камере Мака. https://objective-see.com/blog/blog_0x56.html
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 14:04
Ладно, к не менее насущным вещам. Ни дня без новостей про конференции Zoom. Там любители хулиганить придумали как делать zoombombing. Перебирая 10-значные коды конференций, хулиганы вламываются в чужие звонки и делают то, что хулиганы обычно делают - хулиганят. Постят картинки, ругаются, и тд. Такой современный ChatRoulette. Пара советов о настройках, как этого избежать: - задать пароль для звонка (он по умолчанию не задается) - трансляция экрана только для ведущего звонок - отключение передачи файлов - отключение опции «подключения до ведущего» - отключение опции «разрешить отключённым подключаться снова».
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 14:04
Короче, все как обычно.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 14:04
Промежуточные итоги изучения приложения для слежки за жителями Москвы: — Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам. — Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал. — Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО. — Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода». — В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства. — На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета. Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 14:04
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей. Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 14:04
Уже выпилили, но все равно забавно. Раньше про китайских школьников и приложение для уроков такое писали, а тут вот оно как
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
01.04.2020 08:04
https://twitter.com/tjournal/status/1245124379949895688
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Информация опасносте
31.03.2020 18:03
так, в интернете в последнее время любят Zoom (аудитория сервиса увеличилась многократно в последнее время, и на него стали поглядывать внимательно). То они оставили в Маках дыру такого размера, что Apple пришлось срочно удаленно убирать её из компьютеров (Zoom даже после удаления оставлял открытым свой веб-сервер на Маке, и можно было подключаться к камерам юзеров), то в FB случайно отправляли данные. Вот добрались до их транспорта и оказалось, что коммуникации у сервиса не такие e2e зашифрованные, как утверждает маркетинг компании https://theintercept.com/2020/03/31/zoom-meeting-encryption/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме