Страница телеграм канала Информация опасносте
Информация опасносте
12879 подписчиков
Чаще про infosex (зачеркнуто) про infosec @alexmaknet mail: alexmak@alexmak.net
Входит в категории: Технологии
03.04.2020 20:04
Ну и закончим эту неделю хорошими новостями. В новых iPad Pro, как и в Макбуках, начиная с прошлого года, при закрытии устройства (в ноутбуках — при закрытии крышки, в планшетах — при закрытии обложкой) микрофон аппаратно отключается для предотвращения скрытого подслушивания. Ждём в айфоне, видимо.
https://support.apple.com/guide/security/hardware-microphone-disconnect-mac-ipad-secbbd20b00b/web
03.04.2020 16:04
но давайте к более интересным новостям. когда-то я писал о программе вознаграждений, которую объявила Apple за обнаруженные уязвимости в устройствах и ПО компании. Вот и результат: исследователь Райан Пикрен рассказал о том, что он обнаружил уязвимости в Safari для iOS и macOS, которая позволяла сайтам получить доступ к камере на iPhone или Маке (УПС). На самом деле он обнаружил целый набор уязвимостей (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, & CVE-2020-9787), и их комбинация и приводила к багу. Он заключался в том, что браузер Safari неправильно парсил URI, и сайт мог обмануть браузер, прикинувшись доверенным. Как результат, сайт мог получить доступ к камере. В последних версиях iOS/macOS эти уязвимости были исправлены. Райан за эти уязвимости получил выплату в размере 75 тыс долларов.
Общее описание
https://www.ryanpickren.com/webcam-hacking-overview
Детальное описание
https://www.ryanpickren.com/webcam-hacking
03.04.2020 16:04
а помните, было такое хорошее время, когда не надо было писать про новые уязвимости в Zoom каждый день? (интересно, сколько из этих уязвимостей обнаружены конкурентами, которые страдают от того, что Zoom вырос с 10 млн активных пользователей в феврале до 200 млн в марте?)
инструменты о поиске открытых митингов в Зуме для зумбомбинга
https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/
вопросы к шифрованию в Zoom со сгенеренными в Китае ключами
https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/
03.04.2020 13:04
Несколько хороших постов про приложение для мониторинга жителей Москвы. из серии “я просто оставлю это здесь”. Кстати, интересный момент, что фигурирует только приложение для Android. Шансы на то, чтобы протолкнуть такое приложение в App Store, минимальны (хотя можно, конечно, применить метод “отключим газ одной фруктовой компании”, но в эти тяжелые времена она может и дверью хлопнуть). так что владельцам айфонов придется сидеть дома.
https://t.me/MarshalC/544
https://t.me/MarshalC/546
https://t.me/MarshalC/547
https://t.me/MarshalC/549
02.04.2020 17:04
ОК, надеюсь, последняя новость про Zoom на какое-то время, но эту правда надо запостить. компания объявила, что останавливает разработку новых фич на 90 дней и фокусируется на вопросах безопасности и конфиденциальности пользовательских данных
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
ЗЫ как вариант — коллекция теоретически более безопасных альтернатив (спасибо читателю за ссылку)
https://vivaldi.com/blog/private-apps-remote-work/
02.04.2020 05:04
Pull, пока не убрали
https://twitter.com/evacide/status/1245470967788269568
01.04.2020 21:04
Так, если такими темпами пойдет, то нужно будет делать ежедневный Zoom дайджест!
https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/
01.04.2020 17:04
надеюсь, что вам новости про Zoom надоели так же сильно, как и мне. НО БЛИН. Две свежих zero day уязвимости в клиентах сервиса под Мак, включая инъекцию кода в доступ к микрофону и камере Мака.
https://objective-see.com/blog/blog_0x56.html
01.04.2020 14:04
Ладно, к не менее насущным вещам. Ни дня без новостей про конференции Zoom. Там любители хулиганить придумали как делать zoombombing. Перебирая 10-значные коды конференций, хулиганы вламываются в чужие звонки и делают то, что хулиганы обычно делают - хулиганят. Постят картинки, ругаются, и тд. Такой современный ChatRoulette. Пара советов о настройках, как этого избежать:
- задать пароль для звонка (он по умолчанию не задается)
- трансляция экрана только для ведущего звонок
- отключение передачи файлов
- отключение опции «подключения до ведущего»
- отключение опции «разрешить отключённым подключаться снова».
01.04.2020 14:04
Промежуточные итоги изучения приложения для слежки за жителями Москвы:
— Приложение получает доступ ко всей информации на телефоне: GPS, камера, местоположение, возможность звонить, просмотр любых данных, доступ к любым настройкам.
— Приложение передаёт собранную информацию на серверы мэрии в открытом виде без какого-либо шифрования. Это провал.
— Для распознавания лиц, приложение использует эстонский сервис identix.one — то есть, передаёт фотографии в эстонскую юрисдикцию и на серверы, расположенные в Германии. Обе страны входят в НАТО.
— Разработкой приложения занимается компания «Гаскар», подрядчик «Инфогорода».
— В QR-кодах зашифрованы MAC и IMEI (индивидуальные идентификаторы) устройства.
— На приложение было потрачено 180 млн рублей. Судя по его качеству, украдено было 99% бюджета.
Это полнейший провал и позорище. ДИТ Москвы должен быть разогнан палками за такое.
01.04.2020 14:04
Смотрите, мэрия выкатила приложение для отслеживания перемещения людей.
Поставьте ему единичку и его выпилят из Google Play https://play.google.com/store/apps/details?id=com.askgps.personaltrackerround
01.04.2020 14:04
Уже выпилили, но все равно забавно. Раньше про китайских школьников и приложение для уроков такое писали, а тут вот оно как
31.03.2020 18:03
так, в интернете в последнее время любят Zoom (аудитория сервиса увеличилась многократно в последнее время, и на него стали поглядывать внимательно). То они оставили в Маках дыру такого размера, что Apple пришлось срочно удаленно убирать её из компьютеров (Zoom даже после удаления оставлял открытым свой веб-сервер на Маке, и можно было подключаться к камерам юзеров), то в FB случайно отправляли данные. Вот добрались до их транспорта и оказалось, что коммуникации у сервиса не такие e2e зашифрованные, как утверждает маркетинг компании
https://theintercept.com/2020/03/31/zoom-meeting-encryption/