вредоносное ПО для macOS, маскирующееся под Adobe Flash. Мне кажется, даже если это настоящий Adobe Flash, от него надо бежать как можно дальше
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887

А в Китае вообще круто. The Washington Post пишет о том, что если поставить приложение Коммунистической Партии Китая на телефон с Android, оно получает права суперпользователя и доступ ко всем пользовательским данным на телефоне. Изначально в статье также шла речь об устройствах на iOS, но потом исправили
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

своего рода хорошие новости из мира информационных опасностей и безопасностей. В даркнете закрыли сайт, распространявший изображения с детской порнографией и сценами насилия над детьми. 8 ТБ данных, 337 человек арестовано, как минимум 23 ребенка вызволено. Информация она разная бывает


https://www.justice.gov/opa/pr/south-korean-national-and-hundreds-others-charged-worldwide-takedown-largest-darknet-child

История про Samsung и сканер отпечатка пальца в Galaxy S10, который можно обмануть, просто наклеив защитную пленку на экран, настолько невероятная, что я пока что не могу в это поверить. Но, судя по тому, что Samsung пообещал выпустить софтверный(!) апдейт для этого, это таки правда. Ультразвук, 3Д контуры, вот это все. Революционная технология!

https://www.bbc.com/news/technology-50080586

С Е К У Р И Т И

кстати про смартфоны и их разблокировку. Google на прошлой неделе анонсировала Pixel 4 с новой системой разблокировки экрана сканированием лица, только вот оказалось, что телефон разблокируется, даже если у пользователя закрыты глаза. Теперь же Гугл заявила, что эту фичу добавят софтверно в ближайшие несколько месяцев

We’ve been working on an option for users to require their eyes to be open to unlock the phone, which will be delivered in a software update in the coming months. In the meantime, if any Pixel 4 users are concerned that someone may take their phone and try to unlock it while their eyes are closed, they can activate a security feature that requires a pin, pattern or password for the next unlock. Pixel 4 face unlock meets the security requirements as a strong biometric, and can be used for payments and app authentication, including banking apps. It is resilient against invalid unlock attempts via other means, like with masks.

как только читаю "умное устройство", сразу думаю "уже взломали и еще нет"? Стоило Ватикану выпустить "умные четки" ($110 долларов!), как сразу же в приложении, к ним прилагающемуся, обнаружили уязвимость, позволяющую получить доступ к данным о зарегистрированном пользователе. Напоминания о молитвах и сами молитвы, приходящие на смартфон в приложение от Папы Римского — это, конечно, хорошо, и наверняка улучшает перспективы на безопасную загробную жизнь. но надо бы и про обычную безопасную жизнь сейчас думать. А если при регистрации отправлять открытым текстом PIN-код для регистрации, то это не очень хорошая практика.

https://www.cnet.com/g00/news/vaticans-wearable-rosary-gets-fix-for-app-flaw-allowing-easy-hacks/

https://twitter.com/fs0c131y

(осторожно с УРЛом, NSFW!) Но сложно пройти мимо новости, в которой рассказывается, что сайт любителей животных (и совсем не в том смысле, в котором вы могли подумать) взломали, а данные пользователей, включая адреса электронной почты, утекли наружу. С учетом того, что подобные предпочтения являются вне закона во многих странах, утечка может принести вполне ощутимые неприятности зарегистрировавшимся там пользователям

https://www.zooville.org/threads/security-incident-and-site-rebuild-september-2019.9/

предположительно подтверждается, что таки китайская группировка APT41 взломала TeamViewer в 2016 году. Считается, что тогда хакеры группировки могли получить доступ к огромному количеству компьютеров, на которых был установлен TeamViewer
https://www.securitynewspaper.com/2019/10/14/fireeye-confirms-that-apt14-group-hacked-teamviewer-attackers-would-have-accessed-billions-of-devices/

оператор VPN-сервиса NordVPN (который у меня давно вызывает отторжение своей рекламой по телевизору с фразами типа "military-grade security"), похоже, был немножко взломан. В марте 2018 года злоумышленники получили доступ к одному из серверов компании в Финляндии путем использования системы удаленного управления серверами, установленной провайдером датацентра. Компания утверждает, что не хранит никаких логов, и ничего не потеряно. Но ситуацию осложняет тот факт, что у компании утекли протухшие приватные ключи, что потенциально могло позволить кому-нибудь создать свой сервер, имитирующий NordVNP.

https://nordvpn.com/blog/official-response-datacenter-breach/
https://twitter.com/hexdefined/status/1186106695073726466?s=21
https://techcrunch.com/2019/10/21/nordvpn-confirms-it-was-hacked/

АПД тред в твиттере с разбором ситуации о NordVPN и почему ответ компании не очень честный
https://twitter.com/chronic/status/1186324353249492993

В далеком 2017 году была такая новость про приложение CCleaner, которое было "улучшено" вредосносным кодом после взлома инфраструктуры компании
https://t.me/alexmakus/1361

Интересно то, что компанию-разработчика CCleaner - Avast - взломали опять, но в этот раз заразить CCleaner не получилось.
https://www.helpnetsecurity.com/2019/10/21/avast-breach-2019/

пользователям Avast, AVG, Avira рекомендуется проапдейтиться для исправления критических уязвимостей
https://the-parallax.com/2019/10/22/safebreach-vulnerabilities-antivirus-avast-avg-avira/

СМИ рассказали о новой утечке данных клиентов Сбербанка. На этот раз в сети оказались данные 11,5 тысячах заёмщиках на миллион строк. Журналисты ознакомились с тестовым фрагментом базы и нашли там полные данные клиентов Сбербанка
https://tjournal.ru/tech/122615-smi-soobshchili-o-novoy-utechke-dannyh-klientov-sberbanka-v-seti-okazalas-baza-o-zaemshchikah-na-million-strok

Любите ли вы “умные” устройства так, как их люблю я?

Мда. Вот эти автоматические кормушки продаются по пять тыщ рублей минимум. Добротный девайс, надо сказать. Работает хорошо.

Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.

Не представляю сейчас, что с этим делать, это мой самый успешный (и неожиданный) взлом, так что я немного в ступоре. Не знаю даже, есть ли смысл писать что-то китайцам, денег все равно не дадут, если вообще поймут английский язык.

Данные они везде. И утекают тоже отовсюду

https://www.infosecurity-magazine.com/news/cashback-websites-double-breach/

фигассе утечка (вернее, её метод). у страховой компании Allianz в Нидерландах украли(!) диск(!) с бекапом данных(!) из сейфа(!!!). На диске содержалась информация о 260 тыс клиентах компании, проживающих в Нидерландах, включая имена, адреса, данные об автомобилях и тд. WTF вообще
https://www.security.nl/posting/628900/Verzekeraar+Allianz+informeert+klanten+over+datalek

приложения, которые делают не совсем то, что обещали делать, были обнаружены и вычищены из App Store. Adware, кликающее втихаря по рекламе, маскировалось под интернет-радио, поиск ресторанов и прочие полезные приложения от одного и того же разработчика. как такового вреда пользователям оно не наносило, за исключением пожирания трафика и батарейки, но через процесс ревью приложений Apple все равно прорвалось, так как использовало удаленный метод активации подобных действий. Эпол пообещала предусмотреть подобные хитрости в будущем.

https://www.wandera.com/mobile-security/ios-trojan-malware/

интересно про перехват сообщений в Blackberry Messenger, который считался безопасным. сообщения там шифруются, но они идут через сервер канадской компании, у которой был ключ расшифровки сообщений. и по требованию органов они его выдали для перехвата сообщений между наркоторговцами
https://www.forbes.com/sites/thomasbrewster/2019/10/25/exclusive-blackberry-wiretap-stops-a-cartel-shipping-25-million-in-cocaine-to-america/

Интересная смена тактики у хакеров, которые шифруют данные города: вместо угроз удалить все данные теперь угрожают все данные сделать публичными. Очередная жертва - Йоханнесбург https://www.zdnet.com/article/city-of-johannesburg-held-for-ransom-by-hacker-gang/

какая прелесть. я как-то пропустил на прошлой неделе историю о том, как приложения для Amazon Alexa и Google Home могут подслушивать разговоры пользователей. Разработчики из Security Research Labs разработали skills для Alexa и Google Home Actions, которые прошли проверки у Amazon и Google. Замаскированные под приложения-гороскопы, активирующиеся по ключевым фразам для запуска, приложения не выходили после запуска, и начинали слушать разговоры вокруг устройств производителей. вот не зря умные люди не верят в гороскопы!
https://srlabs.de/bites/smart-spies/