Что-то замотался и забыл. В общем, суть такова.

1. Алиса использует 2FA в Twitter, чтобы защитить свою учётную запись
2. Боб знает её логин и пароль, но не может попасть в её учётку, т.к. она защищена 2FA. Он ведь для этого и нужен, не так ли?
3. Алиса деактивирует свою учётную запись по любой причине — это её дело
4. Боб обнаруживает это
5. Боб заходит под её логином и паролем, активирует учётную запись обратно и выкачивает все её данные (есть такая фича у Твиттера — выгрузка данных)

Твиттер принудительно отключает 2FA при деактивации учётной записи, что даёт атакующему целый месяц на то, чтобы обнаружить это и утащить данные. Твиттер пишет письмо, если учётка была активирована снова, но:
1. Атакуемый может не проверять почту долгое время
2. Атакующий может сделать это, когда атакуемый заведомо не может использовать почту, например он спит
3. Как бы вообще пофиг на уведомительное письмо, когда данные уже скачали

Это поведение Твиттер не считает ошибкой, о чём мне ответили на hackerone. Так что пишу об этом с чистой совестью.

We appreciate your suggestion and may look into making this change in the future, but at the moment, we consider this to be a Defense-In-Depth measure. This behavior's security risk is largely mitigated by the fact that the attacker must know the victim's password or have access to the victim's registered email and specifically target their account during its deactivation period. For these reasons, we will be closing this report as Informative. We do appreciate your efforts here, and we hope you continue reporting security issues to us in the future.

Яндекс Маркет, дамы и господа

СЯУ, как мой роутер понимает, что телефоны используют рандомизацию МАК адреса.

Делает он это элементарно. Можете проверить на своих устройствах. На моих (iPhone, iWatch, Pixel 4 XL, Pixel 4a, Pixel 5, Samsung M20) всё так и оказалось

Не могу пройти стороной. Получение доступа _к серверу обновлений_ никак не позволяет модифицировать прошивки. То есть модифицировать то их можно, только установить потом нельзя. Модификация должна быть на более ранних этапах, потому что как только прошивку подписали, всё, она защищена от модификаций.

Скачивая обновления на свой девайс, всегда рассчитываешь на то, что производитель бережливо позаботился о устранении багов в ПО, особенно если они связаны с безопасностью и обеспечением конфиденциальности личных данных.

Также полагали и владельцы смартфонов немецкой компании GigaSet, которая ранее работала под брендами Siemens Mobile и BenQ-Siemens и была одним из крупнейших производителей мобильных телефонов в начале 2000-х годов до эры смартфонов.

В минувшую пятницу пользователи девайсов на базе Android забросали форумы поддержки Google сообщениями о сбоях работы и дистанционной установке на устройствах приложении без ведома их владельцев. Упоминалось, что телефоны превращались в своего рода «скайнет» и начинали производить различные манипуляции с браузерной рекламой, сервисом SMS и сообщений WhatsApp. Более глубокий анализ инцидентов свидетельствует о краже личной информации и компрометации пользовательских аккаунтов Facebook.

Как выяснили Gigaset хакеры получили доступ к серверу обновлений и развернули вредоносное ПО. И несмотря на доводы компании о том, что инцидент затронул не всех пользователей, а только тех, кто получил обновления прошивки с одного конкретного сервера, владельцам устройств все же следует задуматься об безопасности личных данных, хранившихся в памяти скомпрометированных устройств.

Владельцам моделей GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 и GS4 можно не переживать - им удалось избежать атаки.

Достаточно иллюстративный пример того, как под атаку на цепочку поставок попадают рядовые пользователи.

В общем, кто-то сильно недоговаривает, что произошло на самом деле

Офигенный дизайн экрана техподдержки в GetTaxi. Это я ещё не показал, что с этого экрана выкидывает каждые несколько секунд, как только обновляется карта

1. Mail.ru при использовании 2FA требует от вас телефон. Без телефона вообще нельзя его включить
2. При включении 2FA нельзя использовать датчики отпечатков пальцев и всякие прочие U2F устройства. Хотя казалось бы, у меня SoloKey, чтобы как раз быть вторым фактором, но нет. Либо устройство, либо 2FA. У Mail.Ru это два разных, несовместимых между собой варианта
3. Их TOTP несовместим с остальными. То есть использовать нужно только их приложение, а остальные решения, которые вы используете везде в других местах, они не работают
4. Использование аппаратного ключа работает только в вебе. То есть нельзя приложить его к телефону или воткнуть в USB порт, чтобы авторизоваться в приложении

Таким образом 2FA от Mail.Ru отсуствует полностью. Либо они будут слать SMS, которые доступны "кому надо" (а ещё любому трояну и чуваку за плечом), либо авторизуйтесь через их фирменное приложение, которое, конечно, никогда не отправит код "кому следует", который генерируется локально, даже "по случайной ошибке, которая больше не повториться".

Да, я знаю что мылору зашквар само по себе. Но он удобен для спама.

Не баг, а пасхалка, про которую не знал. В Play Market встроена игра, которая предлагается, когда устройство теряет сеть. Аналог динозавра из Chome

Подумывал прикупить GoLand, хоть и дорого для меня, т.к. я на Go не зарабатывают (потому что не знаю его), но благо есть пробный период, спасибо Джетам.

176 на первом скрине — это номер окна. Справа на первом скрине минимтюры открывшихся окон

Утилита zipalign из состава Android SDK выводит результат проверки с опечаткой: Verification succe**s**ful

А давайте некоторые названия писать Вот Так, а другие — Вот так.

Не обращайте внимания. Это уже поправлено: https://youtrack.jetbrains.com/issue/KTIJ-11590 ждём, когда фикс придёт

Последнее обновление эмулятора в Android SDK очень проблемное

https://androidstudio.googleblog.com/2021/05/android-studio-421-available.html исправлено в 4.2.1

Таки не в последнем, но относительно недавно: https://issuetracker.google.com/issues/185418468

https://issuetracker.google.com/issues/188681420 фастбут тоже сломали, кстати. В версии 30 проблем не было.

То, что это дикий говнокод, не обращайте внимания. Это прототип, на который я хочу потратить не больше пары часов, чтобы понять, какие фичи мне нужны будут в итоге, а какие не нужны.

Проблема случилась вот просто так. Переключился с одной вкладки на другую и всё, GoLand стал вот так работать