Надо ли опасаться утечки данных из умных колонок?
(Короткий ответ: да, надо)

Достаточно необычный медиашум происходит с пятницы и по сей день на фоне достаточно стандартного заявления представителя Роскачества: не стоит, мол, обсуждать конфиденциальную информацию рядом с умными колонками — там находится постоянно слушающий окружающую среду микрофон.

Более того, эксперт даже ошибся с советом «надо, мол, выключать микрофон в умной колонке» в пользу производителей колонок — даже если микрофон отключить, то в качестве микрофона можно использовать динамик, который устроен точно так же как и микрофон, только иначе исполнен. Так что отключение микрофона — не даёт никаких гарантий что вас не слушают.

Это совершенно правильное и бытовое техническое замечание: ни в одной переговорке и даже просто офисе, хоть сколько-то уважающей себя компании, не будет никаких умных колонок. В IT-отрасли все понимают ограничения и область применения умных колонок.

Почему-то на это высказывание крайне бурно отреагировал депутат Госдумы Сергей Боярский, грубо оценивший эксперта как «эксперта» в кавычках и решивший поучить всех, как им жить и что можно говорить:

Распространение безосновательных цифровых фобий среди населения — недопустимо. Связался с несколькими операторами умных колонок, они категорически опровергают эти тезисы.

Не совсем понятно, что именно и как опровергали производители в разговоре с Сергеем Боярским, но компания «Яндекс» уже несколько дней выкладывает у себя в блоге посты о том, что нет, умные колонки полностью безопасны, не слушают и не передают ничего лишнего:

- 13-го ноября выложили вырезку с разработчиком Виталием Данилкиным, который фактически подтвердил, что да, «Алиса» может активироваться и по другим ключевым словам, помимо «Яндекс» и «Алиса», громче, тише, и это не получается на 100% предотвратить.

- 17-го ноября выложили пост со ссылкой на старый пост, где говорится, что микрофон колонки всегда можно выключить.
(Правда, непонятно, зачем вообще делать эту функцию, если «Алиса» лишнего не слушает? Складывается впечатление, что исключительно для психотерапевтических функций)

Проблема в том, что то что излагают сотрудники «Яндекса» — очень интересно, но полностью отбрасывает всё, что делает нахождение «умных» устройств опасным и неприемлемым в быту и при необходимости действительно конфиденциального общения.

- автор этих строк тестировал вызов такси через колонку «Яндекса», ему предложили верную улицу, но неправильный город, в 400км от места нахождения пользователя. Списали бы за такой вызов — более 12 000 рублей.

- «Яндекс» спокойно нарушал явно высказанное пользователем желание избежать отслеживание, поднимая локальный сервер для счётчика и через него отслеживая посещение страниц даже в режиме «Инкогнито»

- У «Яндекса» были случаи несанкционированного доступа внутрь системы, сопряжённые с утечкой данных пользователей, поэтому полагаться на то, что устройство будет работать так, как придумали в «Яндексе», а не будет вести себя иным способом под контролем злоумышленника — нельзя

- Внутри компании возможны ситуации, когда сотрудник тысячами продаёт данные пользователей.

- Отключенный микрофон оставляет активным динамик устройства, который тоже может быть использован как микрофон

- В «Яндекс.Станциях» бывают ошибки в разработке, серьёзно влияющие на устойчивость инфраструктурных проектов интернета, а не только сервисов «Яндекса»

Всё вышеперечисленное, плюс сама логика действий компании, сотрудники которой считают, что угроза потенциальных денежных штрафов никак не ограничивает их в том, что они могут делать с данными пользователей, ведь штраф это всего лишь потеря некоторого количества денег — не создаёт атмосферу безусловного доверия к продуктам «Яндекса»

Так что не доверяйте умным колонкам на здоровье!

Юрий Синодов, директор по развитию СМИ2

Telegram вводит новую систему авторизации пользователей

В грядущем обновлении мессенджер изменит систему авторизации. Принцип схемы заключается в том, что во время входа в приложение будет совершаться звонок на номер, привязанный к учётной записи, а пользователю необходимо ввести несколько цифр из этого номера. Новая система не полностью заменит старую, а будет введена на некоторых мобильных устройствах.

Помимо этого, в ближайших обновлениях может появиться опция запоминания приложением Telegram того аккаунта, с которого пользователь ранее входил в систему. Это позволит сэкономить значительное количество времени, а от самого пользователя потребуется лишь ввести пароль двухфакторной авторизации.

Вероятная причина такого шага — экономия денежных средств для покрытия нужд проекта, поскольку верификация пользователей через SMS-сообщения требует около четверти всех средств компании.

Напомним, что ранее авторизацию через SMS убрали из клиентов Telegram для ПК и из браузерных версий Telegram.

Новый способ авторизации в Telegram. Уточнения

После публикации нашего поста читатели в комментариях указали на неточность нашей формулировки, которая вызвала множество разночтений.

Уточняем: Регистрация в мессенджере по-прежнему происходит только по номеру телефона.

При повторной авторизации, вместо ввода кода подтверждения из SMS, пользователь сможет осуществить вход в профиль с помощью электронной почты, куда будут приходить такие коды, либо через Google или Apple ID.

Это будет удобно, к примеру, пользователям настольных приложений Telegram без активных сессий на мобильных устройствах, поскольку на ПК и в веб-версиях авторизация с помощью SMS недоступна с прошлого года.

Выбрать новый способ авторизации можно будет в настройках конфиденциальности мессенджера. Точную же механику мы узнаем только после релиза новой версии.

Использование электронной почты в Telegram

Telegram обновил свою Политику конфиденциальности, дополнив её сведениями об использовании адреса электронной почты в качестве альтернативного способа авторизации.

Приведём основные тезисы:

— С сентября 2022-го года Telegram может попросить некоторых пользователей указать адрес своей электронной почты.
— Пользователи смогут получать коды входа в систему по электронной почте вместо SMS (с возможностью авторизации через Google или Apple).
— Почтовый адрес для авторизации будет храниться отдельно от электронной почты, необходимой для восстановления пароля двухэтапной аутентификации, а также использоваться только для отправки вам кодов подтверждения при входе в учётную запись.
— Адрес электронной почты для входа в профиль будет храниться у Telegram до тех пор, пока он не будет изменен или не будет удален сам аккаунт в мессенджере.

Важно уточнить, что регистрация в Telegram по-прежнему будет происходить только по номеру телефона.

Подробнее о том, как мессенджер использует информацию о вашей электронной почте, прописано в пункте 3.2 действующей Политики конфиденциальности Telegram.

Улучшения при входе в аккаунт

• Пользователи, которые часто выходят из приложения Telegram и снова авторизуются, теперь смогут получать авторизационные коды не в СМС, а на электронную почту.

• Альтернативный вариант — использование функции «Войти с помощью Apple» или «Войти с помощью Google».

• Усовершенствован процесс регистрации и входа в аккаунт на iOS-устройствах: пользователей встречают обновлённый интерфейс и плавные анимации, которые уже знакомы пользователям Android.

Полный список изменений — по ссылке.

Проверка SafetyNet в Android-приложении

Beta-версия Telegram для Android начала выполнять проверку SafetyNet перед отправкой SMS-кода авторизации. О такой находке сообщили разработчики неофициальной модификации Nekogram.

Редакция @tginfo выяснила, что пользователям модифицированных прошивок переживать не стоит.

SafetyNet API от Google — это инструмент, с помощью которого авторы приложений могут выявлять неофициальные модификации в приложении и в системе, например, моды, Root-доступ и кастомные прошивки. Эта технология используется разработчиками для защиты от пиратства и повышения безопасности, блокируя приложение или некоторые его функции на ненадёжных, по их мнению, устройствах.

Некоторые пользователи считают, что введение технологии SafetyNet может указывать на то, что Telegram собирается запретить получать SMS-коды с неофициальных прошивок или что приложение перестанет работать на таких устройствах вовсе.

Декомпиляция приложения показывает, что Telegram использует SafetyNet для тестирования нового способа доставки SMS-кодов авторизации — через Firebase, сервис от Google, которому и нужна верификация устройства. Старый способ отправки продолжит работать в остальных случаях, что даёт основания считать, что никаких санкций для пользователей неофициальных приложений и модов применяться, скорее всего, не будет.

Использование Firebase, вероятно, связано с высокой ценой отправки SMS-сообщений и звонков для авторизации. Доставка кодов составляет четверть расходов мессенджера.

#Android

Что делать, если не приходит код авторизации?

Для входа в свой аккаунт пользователь Telegram должен ввести одноразовый код авторизации. Однако многие пользователи сталкиваются с тем, что такой код не приходит им ни в виде звонка, ни в виде SMS-сообщения.

Редакция @tginfo рассказывает, что можно сделать в такой ситуации: https://tginfo.me/no-otp/

#FAQ #авторизация

Программа P2PL стала доступна пользователям из РФ

Некоторые наши подписчики с российскими номерами телефонов сообщают, что приложение Telegram начало предлагать им воспользоваться Peer-to-Peer Login Program.

Напомним, что эта программа предоставляет вам возможность получить подписку Telegram Premium, разрешив мессенджеру отправлять за счет вашего тарифного плана SMS-сообщения с кодами авторизации для других пользователей.

По нашим данным, Telegram самостоятельно принимает решение о том, кому из пользователей предложить участие в программе одноранговой авторизации. Сами пользователи никакими своими действиями не могут повысить свои шансы на получение такого предложения.

#P2PL #Премиум

Привяжите электронную почту к Telegram, чтобы не лишиться аккаунта!

⚠️ Предисловие: В России начали противодействовать отправке SMS с кодами авторизации в Telegram. Команда @tginfo настоятельно рекомендует привязать свои учётные записи к действующим электронным адресам и иметь несколько активных сессий, чтобы не лишиться доступа к своим профилям. В таком случае коды для логина смогут доставляться к вам на другие устройства или на указанный e-mail.

Пользователи с российскими номерами телефонов сообщают, что пункт «Почта для входа» появился в разделе Настройки > Конфиденциальность даже у тех пользователей, которым платформа ранее не предлагала переключиться на аутентификацию по электронной почте; теперь они могут видеть напротив этого пункта надпись "REQUIRED".

Ранее «Код Дурова» сообщил, что от российских операторов сотовой связи потребовали прекратить передачу SMS и звонков пользователям со стороны Telegram и WhatsApp. Известно, что ограничительные меры пока действуют не на все номера, поэтому технически SMS или звонки всё ещё могут приходить на некоторые номера телефонов.

Редакция @tginfo предполагает, что Telegram таким образом даёт пользователям из России альтернативный вариант для входа в приложение, который не завязан на SMS или звонках. Поэтому при указании электронной почты в качестве способа авторизации больше не требуется вводить код подтверждения из SMS.

Ещё одним возможным инструментом противодействия ограничениям стала Peer-to-Peer Login Program, возможность участия в которой была предоставлена некоторым российским пользователям накануне.

#авторизация

Telegram для Android и iOS обновились до версии 12.2

Рассказываем, что появилось в мессенджере в большом ноябрьском обновлении:

• Прямые трансляции в историях: В разделе историй во вкладке "Live" теперь можно запустить прямой эфир от своего лица или от имени канала. На таких стримах пользователи могут оставлять небольшие комментарии и закреплять их за звёзды. Автор может вести трансляцию как с камеры своего устройства, так и через сторонние приложения.

• Регулярные сообщения: Теперь при планировании отложенного сообщения пользователь может указать, как часто оно должно отправляться: раз в сутки, раз в неделю, в две недели, в месяц, в квартал, в полгода или в год.

• Аукцион для подарков: Появилась новая механика, которая позволяет распределить лимитированные подарки среди пользователей, сделавших наибольшие ставки в звёздах. Если ваша ставка будет побита и вылетит из топа, то она автоматически будет перенесена на следующий раунд. Если ставка проиграет и в финальном раунде, то все потраченные звёзды будут возмещены.

• Редизайн панелей на Android: Новое оформление в стиле "Liquid Glass" теперь применяется для таких элементов интерфейса как поле набора сообщения, панели с кнопками в ботах и каналах, меню команд и хэштегов. Эффект «стекла» можно отключить в разделе Настройки > Энергосбережение > Анимации в чатах.

Прочие нововведения:
• Настройки конфиденциальности для музыки, сохранённой в профиле.
• Возможность добавить новый контакт путём сканирования QR-кода.
• Галочка, отвечающая за синхронизацию сохраняемого в Telegram контакта с телефонной книжкой устройства.
• Опция запрета получения подарков от каналов в настройках конфиденциальности.

Скачать обновление
• Android: Google Play, APK с официального сайта или верифицированного канала.
• iOS: App Store.

#обновление #Android #iOS

Telegram Desktop обновлён до версии 6.3.1

Что нового в версии 6.3.0:
• Аукционы подарков.
• Прямые трансляции.
• Редизайн профилей.

Что нового в версии 6.3.1:
• Возможность менять порядок музыки в разделе «Мой профиль».
• Возможность менять порядок историй в альбомах.
• Исправлено перекрытие информации новой обложкой в разделе «Мой профиль».
• Исправлено открытие историй из раздела «Мой профиль».
• Исправлена поломка просмотрщика медиафайлов после просмотра прямой трансляции в историях.
• Исправлен вылет по нажатию на кнопку «Все действия» в журнале недавних действий.
• Исправлено несколько причин возможных вылетов.

Скачать:
• Windows/macOS/Linux: официальный сайт или GitHub.
• Windows: Microsoft Store.
• macOS: App Store.
• Linux: Flathub, Snapcraft.

#обновление #desktop

Учёные всё чаще указывают на сходство спекулятивной торговли (крипта, акции с плечом, бинарные опционы) с азартными играми (казино, ставки) — по механике (волатильность, быстрые циклы «ставка-результат-подкрепление»), триггерам (FOMO, «догон»), и вреду для жизни.

Недавнее исследование базируется на выборке в 700 трейдеров криптовалют. Оно поставило целью выяснить, насколько часто у трейдеров криптовалюты возникают зависимости и какие психологические факторы связаны с этим.

Итог: 33,7% трейдеров криптовалюты имеют серьёзные проблемы, игорную зависимость. 33,9% — находятся в зоне риска. 32,4% — не имеют значительных проблем.

Наиболее уязвимы люди с мотивацией избегания (coping motivation) и неспособностью остановиться (inability to stop gambling).

При coping motivation человек играет или торгует не ради удовольствия или выгоды, а чтобы справиться с негативными эмоциями. То есть использует казино, ставки или трейдинг как способ «психологического бегства» — чтобы отвлечься от стресса, тревоги, грусти, скуки, одиночества.

Когда игра или торговля используется как эмоциональная «терапия», человек теряет контроль: риск превращается в привычку, а убытки только усиливают стресс, из-за чего цикл повторяется.

Для трейдеров криптовалют coping motivation может проявляться в виде постоянного входа в рынок после потерь, чтобы «отыграться» и почувствовать себя лучше. Торги идут без чёткого плана, на эмоциях. Волатильность крипты используется как способ «почувствовать адреналин» и забыться. @finside

Аналогично по крипте. Обычному человеку противопоказано лезть в криптотрейдинг. Помимо общих для активного трейдинга причин, здесь добавляются специфические риски.

Лютое использование инсайда и манипулирования, изощрённость мошенников, техническая сложность, невозможность фундаментальной оценки, непрозрачность правового поля…

Но из каждого утюга высовывается криптоэнтузиаст и рассказывает, как это выгодно и круто торговать криптой по его сигналам. Мотивация таких лиц почти всегда сомнительна: от получения реферальных от бирж за пополнение стада на убой до прямого воровства, например, втягивания в фальшивые токены. Такие криптогуру акцентируют внимание на огромных перспективах, не уделяя внимания огромным рискам. То есть вводят в заблуждение.

Если уж совсем не терпится, получить знания в этой сфере можно в бесплатных источниках от уважаемых организаций, минуя комнатных анархокапиталистов, чьи картонные построения опровергнет первая же паника.

Например, есть курс на русском языке от Binance Academy — образовательной платформы от крупной криптобиржи. Обратите внимание на проект «Лекториум» — курс «Битко●н. Блокчейн. Криптовалюты» включает 21 урок с подробными видеолекциями и текстовыми материалами, доступен в любое время, без дедлайнов.

Если вы владеете английским языком, пройдите курс от Принстонского университета на платформе Coursera. Курс «Bitcoin and Cryptocurrency Technologies» охватывает фундаментальную техническую и экономическую часть и полностью доступен без оплаты. Другие курсы от именитых заведений: «Blockchain and Money» (MIT), «Smart Contracts» (University at Buffalo), «Блокчейн, криптоактивы и децентрализованные финансы» от INSEAD. Они доступны свободно. Плату обычно просят, если слушатель желает получить сертификат.

Ссылки на курсы. @finside

Послушав криптоэнтузиаста, новичок не поймёт и половины того, что он говорит. Мы составили глоссарий из 80 терминов — серьёзных и шутливых. https://vklader.ru/kripta/argo/ @vklader

Программа долгосрочных сбережений Сбербанка [и не толькоего].

«Подвох» ПДС не в мошенничестве, а в условиях. Это долгий,малоликвидный инструмент с негарантируемой доходностью и ограниченнойгосподдержкой. Но бывают случаи, когда и он придётся ко двору. Разбираем здесь.@finside

Подробнее. Появилась новая схема развода: мошенники звонят, представляясь сотрудниками налоговой службы. Сообщают, что якобы по вашим данным расходы сильно превышают доходы, и теперь вы «на проверке». Говорят уверенно, называют ваши ФИО и правильный адрес ближайшей налоговой, чтобы вызвать доверие.

Далее «сотрудник» сообщает, что вам нужно лично подойти в инспекцию в определённый период — с такого-то по такое-то число. После этого через время перезванивает «для подтверждения записи» и говорит, что сейчас вам придёт СМС от Госуслуг или с похожим текстом. В сообщении может быть ссылка, код или «подтверждение явки».

Цель этих действий одна — вытащить из вас персональные данные, данные карт, доступ к личному кабинету на Госуслугах, заставить перейти по вредоносной ссылке или зафиксировать сам факт передачи некого ненужного СМС для последующего запугивания. Подробности: https://vklader.ru/otzyvy/fake-fns/. @vklader