На прошлой неделе Ведомство по патентам и товарным знакам США опубликовало новый патент Apple, в котором говорится про "Очки приватности". Если у пользователя на лице какие-то специальные очки, то iPhone должен их распознать и показывать пользователю вывод на экране, который не виден окружающим. В патенте написано, что, к примеру, такая технология подойдет для использования в общественном транспорте. Как это технически должно работать, не уточняют, пишут про blur, то есть размытие. А еще из текста патента неясно, очки вообще как-то помогают пользователю увидеть вывод на экране, или FaceID просто на них должен реагировать, чтобы включать этот специальный режим.

Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.

И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.

Но сама идея крутая. Вот бы сделали.

https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html

Разработчики из ОАЭ придумали сигнализацию под названием Themis, которая срабатывает на мат и обидные термины, и показали прототип на выставке Dubai Design Week. Это железяка размером с небольшую настольную лампу с микрофонами и системой распознавания речи, которая распознает мат, расистские и другие обидные термины и включает сирену на две минуты.

"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.

Роботы-модераторы, только в реале.

https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/

Apple собирается открыть онлайн-магазин по продаже запчастей и фирменных инструментов для самостоятельного ремонта своих гаджетов на дому. Программа под названием Self Service Repair запустится в начале 2022 года в США. На первом этапе в магазине будут продавать около 200 запчастей для iPhone 12 и 13, в том числе экраны, аккумуляторы и модули камеры. В будущем обещают добавить в программу новые страны и новые запчасти, в том числе для ноутбуков Macbook. В анонсе пишут, что после ремонта пользователи смогут сдавать сломанную запчасть или аккумулятор на переработку за деньги. А что произойдет с гарантией при таком ремонте, в пресс-релизе не пишут.

Сторонники "права на ремонт" ликуют. Apple долго ругали за то, что они не любят неавторизованный ремонт (в последний раз неделю назад, тыц), и, похоже, компания прислушалась к этой критике. Крутая новость.

https://www.apple.com/newsroom/2021/11/apple-announces-self-service-repair/

Корейские исследователи придумали, как при помощи смартфонов, оснащенных датчиком глубины (ToF) искать скрытые камеры в помещениях. Датчик ToF применяется для измерения расстояния до предметов при фокусировке камеры, и такие датчики, например, есть в Samsung S20 и Huawei P30 Pro. Суть метода в том, что линзы скрытых камер создают специфические блики на результирующей карте глубины. Исследователи пишут, что на сканирование одного помещения нужна примерно минута, а в их тестировании они смогли найти 88.9% скрытых камер в помещениях.

Обещают скоро выпустить в открытый доступ приложение для Android, а пока можно почитать исследование (pdf), посмотреть полное видео презентации и пару демонстрационных роликов (1, 2). Очень актуально для гостиниц и посуточных съемных квартир - СМИ регулярно пишут, как постояльцы находят в них установленные хозяевами скрытые камеры.

Ссылки:
https://youtu.be/F4bZwQHBdV4 (короткий ролик 1)
https://youtu.be/AFjGQNaqmXA (короткий ролик 2)
https://youtu.be/t4Txdhlji4k (видео полной презентации с конференции)
https://dl.acm.org/doi/pdf/10.1145/3485730.3485941 (pdf презентации)

DuckDuckGo запускает публичное тестирование новой функции своего Android приложения, которое называется App Tracking Protection. Это полный аналог популярного приложения Tracker Control из репозитория FDroid - локальный VPN, который пускает через себя трафик приложений и блокирует встроенные внешние трекеры, собирающие информацию о пользователе. В анонсе разработчики пишут, что недавно тестировали популярные приложения для Android (правда, не говорят, сколько), и из них 87% стучали в Google и 68% - в Facebook.

Для тестирования функции просят становиться в лист ожидания в приложении DuckDuckGo для Android:

Settings > Privacy > App Tracking Protection > Join the Private Waitlist.

https://spreadprivacy.com/introducing-app-tracking-protection/

Один британский айтишник решил поискать, не лежат ли в Github чьи-нибудь файлы cookies.sqlite. Это файл, в котором браузер Firefox хранит куки-файлы, в том числе авторизационные куки, которых достаточно, чтобы логиниться в аккаунты, не зная пароля. Айтишник запустил поиск, нашел 4.5 тысячи таких файлов, и написал отчет о найденной уязвимости в Github через программу обнаружения уязвимостей HackerOne. А Github ему резонно ответил, денег не дадим, а если пользователи сами выкладывают в паблик свои файлы с авторизационными куками, то это не наша проблема. Тогда айтишник обиделся и дал интервью изданию The Register, а теперь про это пишет Коммерсантъ с комментариями российских безопасников.

Что тут сказать. Новые истории про "дорки" (специальные поиски), чтобы искать пароли пользователей, всплывают постоянно. В этом году в СМИ точно была история про "утечку из Trello", тогда кто-то из компании Infoline искал публичные проиндексированные доски Trello по ключевому слову "пароль" и нашел кучу. Но искать чужие хранилища куки на Github - действительно свежая оригинальная идея, и да, чужие авторизационные куки иногда позволяет обойти двухфакторную. Интересно только, кому и зачем приходит в голову идея синхронизировать свой профиль Firefox в Github.

Ссылки:
https://www.theregister.com/2021/11/18/firefox_cookies_github/
https://www.kommersant.ru/doc/5087736
https://lenta.ru/news/2021/04/20/leak/

Новый материал на Хабре про то, что служба безопасности сервиса Авито теперь просит подозрительные аккаунты предоставлять фото документов и видео своего лица. Автор текста не хочет предоставлять Авито свой паспорт, но нашел аккаунты явных мошенников, которые такую проверку прошли (за нее дают плашку "Документы проверены"), и недоумевает. Как обычно, комментарии интереснее самого материала.

"Сейчас даже у школьника немного погрузившегося в серый/черный арбитраж проблемы генерации фото паспортов с абсолютно любыми данными вообще нет. Подобных сервисов много даже в открытом доступе и они свободно рекламируются в тематических пабликах и видео на ютубе. Стоимость начинается от десятков рублей за фото страницы паспорта. За несколько сотен вам сделают фото и видео с паспортом в руках с заменой лица дипфейком и любыми данными. По большей части вся эта инфраструктура подделки доков существует под фейсбук и платежки."

https://habr.com/ru/post/590201/

Яндекс скоро собирается запустить авторизацию через Госуслуги (в смысле, технически через ЕСИА)! Об этом рассказал на конференции глава Минцифры Максут Шадаев, а ТАСС его процитировал. С одной стороны, вроде, ну и ладно, пока Госуслуги привязывать не обязательно, а это просто еще одна опция. А с другой стороны - зачем это Яндексу?

Если вы еще не подписаны на чат этого канала https://t.me/rks_tech_talk_chat - приходите обсуждать!

https://tass.ru/ekonomika/12996999

Безопасники криптовалютной биржи Kraken выложили ролик о том, как супер-дешево копировать отпечатки пальцев для разблокировки устройств. Посмотрите видео, там ровно минута: они фотографируют реальный отпечаток с ровной поверхности, инвертируют цвета и чистят снимок, результат печатают на лазерном принтере на трафаретной пленке, а потом заливают столярным клеем. Высохший слой клея снимают и прикладывают к реальному пальцу. Пишут, что таким способом у них получилось разблокировать iPad, Macbook и аппаратный криптовалютный кошелек.

Настолько просто и дешево, что аж не верится.

https://youtu.be/VYI9XNO4XzU
https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/

Telegram требует от разработчиков сторонних клиентов добавить поддержку отображения рекламы (спонсорских сообщений Telegram) в каналах до 1 января 2022 года, иначе обещает отключать от сети. Сообщение об этом добавили в документацию для разработчиков.

"К сожалению, Telegram не может финансово поддерживать приложения сторонних разработчиков, которые не будут показывать пользователям спонсорские сообщения, и они (эти приложения) придется отключать... Правила монетизации сторонних приложений не меняются: разработчики могут монетизировать свой труд через показ рекламы или другими законными способами, при условии, что все способы монетизации явно указаны в описаниях в магазинах приложений."

6 ноября Дуров анонсировал будущую возможность выключать рекламу в Telegram по подписке за деньги. Поэтому ему важно, чтобы у пользователей не было возможности просто перейти на сторонние клиенты и не видеть рекламу.

https://corefork.telegram.org/api/sponsored-messages#sponsored-messages-in-third-party-apps
https://habr.com/ru/news/t/587610/

После громкой истории про мобильную малварь Pegasus израильской компании NSO Group, Apple подала в американский суд. Требуют официального запрета для NSO Group на взлом или любое использование устройств и сервисов Apple!

По аналогичному поводу с NSO Group уже судится Whatsapp и тот суд пока что ничем не закончился. Но Apple права: у проблемы уязвимостей нулевого дня ("зиродеев") нет технического решения. Пока у NSO Group и подобных компаний есть право делать конструкторы для удаленного взлома на основе зиродеев и возможность продавать их разным странам и на этом зарабатывать, противостояние снаряда и брони будет продолжаться. Apple будет закрывать эти уязвимости, а NSO будет покупать новые. Эксперты говорят, что единственный способ прекратить легальное использование зиродеев для взлома устройств - просто запретить их, как химическое оружие.

Кстати, если вы полностью пропустили июльскую историю про Pegasus, мы про нее регулярно здесь пишем (1,2,3), и недавно сделали обзорный материал на сайте, почитайте.

https://www.apple.com/newsroom/2021/11/apple-sues-nso-group-to-curb-the-abuse-of-state-sponsored-spyware/
https://t.me/rks_tech_talk/118
https://t.me/rks_tech_talk/121
https://t.me/rks_tech_talk/122
https://roskomsvoboda.org/post/pegasus-nso-group/

🗨 Запрос помощи зала

Помогите провалидировать решение команды Privacy Accelerator!

👉 Мы ищем тех, кто удалял когда-нибудь содержимое своего электронного ящика с почтового сервера в целях безопасности или просто интересуется данной темой.

Отпишитесь, пожалуйста, в комментариях к посту, если готовы помочь, чтобы мы связались с вами.

ProtonVPN опубликовал у себя в блоге сравнение VPN протоколов OpenVPN и Wireguard. Если вкратце:

OpenVPN:
Плюсы: опенсорц, безопасный, проверенный (в смысле давно используется), проходил аудиты (хотя ниже пишут, что и Wireguard проходил), может использоваться для обхода цензуры (в смысле можно настроить TCP на 443 порт).
Минусы: медленный, нужно больше ресурсов CPU, быстрее жрет батарейку на мобильных устройствах.

Wireguard:
Плюсы: опенсорц, быстрый, эффективный, быстро устанавливает соединение, безопасный
Минусы: Безопасность пока теоретическая (в смысле, в отличие от OpenVPN у исследователей не было возможности 20 лет его ковырять), хуже с обходом цензуры (в смысле не поддерживает TCP), поддерживается на меньшем количестве устройств (это они про роутеры), приватность требует дополнительных усилий со стороны провайдера.

В целом, советуют пользователям всегда выбирать Wireguard, кроме трех случаев:

1. Если нужна гарантированная высокая безопасность - OpenVPN гораздо дольше тестировали.
2. Если нужен обход цензуры - в смысле OpenVPN можно переключать в режим TCP. При этом они уточняют, что хорошо настроенный DPI может блокировать и тот, и другой протокол.
3. Если ваше устройство просто не поддерживает Wireguard.

А вы в каких случаях выбираете OpenVPN?

https://protonvpn.com/blog/openvpn-vs-wireguard/

В Великобритании собрались законодательно запрещать пароли по умолчанию в умных устройствах и роутерах. Их парламент обсуждает законопроект, по которому:

▪️Пароли по умолчанию запрещены (по всей видимости, пользователь не сможет использовать устройство, пока не задаст уникальный пароль).
▪️По всем подобным устройствам должна публиковаться информация о сроке, в течение которого они будут получать обновления безопасности. Если обновлений вообще не будет, об этом должно быть тоже явно написано.

Хорошая идея, пытаются решить проблему ботнетов из умных телевизоров и взломов казино через умный термометр в аквариуме с паролем по умолчанию (дада, была такая история). Это особенно важно, потому что куча умного оборудования вообще не перепрошивается, и если там есть дыра, то это навсегда, пока не выбросишь. Сейчас информацию об этом приходится искать отдельно, а если законопроект примут, производителям придется явно писать об этом.

https://www.bbc.com/news/technology-59400762

В США рассекретили документ от ноября 2020 года о том, какой доступ к каким мессенджерам имеет ФБР. iMessage и Whatsapp выдают больше всего, причем iMessage выдает расшифрованные бэкапы сообщений из iCloud (если они там есть), зато Whatsapp делится информацией о новых действиях в нужных аккаунтах почти в реальном времени.

▪️Signal: содержания сообщений не предоставляет, предоставляет дату регистрации аккаунта и когда пользователь в последний раз соединялся.
▪️Telegram: содержания сообщений не предоставляет, информацию по решению суда не выдает. В документе есть ссылка на политику Telegram, что он может выдать IP-адрес и номер телефона по расследованиям подтвержденных случаев терроризма.
▪️Viber: содержания сообщений не предоставляет, предоставляет номер телефона и IP-адрес на момент регистрации, по запросу предоставляет метаданные (какой номер телефона на какой когда писал и звонил).
▪️iMessage: содержание сообщений предоставляет "ограничено" (что это значит, в документе не объясняют). Предоставляет основную информацию о пользователе. По ордеру на обыск выдает бэкапы iCloud. Если пользователь бэкапит iMessage в iCloud, то выдает и этот бэкап сообщений iMessage (они в облаке зашифрованы, но у Apple есть ключи). При этом Apple, в отличие от Whatsapp, не предоставляет pen register - это когда ФБР почти в реальном времени получает новую информацию о действиях пользователя в аккаунте.
▪️Whatsapp: содержание сообщений можно получить, если у пользователя iPhone и архив Whatsapp бэкапится в iCloud (то есть выдает фактически Apple). Предоставляет основную информацию о пользователе. По решению суда представляет список заблокированных аккаунте пользователей. По ордеру на обыск представляет адресную книгу. При этом предоставляет pen register (фактически, такой вариант прослушки на уровне метаданных) - сообщает о новых действиях в нужном аккаунте с задержкой в 15 минут, то есть кто кому когда писал и звонил.

Еще в таблице есть информация про Line, Threema, WeСhat и Wickr, но это уже сами почитайте) Интересно, что у всех мессенджеров вроде почти одинаковое шифрование (кроме Telegram, дада), но метаданные все выдают по-разному.

https://propertyofthepeople.org/document-detail/?doc-id=21114562
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/

Google выкинул из поисковой выдачи для голландских IP все ссылки на легендарный торрент-трекер Pirate Bay, его прокси и зеркала (всего 114 доменов). Torrentfreak пишет, что Google это сделал вот по этому решению суда, которое, строго говоря, вообще никакого отношения не имеет к поисковой выдаче - оно предписывает блокировать этот список доменов трем интернет-провайдерам в Нидерландах.

Torrentfreak: "Насколько нам известно, Google впервые исполняет решение о блокировке пиратского сайта, в котором Google не упоминается".

https://torrentfreak.com/google-removes-pirate-bay-domains-from-search-results-citing-dutch-court-order-211130/

Помните, после президентских выборов в США в январе протестующие штурмовали Капитолий, а теперь их судят? Смотрите, что Google вчера выдал суду по геопозиции одного из них. 57 точек за час, и это перемещения человека внутри здания.

Вот о какой точности идет речь, когда мы предоставляем приложению права отслеживать геопозицию.

https://twitter.com/josephfcox/status/1465391629020405765

Ноябрьская история: безопасники из Dr. Web поковыряли четыре популярные модели детских смарт-часов, которые продаются в России: Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite, Smart Baby Watch Q19. PDF с отчетом - это просто песня, нужно читать, тем более, все по-русски. Вот пара чуть отредактированных цитат, самый жир!

Elari Kidphone 4G: Модуль Android.DownLoader.1049.origin передает на сервер hxxps://g[.]sinfoon[.]com:40081/data информацию о SIM-карте и номере телефона, данные о местоположении, большой объем информации об устройстве и установленных на нем приложениях, а также о количестве СМС, телефонных звонков и контактов в адресной книге.

Wokka Lokka Q50: Моделью можно управлять при помощи СМС-команд. При этом в инструкции сведения о такой возможности отсутствуют. Главной уязвимостью Wokka Lokka Q50 является использование стандартного для всех устройств линейки пароля 123456 для передачи СМС-команд (в некоторых версиях часов используется пароль 523681). При этом в часах отсутствует функция его принудительной смены при первом включении. Нет рекомендации о его замене и в комплектной инструкции, сменить его через управляющее приложение тоже нельзя. Зная номер телефона установленной в часы SIM-карты, злоумышленник сможет получить контроль над устройством. Например, запросить GPS-координаты командой pw,123456,url#, которые поступят в ответном СМС, или дистанционно прослушать окружение через обратный звонок на указанный в команде номер.

Dr.Web сдал отчеты производителям. Интересно, станут ли они исправлять эти проблемы вообще, они же, наверное, эти устройства закупают где-нибудь в Китае с готовыми прошивками.

https://news.drweb.ru/show/?i=14350

В мессенджере Signal появилась возможность рекуррентых пожертвований разработчикам мессенджера! Пункт в настройках называется "Станьте поддерживающим Signal". Варианты в российских рублях - 250, 700 и 1400 в месяц. Директор Signal, Мокси Марлинспайк пишет в анонсе:

"У Signal нет данных на продажу, нет рекламодателей, которым можно их продавать, и нет инвесторов, которые получают от этого выгоду. Мы делаем технологии другого типа - где ваши данные остаются в ваших руках - но мы также строим организацию другого типа. Без инвесторов, квартальных отчетов о прибылях, или соображений о цене акций.

А если пользователи Signal - единственные, кому наш мессенджер приносит пользу, то им его и поддерживать. Это непохоже на то, как обычно устроены интернет-технологии, которые живут за счет данных пользователей и приносят прибыль крупным инвесторам. Мы верим, что смена этой парадигмы нужна, чтобы построить будущее, где технологии будут всем нам приносить пользу."

Очень правильная монетизация, пусть у них все получится.

Сегодня РКН выпустил очередное предостережение о блокировке новых VPN-сервисов: https://rkn.gov.ru/news/rsoc/news73968.htm
На этот раз в список попали Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN, PrivateTunnel.

Это уже третье такое письмо за год (вот ссылки на предыдущие 1, 2, 3). В прошлых сериях обещали блокировать OperaVPN (в результате те заблокировали сами себя), VyprVPN, Hola!VPN, ExpressVPN, KeepSolid VPN Unlimited, Nord VPN, Speedify VPN, IPVanish VPN.

И по наблюдениям на московском Ростелекоме не работает Tunnelbear без обфускации, поэтому если у кого-то есть такая же проблема - нужно поставить галку как на рисунке.

А как у вас другие VPN-сервисы? Все работают нормально без маскировки трафика?