В IOS15.4 разблокировка по лицу FaceID будет работать для пользователей в медицинской маске. В бете уже есть. Это отдельная опция, называется «Use Face ID With a Mask», по умолчанию она отключена и под неё нужно будет заново сканировать лицо.
Безопасность при этом снижается, но многих современных моделях iPhone нет разблокировки по отпечатку пальца и разблокировка лицом - единственный способ биометрии. А у нас пандемия кругом, людям в масках надо айфоны на кассе разблокировать.
Интересно, что у эппловского распознавания лиц в масках будет с ложными срабатываниями и ложноотрицательными результатами (в смысле false positives и false negatives). Скоро узнаем.
https://www.macworld.com/article/609695/how-to-use-face-id-with-a-mask.html
Безопасность при этом снижается, но многих современных моделях iPhone нет разблокировки по отпечатку пальца и разблокировка лицом - единственный способ биометрии. А у нас пандемия кругом, людям в масках надо айфоны на кассе разблокировать.
Интересно, что у эппловского распознавания лиц в масках будет с ложными срабатываниями и ложноотрицательными результатами (в смысле false positives и false negatives). Скоро узнаем.
https://www.macworld.com/article/609695/how-to-use-face-id-with-a-mask.html
На Хабре вышел материал о том, у каких сервисов курьеры/водители видят реальный номер телефона клиента (и наоборот), а у каких - временный виртуальный. Из опрошенных автором десяти сервисов подменяют все номера клиентов только Самокат, Яндекс.Go (Такси) и, возможно, Яндекс.Еда (но там может быть нюанс, кто доставляет заказ). Яндекс.Лавка, Утконос, Перекресток Впрок, iGooods, Азбука Вкуса и Озон вообще не подменяют, курьер и клиент видят настоящие номера телефонов друг друга.
А Delivery Club, который пару лет назад анонсировал временные подменные номера, теперь рассказывает, что подменяет номер только для своих собственных курьеров, а внешние курьеры от ресторанов видят реальный номер клиента. При этом номера они стали подменять после того, как курьер пару лет назад донимал женщину-клиента в Whatsapp, потому что она ему понравилась. То есть проблему они решили не полностью.
Интересно, почему все сервисы не внедрят подменные номера для защиты персданных клиентов. Экономят?
https://habr.com/ru/post/648929/
А Delivery Club, который пару лет назад анонсировал временные подменные номера, теперь рассказывает, что подменяет номер только для своих собственных курьеров, а внешние курьеры от ресторанов видят реальный номер клиента. При этом номера они стали подменять после того, как курьер пару лет назад донимал женщину-клиента в Whatsapp, потому что она ему понравилась. То есть проблему они решили не полностью.
Интересно, почему все сервисы не внедрят подменные номера для защиты персданных клиентов. Экономят?
https://habr.com/ru/post/648929/
👍3
Немного про вчерашнюю новость о том, что российские мобильные операторы начали предоставлять бесплатный доступ к социально значимым ресурсам:
Как это будет работать у мобильных операторов, - вроде понятно. Непонятно, почему на сутки, но, может, еще поменяют. Теперь вся интрига - кто попадёт в выгрузку (и выкинут ли «лишние» ресурсы Mail.ru), когда начнут внедрять у проводных операторов и как быстро кто-нибудь придумает Telegram-прокси через сервисы ВК)
https://t.me/roskomsvoboda/8216
https://t.me/zatelecom/20396
• Чтобы получать бесплатный доступ, нужен российский телефонный номер и подтверждённая учётная запись на Госуслугах• Подключается услугой на сутки, а потом надо переподключать у оператора• На официальной странице социально значимых ресурсов пока только Госуслуги и kremlin.ru• ЗаТелеком опубликовал выгрузку диапазонов IP-адресов для операторов за 26 января, на основе которой все это должно работать. В этой выгрузке нет kremlin.ru, но есть куча диапазонов экосистемы ВКонтакте. Причём там адреса не только социальной сети, а и других сервисов, типа Mail.ru и Одноклассники.• В официальном списке нет CDN, например CDN Госуслуг, но поскольку работать будет через диапазоны IP, то может и не надоКак это будет работать у мобильных операторов, - вроде понятно. Непонятно, почему на сутки, но, может, еще поменяют. Теперь вся интрига - кто попадёт в выгрузку (и выкинут ли «лишние» ресурсы Mail.ru), когда начнут внедрять у проводных операторов и как быстро кто-нибудь придумает Telegram-прокси через сервисы ВК)
https://t.me/roskomsvoboda/8216
https://t.me/zatelecom/20396
Telegram
Roskomsvoboda
«Доступный интернет» заработал
«Билайн», МТС, и «МегаФон» начали предоставлять бесплатный доступ к социально значимым ресурсам в рамках соответствующего закона.
Чтобы воспользоваться услугой, требуется авторизация через «Госуслуги», а переподключаться необходимо…
«Билайн», МТС, и «МегаФон» начали предоставлять бесплатный доступ к социально значимым ресурсам в рамках соответствующего закона.
Чтобы воспользоваться услугой, требуется авторизация через «Госуслуги», а переподключаться необходимо…
👍1
Очередная история про отслеживающие маячки Apple AirTag. Чтобы их сложнее было использовать для скрытой слежки (например, подложить кому-нибудь в машину, чтобы понять, куда он поехал), они запрограммированы пищать через несколько часов (от 8 до 24) после того, как окажутся далеко от «своего» смартфона.
И в интернетах уже публиковали рецепты, как вывести из строя пищалку, а теперь предприимчивые умельцы начали продавать AirTag без пищалки на площадках типа eBay. И все, что может сделать Apple - это пытаться удалять эти лоты. Cамо устройство не умеет проверять, работает ли его звуковой сигнал.
Пищалка в первую очередь нужна, чтобы защитить от скрытой слежки владельцев смартфонов на Android, а iPhone умеют предупреждать хозяев о находящихся рядом «чужих» метках. В принципе для Android тоже есть приложения, которые ищут AirTag, типа родного Tracker Detect или AirGuard в FDroid. Но мало кто заморачивается их ставить.
https://gizmodo.com/silenced-airtags-with-disabled-speakers-for-sale-online-1848473673
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&hl=ru&gl=US
https://f-droid.org/en/packages/de.seemoo.at_tracking_detection/
И в интернетах уже публиковали рецепты, как вывести из строя пищалку, а теперь предприимчивые умельцы начали продавать AirTag без пищалки на площадках типа eBay. И все, что может сделать Apple - это пытаться удалять эти лоты. Cамо устройство не умеет проверять, работает ли его звуковой сигнал.
Пищалка в первую очередь нужна, чтобы защитить от скрытой слежки владельцев смартфонов на Android, а iPhone умеют предупреждать хозяев о находящихся рядом «чужих» метках. В принципе для Android тоже есть приложения, которые ищут AirTag, типа родного Tracker Detect или AirGuard в FDroid. Но мало кто заморачивается их ставить.
https://gizmodo.com/silenced-airtags-with-disabled-speakers-for-sale-online-1848473673
https://play.google.com/store/apps/details?id=com.apple.trackerdetect&hl=ru&gl=US
https://f-droid.org/en/packages/de.seemoo.at_tracking_detection/
👍2
Известный проект Graphene собирается выпустить свой собственный телефон с Graphene OS из коробки, обещают новости в течение пары месяцев. Они ведут переговоры с каким-то производителем смартфонов о "производстве устройства с уровнем безопасности и поддержкой альтернативных операционных систем как у [смартфона Google] Pixel".
Людям, которые на форумах спрашивают про "самый безопасный смартфон не от Apple", часто советуют именно Graphene OS. Это известная сборка Android с вырезанными сервисами Google и накрученной безопасностью и приватностью. Разработкой руководит известный параноик Daniel Micay, который до этого делал похожий проект, Copperhead OS.
Сейчас сборка работает только на свежих версиях смартфонов Google Pixel, но Pixel дорогие, их нужно еще прошивать, и официально в Россию их не возят. Ну и вообще, пользователи на американских форумах жалуются, что странно покупать телефон Google, когда хочешь получить избавиться от слежки со стороны Google.
И давно есть конторы, которые просто покупают смартфоны Pixel, прошивают на них Graphene и перепродают втридорога в интернете (например, вот, вот и вот). А теперь Graphene пытаются избавиться от зависимости от железа Google и, похоже, будут продавать свои телефоны сами. При этом поддержку Pixel обещают не прекращать.
https://twitter.com/GrapheneOS/status/1490518600339308544
https://buy.jolla-devices.com/categoria-prodotto/grapheneos/
https://shop.xiphcyber.com/products/graphene-os-smartphone?variant=156
https://shop.nitrokey.com/shop/product/nitrophone-1-199
Людям, которые на форумах спрашивают про "самый безопасный смартфон не от Apple", часто советуют именно Graphene OS. Это известная сборка Android с вырезанными сервисами Google и накрученной безопасностью и приватностью. Разработкой руководит известный параноик Daniel Micay, который до этого делал похожий проект, Copperhead OS.
Сейчас сборка работает только на свежих версиях смартфонов Google Pixel, но Pixel дорогие, их нужно еще прошивать, и официально в Россию их не возят. Ну и вообще, пользователи на американских форумах жалуются, что странно покупать телефон Google, когда хочешь получить избавиться от слежки со стороны Google.
И давно есть конторы, которые просто покупают смартфоны Pixel, прошивают на них Graphene и перепродают втридорога в интернете (например, вот, вот и вот). А теперь Graphene пытаются избавиться от зависимости от железа Google и, похоже, будут продавать свои телефоны сами. При этом поддержку Pixel обещают не прекращать.
https://twitter.com/GrapheneOS/status/1490518600339308544
https://buy.jolla-devices.com/categoria-prodotto/grapheneos/
https://shop.xiphcyber.com/products/graphene-os-smartphone?variant=156
https://shop.nitrokey.com/shop/product/nitrophone-1-199
👍10🔥2
В мессенджере Signal добавили возможность сменить в аккаунте номер телефона. Изменение делают в настройках "Учетная запись - Изменить номер телефона". При этом контактам в существующих чатах выскакивает сообщение "[юзернейм] сменил номер телефона" и показывает новый номер.
Новая функция - просто способ перенести сообщения и телефонную книгу из одного аккаунта в другой при смене номера, и способ сообщить контактам о том, что ваш номер поменялся. Никакой дополнительной безопасности/приватности/анонимности она не дает.
https://signal.org/blog/change-number/
https://support.signal.org/hc/en-us/articles/360007062012
Новая функция - просто способ перенести сообщения и телефонную книгу из одного аккаунта в другой при смене номера, и способ сообщить контактам о том, что ваш номер поменялся. Никакой дополнительной безопасности/приватности/анонимности она не дает.
https://signal.org/blog/change-number/
https://support.signal.org/hc/en-us/articles/360007062012
Signal
You Can Change Your Number
Millions of people worldwide rely on Signal every day for secure and private communication. Some of these people change their phone number, but want to continue using Signal without registering for a new account. We now provide the ability to change the phone…
На ntc.party опубликовали технический обзор январского шатдауна в Казахстане. Многое уже проскакивало в разных местах, но в одном месте почитать интересно.
В общем, шатдауны - не идеальны, стоит внимательно сканировать порты. А туннели через DNS в подобных ситуациях уже не в первый раз работают.
https://ntc.party/t/topic/1686
https://www.bamsoftware.com/software/dnstt/
• Во время шатдауна не блокировались некоторые порты, например 3875 и 179. На порту 3875 работали SOCKS-прокси и OpenVPN. Доступность портов обнаружили сканированием.• Об этом узнал Tor Project и стал раздавать пользователям из Казахстана мосты, работавшие на порту 3875. Часть своих серверов перенастроил на 3875 также VPN-провайдер Lantern.• Также работал dnstt - туннель через DNS, потому что не блокировался DNS трафик до операторских серверов и до ресолверов Google. Проблема в том, что не было готовой инфраструктуры, к которой могли бы подключаться пользователи, и не было готовых клиентских приложений, например приложений для мобильных устройств. То есть решение могло работать только для айтишников.В общем, шатдауны - не идеальны, стоит внимательно сканировать порты. А туннели через DNS в подобных ситуациях уже не в первый раз работают.
https://ntc.party/t/topic/1686
https://www.bamsoftware.com/software/dnstt/
👍19
На Хабре публикуют анализ недавней утечки 48 миллионов QR-кодов вакцинации с Госуслуг. После той утечки 26 января Госуслуги просто отключили возможность проверки QR-кодов по УНРЗ (уникальному номеру регистровой записи пациента), то есть все ссылки типа https://www.gosuslugi.ru/covid-cert/verify/{{УНРЗ}} просто перестали работать. Мы об этом тогда писали.
Оказывается, существовало три версии QR-кодов, и после 26 января перестали работать все QR-коды второго типа, включая настоящие.
Версия 1: До июня 2021 года. https://www.gosuslugi.ru/vaccine/cert/verify/{{uuid}}
Версия 2: C июня 2021 до 9 ноября 2021.
https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}
Версия 3: Текущая версия. https://www.gosuslugi.ru/covid-cert/status/{{uuid}}?lang=ru
В общем, по словам автора, для борьбы с утечкой куча валидных QR-кодов были просто аннулированы без уведомления пользователей. Проверьте, какого типа ваш QR.
https://habr.com/ru/post/650589/
https://t.me/rks_tech_talk/379
Оказывается, существовало три версии QR-кодов, и после 26 января перестали работать все QR-коды второго типа, включая настоящие.
Версия 1: До июня 2021 года. https://www.gosuslugi.ru/vaccine/cert/verify/{{uuid}}
Версия 2: C июня 2021 до 9 ноября 2021.
https://www.gosuslugi.ru/covid-cert/verify/{{unrz}}?lang={{lang}}&ck={{hash}}
Версия 3: Текущая версия. https://www.gosuslugi.ru/covid-cert/status/{{uuid}}?lang=ru
В общем, по словам автора, для борьбы с утечкой куча валидных QR-кодов были просто аннулированы без уведомления пользователей. Проверьте, какого типа ваш QR.
https://habr.com/ru/post/650589/
https://t.me/rks_tech_talk/379
💩21👍14
"Авито" начал подменять номера продавцов в объявлениях на временные виртуальные. Это называется "Защита номера" и до сих пор работало только в категориях "Авто" и "Недвижимость", а теперь включили для всех частных пользователей. Номера в одном объявлении могут со временем могут меняться, но система запоминает, если кто-то кому-то уже звонил по старому номеру и для этой пары пользователей старый номер продолжает работать.
В карточках товаров теперь написано "Номер защищён: смс и сообщения в Viber, WhatsApp и других мессенджерах не будут доставлены."
Вроде хорошая новость, мошенникам станет тяжелее мошенничать. Интересно, что может пойти не так?
https://www.ixbt.com/news/2022/02/09/krupnejshij-proekt-po-zashite-nomerov-polzovatelej-v-rossijskom-internete-avito-zashitil-nomera-vseh-chastnyh-prodavcov.html
В карточках товаров теперь написано "Номер защищён: смс и сообщения в Viber, WhatsApp и других мессенджерах не будут доставлены."
Вроде хорошая новость, мошенникам станет тяжелее мошенничать. Интересно, что может пойти не так?
https://www.ixbt.com/news/2022/02/09/krupnejshij-proekt-po-zashite-nomerov-polzovatelej-v-rossijskom-internete-avito-zashitil-nomera-vseh-chastnyh-prodavcov.html
iXBT.com
Крупнейший проект по защите номеров пользователей в российском интернете. «Авито» защитил номера всех частных продавцов
Онлайн-платформа объявлений «Авито» объявила о том, что сервис «Защита номера» начал работать для всех частных пользователей. В компании это называют крупнейшим проектом по защите номеров пользователей в российском интернете, так как…
👍22🔥7👎5
Тут из США пришла неприятная новость, что там форсится законопроект против шифрованных мессенджеров как обычно с целью борьбы за все хорошее против всего плохого. Планируют наказывать технологические компании за то, что они используют оконечное шифрование пользовательской переписки.
Вряд ли, конечно, это будет принято - лоббисты смогут донести, что шифрование не запретить, и в итоге просто бизнес уйдет в другие юрисдикции, но если бы вдруг приняли (что, конечно, плохо) - это был бы хороший пинок для всяких децентрализованных мессенджеров и других веб 3.0 сервисов.
Вряд ли, конечно, это будет принято - лоббисты смогут донести, что шифрование не запретить, и в итоге просто бизнес уйдет в другие юрисдикции, но если бы вдруг приняли (что, конечно, плохо) - это был бы хороший пинок для всяких децентрализованных мессенджеров и других веб 3.0 сервисов.
Electronic Frontier Foundation
Key Senators Have Voted For The Anti-Encryption EARN IT Act
Earlier today, the Senate Judiciary Committee voted to advance the dangerous EARN IT bill. We’re disappointed to see the committee advance this misguided bill. If enacted, EARN IT will put massive
💩18👍4🤔2
Samsung объявил, что продлевает поддержку некоторых своих смартфонов и планшетов. Они получат "до четырех" крупных версий Android и версий оболочки Samsung One UI и "до пяти" лет обновлений безопасности. Новость распространяется на этот список:
Серия Galaxy S: Galaxy S22, S22+, S22 Ultra, S21, S21+, S21 Ultra, S21 FE и будущие устройства в серии S
Серия Galaxy Z: Galaxy Z Fold3, Galaxy Z Flip3 и будущие устройства в серии Z
Серия Galaxy A: некоторые будущие устройства
Планшеты: Galaxy Tab S8, S8+, S8 Ultra и будущие планшеты в серии Tab S
В анонсе есть несколько потенциальных "но":
То, что производители продлевают срок софтверной поддержки своих устройств, - это хорошая новость. Apple в этом смысле конечно вне конкуренции (там обновления до сих пор приходят на iPhone SE 2016 года), но Samsung/Google Pixel/Oneplus тоже в последнее время стараются. А иначе "брошенные" модели всякими устройствами типа Cellebrite ломать гораздо легче, потому что патчи не выходят. На эту тему, кстати, есть отличный Youtube-канал, там сидит дядька в лаборатории с кучей подобного оборудования и ломает все подряд.
А у каких Android-производителей еще хорошо с софтверной поддержкой?
https://www.samsungmobilepress.com/press-releases/samsung-sets-the-new-standard-with-four-generations-of-os-upgrades-to-ensure-the-most-up-to-date-and-more-secure-galaxy-experience/
https://www.youtube.com/c/DataRescueLabsIncMississauga
Серия Galaxy S: Galaxy S22, S22+, S22 Ultra, S21, S21+, S21 Ultra, S21 FE и будущие устройства в серии S
Серия Galaxy Z: Galaxy Z Fold3, Galaxy Z Flip3 и будущие устройства в серии Z
Серия Galaxy A: некоторые будущие устройства
Планшеты: Galaxy Tab S8, S8+, S8 Ultra и будущие планшеты в серии Tab S
В анонсе есть несколько потенциальных "но":
• "до четырех" вообще-то не гарантирует, что версий будет четыре. Скорее звучит как "мы постараемся".• Samsung нигде не обещает, как быстро будет выпускать патчи. Мелким шрифтом написано, что доступность обновлений будет зависеть от региона, то есть теоретически часть регионов могут быть в пролете.То, что производители продлевают срок софтверной поддержки своих устройств, - это хорошая новость. Apple в этом смысле конечно вне конкуренции (там обновления до сих пор приходят на iPhone SE 2016 года), но Samsung/Google Pixel/Oneplus тоже в последнее время стараются. А иначе "брошенные" модели всякими устройствами типа Cellebrite ломать гораздо легче, потому что патчи не выходят. На эту тему, кстати, есть отличный Youtube-канал, там сидит дядька в лаборатории с кучей подобного оборудования и ломает все подряд.
А у каких Android-производителей еще хорошо с софтверной поддержкой?
https://www.samsungmobilepress.com/press-releases/samsung-sets-the-new-standard-with-four-generations-of-os-upgrades-to-ensure-the-most-up-to-date-and-more-secure-galaxy-experience/
https://www.youtube.com/c/DataRescueLabsIncMississauga
👍5❤1💩1
В IOS есть функция "Улучшение Siri и Диктовки". Если она включена, то записи разговоров с голосовым помощником передаются на сервера Apple и их там могут слушать люди для улучшения качества работы Siri. Вместе с записями в Apple передается история запросов, контакты, геолокация и список приложений, установленных на iPhone/iPad пользователя. В общем, чудесная функция для любителей приватности.
Оказывается, что после обновления на IOS 15 у некоторых пользователей (в оригинале small portion, буквально "небольшой части"), которые ее отключили, эта функция включилась сама и записи без их ведома передавались в облако. Теперь Apple признала проблему, объявила, что отключила этот механизм в версии 15.2, удаляет загруженные файлы из облака и сотрудники Apple их больше не отсматривают. Пишут, что обновление до 15.2 проблему гарантированно решает.
Сколько пользователей затронула проблема, Apple не признается.
https://www.theverge.com/2022/2/8/22924225/apple-ios-15-bug-recorded-interactions-siri
https://www.apple.com/ru/legal/privacy/data/ru/improve-siri-dictation/
Оказывается, что после обновления на IOS 15 у некоторых пользователей (в оригинале small portion, буквально "небольшой части"), которые ее отключили, эта функция включилась сама и записи без их ведома передавались в облако. Теперь Apple признала проблему, объявила, что отключила этот механизм в версии 15.2, удаляет загруженные файлы из облака и сотрудники Apple их больше не отсматривают. Пишут, что обновление до 15.2 проблему гарантированно решает.
Сколько пользователей затронула проблема, Apple не признается.
https://www.theverge.com/2022/2/8/22924225/apple-ios-15-bug-recorded-interactions-siri
https://www.apple.com/ru/legal/privacy/data/ru/improve-siri-dictation/
💩26👍3🔥3
Журналистка New York Times поставила эксперимент и положила отслеживающие bluetooth метки Apple AirTag и Tile и GPS-трекер LandAirSea 54 в машину и в рюкзак своему мужу.
В результате:
Во время эксперимента Apple AirTag показал машину на парковке в том месте, куда поехал муж, в задержкой в час. Но в центре Нью-Йорка AirTag работал даже лучше GPS-трекера, потому что вокруг было много устройств Apple.
Через два часа после установки маячка муж получил на своем iPhone сообщение, что его преследует чужой AirTag и карту перемещений. Он попробовал найти метку в машине, но не смог. AirTag должны подавать звуковой сигнал по запросу чужого iPhone, но у мужа получилось это сделать только один раз, при этом он так и не понял, откуда конкретно пищала метка. AirTag в рюкзаке он нашел совершенно случайно, когда искал в кармане другую вещь.
Tile вообще ничего полезного не показал, он считал, что все время находится в гараже дома журналистки. То есть для слежки за людьми он не пригоден, его можно использовать только по прямому назначению - для поиска потерянных дома вещей. Причина в том, что смартфонов с установленным приложением Tile гораздо меньше, чем айфонов.
LandAirSea работал идеально, но это полноценный GPS-трекер размером с хоккейную шайбу со встроенной sim-картой. А еще он дороже за счет того, что их встроенная sim-карта стоит 20 долларов в месяц.
В общем, что бы ни говорил Apple, AirTag вполне достаточно для краткосрочной скрытой слежки, особенно, если у жертвы Android, а у метки выведена из строя пищалка.
https://www.nytimes.com/2022/02/11/technology/airtags-gps-surveillance.html
https://t.me/rks_tech_talk/389
В результате:
Во время эксперимента Apple AirTag показал машину на парковке в том месте, куда поехал муж, в задержкой в час. Но в центре Нью-Йорка AirTag работал даже лучше GPS-трекера, потому что вокруг было много устройств Apple.
Через два часа после установки маячка муж получил на своем iPhone сообщение, что его преследует чужой AirTag и карту перемещений. Он попробовал найти метку в машине, но не смог. AirTag должны подавать звуковой сигнал по запросу чужого iPhone, но у мужа получилось это сделать только один раз, при этом он так и не понял, откуда конкретно пищала метка. AirTag в рюкзаке он нашел совершенно случайно, когда искал в кармане другую вещь.
Tile вообще ничего полезного не показал, он считал, что все время находится в гараже дома журналистки. То есть для слежки за людьми он не пригоден, его можно использовать только по прямому назначению - для поиска потерянных дома вещей. Причина в том, что смартфонов с установленным приложением Tile гораздо меньше, чем айфонов.
LandAirSea работал идеально, но это полноценный GPS-трекер размером с хоккейную шайбу со встроенной sim-картой. А еще он дороже за счет того, что их встроенная sim-карта стоит 20 долларов в месяц.
В общем, что бы ни говорил Apple, AirTag вполне достаточно для краткосрочной скрытой слежки, особенно, если у жертвы Android, а у метки выведена из строя пищалка.
https://www.nytimes.com/2022/02/11/technology/airtags-gps-surveillance.html
https://t.me/rks_tech_talk/389
NY Times
I Used Apple AirTags, Tiles and a GPS Tracker to Watch My Husband’s Every Move
A vast location-tracking network is being built around us so we don’t lose our keys: One couple’s adventures in the consumer tech surveillance state.
👍21🤔3
Оказывается, в Индии Google и Apple по государственным запросам уже полтора года скрывают для местных пользователей китайские приложения из аппсторов за неправильное хранение персональных данных граждан Индии. Только что из маркетов в Индии исчезли очередных 54 приложения.
За последние полтора года в Индии забанили уже больше 300 приложений именно из Китая, в том числе TikTok, WeChat, UC Browser и PUBG. А в новом списке самая популярная - игра Garena’s Free Fire Illuminate. У нее больше миллиарда установок и 75 миллионов активных пользователей, из которых 40 миллионов в Индии.
Успешно обжаловать блокировку пока не удалось никому. Но установленные запрещённые приложения в Индии продолжают работать - их сетевой трафик не блокируется. Поэтому те, кому надо, либо скачивают и устанавливают apk на Android, либо меняют страну в настройках iPhone, ставят нужное приложение и меняют обратно.
Скрывать приложения из маркетов на основе страны, которую указал пользователь в профиле, - сравнительно неэффективный способ цензуры.
https://techcrunch.com/2022/02/13/india-ban-china-apps/
За последние полтора года в Индии забанили уже больше 300 приложений именно из Китая, в том числе TikTok, WeChat, UC Browser и PUBG. А в новом списке самая популярная - игра Garena’s Free Fire Illuminate. У нее больше миллиарда установок и 75 миллионов активных пользователей, из которых 40 миллионов в Индии.
Успешно обжаловать блокировку пока не удалось никому. Но установленные запрещённые приложения в Индии продолжают работать - их сетевой трафик не блокируется. Поэтому те, кому надо, либо скачивают и устанавливают apk на Android, либо меняют страну в настройках iPhone, ставят нужное приложение и меняют обратно.
Скрывать приложения из маркетов на основе страны, которую указал пользователь в профиле, - сравнительно неэффективный способ цензуры.
https://techcrunch.com/2022/02/13/india-ban-china-apps/
TechCrunch
India bans Garena Free Fire, 53 more China-linked apps
India has banned Tencent-backed Garena Free Fire and NetEase's Onmyoji Arena and over 50 more apps with links to China on national security grounds.
💩2❤1👍1
На Хабре - новый материал про обход блокировки VPN в Египте. Там блокируют весь OpenVPN и Wireguard трафик, Socks5 прокси, а еще всю телефонию, то есть звонки в мессенджерах тоже не работают.
Автор протестировал четырe способа сокрытия трафика OpenVPN до собственного сервера: ssh tunnel, obfsproxy, stunnel и shadowsocks, и в Египте работали все четыре. А еще он измерил их скорость в процентах от скорости вообще без VPN, рулят Shadowsocks и stunnel.
Если нужны мобильные клиенты и лень заморачиваться настраивать руками, наверное, в такой ситуации проще всего купить дешевую VPS-ку и поставить на нее гугловский Outline (https://getoutline.org/), правда, он стучит в Google IP-адрес сервера.
Кстати, какие еще есть варианты подобных «конструкторов» c готовыми клиентскими приложениями и Shadowsocks, но чтобы руками не настраивать?
https://habr.com/ru/post/652289/
https://getoutline.org/ru/
Автор протестировал четырe способа сокрытия трафика OpenVPN до собственного сервера: ssh tunnel, obfsproxy, stunnel и shadowsocks, и в Египте работали все четыре. А еще он измерил их скорость в процентах от скорости вообще без VPN, рулят Shadowsocks и stunnel.
Если нужны мобильные клиенты и лень заморачиваться настраивать руками, наверное, в такой ситуации проще всего купить дешевую VPS-ку и поставить на нее гугловский Outline (https://getoutline.org/), правда, он стучит в Google IP-адрес сервера.
Кстати, какие еще есть варианты подобных «конструкторов» c готовыми клиентскими приложениями и Shadowsocks, но чтобы руками не настраивать?
https://habr.com/ru/post/652289/
https://getoutline.org/ru/
👍27🔥1🤔1
Волшебная субботняя история про местный французский шатдаун.
Во французском городке Месанж каждую ночь стала отключаться сотовая связь и мобильный интернет. Отключалась ровно в полночь и снова включалась ровно в три утра. Мобильный оператор пожаловался в комиссию по радиочастотам, те послали в городок спеца. Тот в первую же ночь за полтора часа выяснил, что работает глушилка, которая находится в частном доме.
Оказывается, один местный дядька начитался форумов и купил в интернете глушилку как на фото, чтобы его дети не сидели по ночам в интернете и шли спать. Мощности хватило на целый небольшой городок, но он сам этого не понимал. Глушилку изъяли, а французу грозит штраф и небольшой тюремный срок.
https://www.anfr.fr/toutes-les-actualites/actualites/les-enquetes-de-lanfr-les-dents-le-brouilleur-et-au-lit/
Во французском городке Месанж каждую ночь стала отключаться сотовая связь и мобильный интернет. Отключалась ровно в полночь и снова включалась ровно в три утра. Мобильный оператор пожаловался в комиссию по радиочастотам, те послали в городок спеца. Тот в первую же ночь за полтора часа выяснил, что работает глушилка, которая находится в частном доме.
Оказывается, один местный дядька начитался форумов и купил в интернете глушилку как на фото, чтобы его дети не сидели по ночам в интернете и шли спать. Мощности хватило на целый небольшой городок, но он сам этого не понимал. Глушилку изъяли, а французу грозит штраф и небольшой тюремный срок.
https://www.anfr.fr/toutes-les-actualites/actualites/les-enquetes-de-lanfr-les-dents-le-brouilleur-et-au-lit/
👍36🔥1
Trend Micro выпустила технический отчет о том, как устроен сервис получения смс на виртуальные номера телефонов онлайн под названием smspva[.]net (он же receivecode[.]com). Это один из сервисов типа "заплати восемь рублей и получи смску для регистрации Whatsapp на какой-нибудь номер". В рекламе пишут, что активных российских номеров у сервиса больше тысячи.
Выяснилось, что этот сервис на самом деле получает регистрационные смс-ки через уязвимые смартфоны пользователей. На сайтах подобных сервисов обычно написано, что они владеют всеми номерами, на которые дают получать смски, и типа у них там стоит специальное оборудование с десятками тысяч симок, но Trend Micro утверждает, что так было до 2018 года, а сейчас многие сервисы получают смски с телефонов через малварь.
Исследователям удалось посмотреть, какие модели смартфонов принимают смс-ки, которые потом появляются на сервисе smspva[.]net. Около 70% из них - это всего пять моделей бюджетных смартфонов: Lava Iris 88/88s, ZTE Blade 3, Mione R5/P1. Поэтому исследователи предполагают, что все-таки это не малварь, а скорее дыры в прошивках, которые используют злоумышленники.
А в России этот ZTE Blade 3 на каждом углу продавался.
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/can-you-rely-on-otps-a-study-of-sms-pva-services-and-possible-criminal-uses
Выяснилось, что этот сервис на самом деле получает регистрационные смс-ки через уязвимые смартфоны пользователей. На сайтах подобных сервисов обычно написано, что они владеют всеми номерами, на которые дают получать смски, и типа у них там стоит специальное оборудование с десятками тысяч симок, но Trend Micro утверждает, что так было до 2018 года, а сейчас многие сервисы получают смски с телефонов через малварь.
Исследователям удалось посмотреть, какие модели смартфонов принимают смс-ки, которые потом появляются на сервисе smspva[.]net. Около 70% из них - это всего пять моделей бюджетных смартфонов: Lava Iris 88/88s, ZTE Blade 3, Mione R5/P1. Поэтому исследователи предполагают, что все-таки это не малварь, а скорее дыры в прошивках, которые используют злоумышленники.
А в России этот ZTE Blade 3 на каждом углу продавался.
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/can-you-rely-on-otps-a-study-of-sms-pva-services-and-possible-criminal-uses
👍4
Исследователи сделали клон Apple AirTag на основе недорогого микроконтроллера ESP32, который позволяет использовать эппловскую сеть Find My для длительной скрытой слежки за перемещением объектов.
Их поделка обходит все ограничения, которые придумал Apple, чтобы препятствовать незаконной скрытой слежке с помощью AirTag:
Все это сделано на основе открытого проекта OpenHaystack, который состоит из клиентского приложения для Маков для отслеживания перемещения меток, и прошивки для устройств с поддержкой bluetooth. Прошитые микроконтроллеры умеют правильно разговаривать с устройствами Apple по протоколу FindMy, и маки и айфоны считают такие устройства настоящими AirTag. Прошивка и приложение лежат на Github.
Интересно, есть ли у Apple техническая возможность защищаться от того, что в их сети появились "левые" AirTag, которые умеют обходить их защиты?
https://github.com/positive-security/find-you
https://positive.security/blog/find-you
Их поделка обходит все ограничения, которые придумал Apple, чтобы препятствовать незаконной скрытой слежке с помощью AirTag:
• у микроконтроллера нет динамика (поэтому он не пищит)• у него нет уникального серийного номера (и поэтому сама компания Apple не знает, чей он). Привязка к Apple ID нужна, но исследователи просто делают новые пустые AppleID на левые почты и остаются анонимными.• у него просто нет специального чипа, который позволяет точно определить местоположение метки с чужого смартфона (у Apple это называется Precision Finding)• такой клон передает в сеть не один публичный ключ, а двести по очереди, благодаря чему остальные устройства Apple не понимают, что это одна и та же метка, и не предупреждают хозяев о слежке. Во время теста исследователь следил за своим знакомым пять суток, и iPhone знакомого ничего не заметил.Все это сделано на основе открытого проекта OpenHaystack, который состоит из клиентского приложения для Маков для отслеживания перемещения меток, и прошивки для устройств с поддержкой bluetooth. Прошитые микроконтроллеры умеют правильно разговаривать с устройствами Apple по протоколу FindMy, и маки и айфоны считают такие устройства настоящими AirTag. Прошивка и приложение лежат на Github.
Интересно, есть ли у Apple техническая возможность защищаться от того, что в их сети появились "левые" AirTag, которые умеют обходить их защиты?
https://github.com/positive-security/find-you
https://positive.security/blog/find-you
👍35🤔2