Samsung объявил, что продлевает поддержку некоторых своих смартфонов и планшетов. Они получат "до четырех" крупных версий Android и версий оболочки Samsung One UI и "до пяти" лет обновлений безопасности. Новость распространяется на этот список:

Серия Galaxy S: Galaxy S22, S22+, S22 Ultra, S21, S21+, S21 Ultra, S21 FE и будущие устройства в серии S
Серия Galaxy Z: Galaxy Z Fold3, Galaxy Z Flip3 и будущие устройства в серии Z
Серия Galaxy A: некоторые будущие устройства
Планшеты: Galaxy Tab S8, S8+, S8 Ultra и будущие планшеты в серии Tab S

В анонсе есть несколько потенциальных "но":

• "до четырех" вообще-то не гарантирует, что версий будет четыре. Скорее звучит как "мы постараемся".
• Samsung нигде не обещает, как быстро будет выпускать патчи. Мелким шрифтом написано, что доступность обновлений будет зависеть от региона, то есть теоретически часть регионов могут быть в пролете.

То, что производители продлевают срок софтверной поддержки своих устройств, - это хорошая новость. Apple в этом смысле конечно вне конкуренции (там обновления до сих пор приходят на iPhone SE 2016 года), но Samsung/Google Pixel/Oneplus тоже в последнее время стараются. А иначе "брошенные" модели всякими устройствами типа Cellebrite ломать гораздо легче, потому что патчи не выходят. На эту тему, кстати, есть отличный Youtube-канал, там сидит дядька в лаборатории с кучей подобного оборудования и ломает все подряд.

А у каких Android-производителей еще хорошо с софтверной поддержкой?

https://www.samsungmobilepress.com/press-releases/samsung-sets-the-new-standard-with-four-generations-of-os-upgrades-to-ensure-the-most-up-to-date-and-more-secure-galaxy-experience/
https://www.youtube.com/c/DataRescueLabsIncMississauga

В IOS есть функция "Улучшение Siri и Диктовки". Если она включена, то записи разговоров с голосовым помощником передаются на сервера Apple и их там могут слушать люди для улучшения качества работы Siri. Вместе с записями в Apple передается история запросов, контакты, геолокация и список приложений, установленных на iPhone/iPad пользователя. В общем, чудесная функция для любителей приватности.

Оказывается, что после обновления на IOS 15 у некоторых пользователей (в оригинале small portion, буквально "небольшой части"), которые ее отключили, эта функция включилась сама и записи без их ведома передавались в облако. Теперь Apple признала проблему, объявила, что отключила этот механизм в версии 15.2, удаляет загруженные файлы из облака и сотрудники Apple их больше не отсматривают. Пишут, что обновление до 15.2 проблему гарантированно решает.

Сколько пользователей затронула проблема, Apple не признается.

https://www.theverge.com/2022/2/8/22924225/apple-ios-15-bug-recorded-interactions-siri
https://www.apple.com/ru/legal/privacy/data/ru/improve-siri-dictation/

Журналистка New York Times поставила эксперимент и положила отслеживающие bluetooth метки Apple AirTag и Tile и GPS-трекер LandAirSea 54 в машину и в рюкзак своему мужу.

В результате:

Во время эксперимента Apple AirTag показал машину на парковке в том месте, куда поехал муж, в задержкой в час. Но в центре Нью-Йорка AirTag работал даже лучше GPS-трекера, потому что вокруг было много устройств Apple.

Через два часа после установки маячка муж получил на своем iPhone сообщение, что его преследует чужой AirTag и карту перемещений. Он попробовал найти метку в машине, но не смог. AirTag должны подавать звуковой сигнал по запросу чужого iPhone, но у мужа получилось это сделать только один раз, при этом он так и не понял, откуда конкретно пищала метка. AirTag в рюкзаке он нашел совершенно случайно, когда искал в кармане другую вещь.

Tile вообще ничего полезного не показал, он считал, что все время находится в гараже дома журналистки. То есть для слежки за людьми он не пригоден, его можно использовать только по прямому назначению - для поиска потерянных дома вещей. Причина в том, что смартфонов с установленным приложением Tile гораздо меньше, чем айфонов.

LandAirSea работал идеально, но это полноценный GPS-трекер размером с хоккейную шайбу со встроенной sim-картой. А еще он дороже за счет того, что их встроенная sim-карта стоит 20 долларов в месяц.

В общем, что бы ни говорил Apple, AirTag вполне достаточно для краткосрочной скрытой слежки, особенно, если у жертвы Android, а у метки выведена из строя пищалка.

https://www.nytimes.com/2022/02/11/technology/airtags-gps-surveillance.html
https://t.me/rks_tech_talk/389

Оказывается, в Индии Google и Apple по государственным запросам уже полтора года скрывают для местных пользователей китайские приложения из аппсторов за неправильное хранение персональных данных граждан Индии. Только что из маркетов в Индии исчезли очередных 54 приложения.

За последние полтора года в Индии забанили уже больше 300 приложений именно из Китая, в том числе TikTok, WeChat, UC Browser и PUBG. А в новом списке самая популярная - игра Garena’s Free Fire Illuminate. У нее больше миллиарда установок и 75 миллионов активных пользователей, из которых 40 миллионов в Индии.

Успешно обжаловать блокировку пока не удалось никому. Но установленные запрещённые приложения в Индии продолжают работать - их сетевой трафик не блокируется. Поэтому те, кому надо, либо скачивают и устанавливают apk на Android, либо меняют страну в настройках iPhone, ставят нужное приложение и меняют обратно.

Скрывать приложения из маркетов на основе страны, которую указал пользователь в профиле, - сравнительно неэффективный способ цензуры.

https://techcrunch.com/2022/02/13/india-ban-china-apps/

На Хабре - новый материал про обход блокировки VPN в Египте. Там блокируют весь OpenVPN и Wireguard трафик, Socks5 прокси, а еще всю телефонию, то есть звонки в мессенджерах тоже не работают.

Автор протестировал четырe способа сокрытия трафика OpenVPN до собственного сервера: ssh tunnel, obfsproxy, stunnel и shadowsocks, и в Египте работали все четыре. А еще он измерил их скорость в процентах от скорости вообще без VPN, рулят Shadowsocks и stunnel.

Если нужны мобильные клиенты и лень заморачиваться настраивать руками, наверное, в такой ситуации проще всего купить дешевую VPS-ку и поставить на нее гугловский Outline (https://getoutline.org/), правда, он стучит в Google IP-адрес сервера.

Кстати, какие еще есть варианты подобных «конструкторов» c готовыми клиентскими приложениями и Shadowsocks, но чтобы руками не настраивать?

https://habr.com/ru/post/652289/
https://getoutline.org/ru/

Волшебная субботняя история про местный французский шатдаун.

Во французском городке Месанж каждую ночь стала отключаться сотовая связь и мобильный интернет. Отключалась ровно в полночь и снова включалась ровно в три утра. Мобильный оператор пожаловался в комиссию по радиочастотам, те послали в городок спеца. Тот в первую же ночь за полтора часа выяснил, что работает глушилка, которая находится в частном доме.

Оказывается, один местный дядька начитался форумов и купил в интернете глушилку как на фото, чтобы его дети не сидели по ночам в интернете и шли спать. Мощности хватило на целый небольшой городок, но он сам этого не понимал. Глушилку изъяли, а французу грозит штраф и небольшой тюремный срок.

https://www.anfr.fr/toutes-les-actualites/actualites/les-enquetes-de-lanfr-les-dents-le-brouilleur-et-au-lit/

Trend Micro выпустила технический отчет о том, как устроен сервис получения смс на виртуальные номера телефонов онлайн под названием smspva[.]net (он же receivecode[.]com). Это один из сервисов типа "заплати восемь рублей и получи смску для регистрации Whatsapp на какой-нибудь номер". В рекламе пишут, что активных российских номеров у сервиса больше тысячи.

Выяснилось, что этот сервис на самом деле получает регистрационные смс-ки через уязвимые смартфоны пользователей. На сайтах подобных сервисов обычно написано, что они владеют всеми номерами, на которые дают получать смски, и типа у них там стоит специальное оборудование с десятками тысяч симок, но Trend Micro утверждает, что так было до 2018 года, а сейчас многие сервисы получают смски с телефонов через малварь.

Исследователям удалось посмотреть, какие модели смартфонов принимают смс-ки, которые потом появляются на сервисе smspva[.]net. Около 70% из них - это всего пять моделей бюджетных смартфонов: Lava Iris 88/88s, ZTE Blade 3, Mione R5/P1. Поэтому исследователи предполагают, что все-таки это не малварь, а скорее дыры в прошивках, которые используют злоумышленники.

А в России этот ZTE Blade 3 на каждом углу продавался.

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/can-you-rely-on-otps-a-study-of-sms-pva-services-and-possible-criminal-uses

Исследователи сделали клон Apple AirTag на основе недорогого микроконтроллера ESP32, который позволяет использовать эппловскую сеть Find My для длительной скрытой слежки за перемещением объектов.

Их поделка обходит все ограничения, которые придумал Apple, чтобы препятствовать незаконной скрытой слежке с помощью AirTag:

• у микроконтроллера нет динамика (поэтому он не пищит)
• у него нет уникального серийного номера (и поэтому сама компания Apple не знает, чей он). Привязка к Apple ID нужна, но исследователи просто делают новые пустые AppleID на левые почты и остаются анонимными.
• у него просто нет специального чипа, который позволяет точно определить местоположение метки с чужого смартфона (у Apple это называется Precision Finding)
• такой клон передает в сеть не один публичный ключ, а двести по очереди, благодаря чему остальные устройства Apple не понимают, что это одна и та же метка, и не предупреждают хозяев о слежке. Во время теста исследователь следил за своим знакомым пять суток, и iPhone знакомого ничего не заметил.

Все это сделано на основе открытого проекта OpenHaystack, который состоит из клиентского приложения для Маков для отслеживания перемещения меток, и прошивки для устройств с поддержкой bluetooth. Прошитые микроконтроллеры умеют правильно разговаривать с устройствами Apple по протоколу FindMy, и маки и айфоны считают такие устройства настоящими AirTag. Прошивка и приложение лежат на Github.

Интересно, есть ли у Apple техническая возможность защищаться от того, что в их сети появились "левые" AirTag, которые умеют обходить их защиты?

https://github.com/positive-security/find-you
https://positive.security/blog/find-you

РКН пообещал начать частично ограничивать доступ к Facebook. Частичное ограничение, судя по всему, это шейпинг (или замедление) по примеру шейпинга твиттера весной 21 года с помощью ТСПУ.
Этот краткий инструментарий к шатдауну позволит и с шейпингом Facebook справиться, если что.

«На ТСПУ начали блокировать/замедлять Twitter. В моём случае наблюдается блокировка (мобильный Теле2/проводной ОБИТ): подключение устанавливается, первые пакеты TLS-сессии проходят, но все последующие отбрасываются, и до передачи данных внутри сессии не доходит.

У других наблюдается замедление»

ValdikSS
https://ntc.party/t/twitter-26-02-2022/1724

Есть ещё способ обходить блокировки и замедление на Андроид - специальная сборка Firefox, с обходом DPI-блокировок: https://ntc.party/t/firefox-for-android-with-tls-padding-for-censorship-circumvention/1725

Наш плагин CensorTracker в отличие от большинства других имеет возможность обходить блокировки не только по реестру, но и по ТСПУ.
Если кому-то из разработчиков других систем обхода блокировок нужен эндпоинт с блокировками ТСПУ - пишите в комментах, дадим такой эндпоинт для ваших решений.

Если что-то блокируется по ТСПУ, но плагин это не обходит - также пишите, добавим.

И еще маленькая просьба, если кому-то плагин оказался полезен - поставьте плз нам оценку в сторах ГуглоХрома и Мозиллового ФайрФокса, а то пока мы экспериментировали с обнаружением блокировок ТСПУ, успели нахватать в оценках хейта.

В сообществе Let's Encrypt обсуждают возможно ли применение санкций в отношении российских органов власти к сертификатам выданным для доменов *.gov.ru[1] [2].

Let's Encrypt - это не коммерческий провайдер, но они имеют институционализацию как проект некоммерческой организации Internet Security Research Group (ISRG) которые оформлены как юридическое лицо и которые могут быть обязаны санкции применять. Вопрос будут ли и если да то в какой форме. Пока можно предполагать что в "зоне риска" , в первую очередь, организации попавшие под санкции.

Но важно и то что на 3634 домена в зоне .gov.ru выданы сертификаты Let's Encrypt [3]. Это где-то в 25 раз больше чем все остальные удостоверяющие центры (примерно 96% всех сертификатов домены зоны .gov.ru).

Отдельный вопрос почему в России за все эти годы не появилось удостоверяющего центра включенного в доверенные на уровне операционных систем MacOSX, Windows, Android, IOS и др. В первую очередь такой сертификат позволял бы спецслужбам перехватывать трафик осуществляя атаку man-in-the-middle на HTTPS соединения.

Если массовые отзывы сертификатов у госдоменов начнутся, то в России могут попытаться распространить такой корневой сертификат с рекомендацией пользователям по его установке. Но пользователи, знающие о том что его можно использовать для перехвата трафика, могут категорически не хотеть его устанавливать.

Лично я бы точно постарался бы от этого воздержаться.

Ссылки:
[1] https://community.letsencrypt.org/t/how-will-us-eu-sanctions-on-russia-restrict-certificate-issuance/172835/4
[2] https://community.letsencrypt.org/t/help-ukrainians/172836/12
[3] https://crt.sh/?q=.gov.ru&dir=^&sort=4&group=icaid

#security #privacy #sanctions #tls #russia #https

Похоже блокировка Youtube началась.

"02.03.2022 наблюдается блокировка домена yt3.ggpht.com сервиса Youtube, который используется для загрузки картинок и другого статического контента на Youtube.
Блокировка осуществляется системой ТСПУ DPI, на провайдерах, где эта система установлена. TCP-соединение закрывается пакетом TCP RSTACK в ответ на HTTP-запрос, содержащий этот домен, либо HTTPS TLS ClientHello в поле SNI.

Сервис ping-admin показывает доступность сервиса в целом (на серверных и транзитных каналах ТСПУ почти не встречается). Соединение с провайдеров ОБИТ, Ростелеком, МТС и Tele2 (все с ТСПУ) не получают положительный ответ на HTTP и HTTPS-запросы до этого домена, причём с другими доменами при запросе на этот же адрес проблем не наблюдается. Также блокируются запросы на другие IP-адреса с этим доменом, что подтверждает наличие фильтра, а не внезапные сетевые проблемы."

Коллеги, айтишники


Похоже пора сделать следующее:

1) Поднять внутри России свой Matrix.

2) Поднять внутри России VPS, куда поставить Outline VPN (тут есть ShadowSocks на мобильных клиентах).

3) Поднять внутри России VPS, куда поставить Amnezia VPN (мобильные клиенты на подходе и там пока только OpenVPN и WG, но ultimate набор для десктопа, что работает даже в Туркмении - meek, cloak, Shadowsocks).

4) Раздать логины-пароли-айпишники от п.1-3 по своим родственникам-друзьям-коллегам.

5) можно для подстаховки п.2-3 сделать не только в России

Давайте попробуем обьяснить по поводу блокировки YouTube, а то разрываются телефоны от журналистов

Наши технические специалисты и просто технические специалисты видят изменение поведения в служебных доменах YouTube.com, конкретно в yt3.ggpht.com

C очень большой вероятностью это изменение происходит из-за ТСПУ. Обычно, когда РКН шейпит (замедляет) что-то (Facebook, Twitter) - то он блокирует или замедляет на ТСПУ один из служебных доменов.

Это может быть одно из двух:
- РКН тренируется как замедлять Youtube, но пока его не планирует замедлять
- РКН в ближайшее время начнет замедление YouTube.

А замедление Youtube.com как все понимают равнозначно его блокировке.


UPD: Мы ни на что не намекаем, но мы заметили странное совпадение:

Как только по СМИ пошёл шум после нашего поста, и журналисты начали связываться с РосКомНадзором с целью получить комментарии - соединения к данному домену перестали сбрасываться.

UPD (отдельным постом, а то в репостах изменения не отображаются):

Мы ни на что не намекаем, но мы заметили странное совпадение:

Как только по СМИ пошёл шум после нашего поста, и журналисты начали связываться с РосКомНадзором с целью получить комментарии - соединения к данному домену перестали сбрасываться.

В общем, подводя итог этого события.
Сухая хронология:
- Мы (тех.команда РКС) совместно с коллегами обнаружили проблему и провели серию сетевых экспериментов (включая проверки со всей России (показывающие наличие проблемы) и из-за рубежа (откуда проблема не воспроизводилась), проверили разные гипотезы того, что могло вызвать такую ситуацию
- Наиболее соответствующей результатам проведённых экспериментов гипотезой вышла гипотеза о блокировке на ТСПУ. (потому что признаков, которые наблюдались бы при других вариантах - мы не обнаружили)
- Мы опубликовали пост (параллельно заметив возрастающее количество сообщений о нерабочем ютубе)
- Пошли репосты, а так же наши коллеги-журналисты начали заниматься фактчекингом и опросом "другой стороны" (Роскомнадзора, как ответственного за ТСПУ)
- Внезапно, соединения перестали сбрасываться.
- Где-то в то же время +/- пять минут появились сообщения о том, что РосКомНадзор отрицает блокировку.


А теперь немного аналитики и личного мнения автора поста:

- Учитывая результаты экспериментов - ситуация при анализе выглядела максимально похоже на блокировку через DPI.
- Совпадение времени пропажи проблемы с временем, когда начали задавать вопросы Роскомнадзору - максимально интересно
- Не смотря на то, что Роскомнадзор отрицает причастность к проблеме, давайте вспомним прошлогоднее не-блокирование Гугл.Документов. Тогда Роскомнаддзор тоже говорил, что они ничего не блокируют, при этом практически всю ночь из России этот сервис был недоступен через многих операторов, и, в то же время, так же, как и сейчас, прекрасно работал при подключении из-за рубежа.

Выводы делать не буду, потому что считаю что задача журналистики - не навязывать мнение, а предоставлять достаточно информации, чтобы люди могли сделать выводы сами.

Но, если что, наша редакционная рабочая гипотеза состоит в том, что, скорее всего, Роскомнадзор в очередной раз "примерялся" и занимался "тестированием на продакшне". А когда поднялся медиашум - сдал назад и сделал вид, что он тут ни при чём.

Есть и другие гипотезы, но их озвучивать было бы непрофессионально, так что я воздержусь.

В общем, к текущему моменту всё, вроде бы, устаканилось, но мы продолжаем наблюдение и в случае чего - будем держать вас в курсе.