Если коротко:
Недостаточная изоляция процессов в популярных клиентах позволяет вредоносному ПО или сторонним приложениям обходить настройки раздельного туннелирования и определять реальный IP-адрес пользователя и конечный адрес VPN сервера. Как раз этим IT-компаниям и порекомендовало заниматься Минцифры в своей методичке.
Разработчики многих популярных клиентов уже уведомлены об этом, но, по словам автора статьи, далеко не все пообещали закрыть эту уязвимость. А создатели Happ, чье приложение оказалось наиболее уязвимым, уже уведомили юзеров о работе в этом направлении.
Please open Telegram to view this post
VIEW IN TELEGRAM
2🫡87😭34❤22🗿11😁7🔥4
Крупнейшие отечественные маркетплейсы начали ограничивать доступ к своим приложениям при включенном VPN.
Зайти в них можно, но вот карточки товаров, изображения и их описания у вас не загрузятся. Аналитики предполагают, что это целенаправленная фильтрация трафика.
Самое печальное, что бизнес из-за такой политики неминуемо столкнется с дополнительными издержками, но «суверенный интернет», видимо, важнее.
Зайти в них можно, но вот карточки товаров, изображения и их описания у вас не загрузятся. Аналитики предполагают, что это целенаправленная фильтрация трафика.
Самое печальное, что бизнес из-за такой политики неминуемо столкнется с дополнительными издержками, но «суверенный интернет», видимо, важнее.
1🤬130👎27❤6👍6😁2🫡2🌚1
Telegram начал быстро разряжать батарею.
Пользователи мессенджера после всех замедлений стали все чаще жаловаться на то, что телефон при использовании Telegram разряжается слишком быстро.
Оно и понятно: из-за плохого сигнала и прокси/VPN поверх этого устройства активно работают даже в фоновом режиме и быстро перегреваются.
Пользователи мессенджера после всех замедлений стали все чаще жаловаться на то, что телефон при использовании Telegram разряжается слишком быстро.
Оно и понятно: из-за плохого сигнала и прокси/VPN поверх этого устройства активно работают даже в фоновом режиме и быстро перегреваются.
1🤬57❤23😭22👍4🗿2👎1
Новая модель от Anthropic разработала сложную многоэтапную уязвимость, чтобы сбежать за пределы изолированной среды тестирования.
Claude Mythos Preview, которую развернули в песочнице, смогла получить доступ в интернет и затем уведомила исследователя об успехе письмом и выложила детали уязвимости на веб-сайты. Только вот её об этом никто не просил.
А еще интересно, что модель пыталась скрыть от исследователя факт осознанного нарушения некоторых правил — она пыталась повысить свои права, получала доступ к закрытым для нее данным и даже публиковала внутренние материалы и фрагменты кода на GitHub, несмотря на запреты.
Claude Mythos Preview, которую развернули в песочнице, смогла получить доступ в интернет и затем уведомила исследователя об успехе письмом и выложила детали уязвимости на веб-сайты. Только вот её об этом никто не просил.
А еще интересно, что модель пыталась скрыть от исследователя факт осознанного нарушения некоторых правил — она пыталась повысить свои права, получала доступ к закрытым для нее данным и даже публиковала внутренние материалы и фрагменты кода на GitHub, несмотря на запреты.
4😁51🌚18❤9🗿3
Клиент Telega был удален из App Store и теперь из магазина приложений его не скачать.
Вероятнее всего, это связано с тем, что разработчики Telega имеют доступ к перепискам пользователей и могут сливать все необходимые данные силовым структурам.
В очередной раз напоминаем, что пользоваться сторонними клиентами мессенджера небезопасно — официальное приложение Telegram в этом плане самое надежное.
Вероятнее всего, это связано с тем, что разработчики Telega имеют доступ к перепискам пользователей и могут сливать все необходимые данные силовым структурам.
В очередной раз напоминаем, что пользоваться сторонними клиентами мессенджера небезопасно — официальное приложение Telegram в этом плане самое надежное.
3👍120❤23🔥11😁1
IT и безопасность
Клиент Telega был удален из App Store и теперь из магазина приложений его не скачать. Вероятнее всего, это связано с тем, что разработчики Telega имеют доступ к перепискам пользователей и могут сливать все необходимые данные силовым структурам. В очередной…
Telega признана шпионским ПО — Cloudflare пометил домены как опасные.
После этого у стороннего клиента Telegram был отозван TLS-сертификат, необходимый для защищённого подключения по HTTPS. По мнению экспертов, именно это и стало причиной удаления Telega из магазина приложений App Store.
После этого у стороннего клиента Telegram был отозван TLS-сертификат, необходимый для защищённого подключения по HTTPS. По мнению экспертов, именно это и стало причиной удаления Telega из магазина приложений App Store.
3👍108😁29🔥11❤4🌚4🗿2
На GitHub появилось приложение для устройств Android, определяющее использование VPN-сервисов.
Разработчик под ником xtclovver выпустил его в своответствии с рекомендациями Минцифры по выявлению средств обхода блокировок.
Программа написана на Kotlin и её функционал сводится к анализу трафика и сверке IP с базами данных. После этого выносится вердикт: насколько «проблемен» используемый сервис.
Изучить репозиторий можно тут.
Разработчик под ником xtclovver выпустил его в своответствии с рекомендациями Минцифры по выявлению средств обхода блокировок.
Программа написана на Kotlin и её функционал сводится к анализу трафика и сверке IP с базами данных. После этого выносится вердикт: насколько «проблемен» используемый сервис.
Изучить репозиторий можно тут.
2👎76👍20🤬19🗿8❤4😁3🫡3🔥2
22 из 30 популярных российских приложений уже отслеживают, включен ли VPN на устройстве пользователя. Пока речь идет лишь о приложениях для Android.
Обнаружением сервисов на 3 буквы занимаются банковские приложения, почти вся экосистема «Яндекса», VK, и даже приложения доставки, а вот «Госуслуги» VPN не детектируют.
Из интересного исследователям также удалось выяснить, что «Яндекс Браузер» также ищет на устройстве анонимный браузер Tor.
Обнаружением сервисов на 3 буквы занимаются банковские приложения, почти вся экосистема «Яндекса», VK, и даже приложения доставки, а вот «Госуслуги» VPN не детектируют.
Из интересного исследователям также удалось выяснить, что «Яндекс Браузер» также ищет на устройстве анонимный браузер Tor.
2🤬111🫡18🗿7🔥5❤4👍2🌚1
Южная Корея начнет раздавать бесплатный интернет всем желающим.
Власти уже согласовали идею с крупными операторами страны и вскоре после окончания лимита трафика людей будут автоматически переключать на «государственный безлимит».
Скорость, конечно, будет небольшая — всего 400 кбит/с, но зато это абсолютно бесплатно и для всех.
Власти уже согласовали идею с крупными операторами страны и вскоре после окончания лимита трафика людей будут автоматически переключать на «государственный безлимит».
Скорость, конечно, будет небольшая — всего 400 кбит/с, но зато это абсолютно бесплатно и для всех.
2❤95🔥32👍25😁14
Больше 210 уязвимостей было найдено в национальном мессенджере в рамках программы Bug Bounty.
По словам ИБ-экспертов, удавалось найти и уязвимости по вектору IDOR (Insecure Direct Object Reference) — такие дыры в системе позволяют злоумышленнику получить доступ к чужим сообщениям, голосовым, видео, файлам и другому личному контенту, подменяя идентификатор объекта в запросе к серверу.
По словам ИБ-экспертов, удавалось найти и уязвимости по вектору IDOR (Insecure Direct Object Reference) — такие дыры в системе позволяют злоумышленнику получить доступ к чужим сообщениям, голосовым, видео, файлам и другому личному контенту, подменяя идентификатор объекта в запросе к серверу.
2😁57❤9🔥9👍5🤬3🗿1
Франция готова отказаться от использования Windows, так как опасается возможных ограничений со стороны США.
По данным местных СМИ, власти всерьез рассматривают переход на Linux в государственных учреждениях и дальнейший отказ от других технологий не из Евросоюза.
Похоже, в достижении цифрового суверенитета заинтересована не только Россия.
По данным местных СМИ, власти всерьез рассматривают переход на Linux в государственных учреждениях и дальнейший отказ от других технологий не из Евросоюза.
Похоже, в достижении цифрового суверенитета заинтересована не только Россия.
2😁88❤11👍10🫡7
В последней версии Telegram был усовершенствован протокол для обхода цензуры.
Павел Дуров в своем канале порекомендовал поскорее установить обновление, а также запастись сервисами на 3 буквы и прокси.
Павел Дуров в своем канале порекомендовал поскорее установить обновление, а также запастись сервисами на 3 буквы и прокси.
53❤73🔥25😁12👍3🗿3
Пользователям MacOS посвящается: появился стиллер, который злоумышленники маскируют под капчу от CloudFlare.
Звучит устрашающе, но на деле эта «проверка подлинности» предлагает юзерам открыть терминал и вставить туда bash-скрипт. После декодирования строка преобразуется в URL-адрес, размещенный на том же домене, который возвращает скрипт-дроппер, запускающий дальнейшую цепочку действий.
Судя по всему, кто-то действительно ведется на такие уловки, поэтому мы просто не могли пройти мимо. Будьте бдительны и предупредите друзей и близких — капчи, которая просит выполнить какие-либо команды в терминале, не существует.
Звучит устрашающе, но на деле эта «проверка подлинности» предлагает юзерам открыть терминал и вставить туда bash-скрипт. После декодирования строка преобразуется в URL-адрес, размещенный на том же домене, который возвращает скрипт-дроппер, запускающий дальнейшую цепочку действий.
Судя по всему, кто-то действительно ведется на такие уловки, поэтому мы просто не могли пройти мимо. Будьте бдительны и предупредите друзей и близких — капчи, которая просит выполнить какие-либо команды в терминале, не существует.
2😁32❤12🔥9👍6
«Обзор от ИИ» в Google Chrome врет около миллиона раз в минуту.
Нейронка, чье саммари вы видите в самом верху выдачи, ошибается в каждом десятом запросе, а учитывая объем, который ей приходится обрабатывать (порядка 5 триллионов запросов в год) — получается, что она выдает ~57 млн неверных ответов в час.
Но учитывая, что за ИИ-поиск отвечает наиболее «оптимальная» для этой задачи модель Gemini (скорее всего Flash версия), такие результаты вполне ожидаемы.
Нейронка, чье саммари вы видите в самом верху выдачи, ошибается в каждом десятом запросе, а учитывая объем, который ей приходится обрабатывать (порядка 5 триллионов запросов в год) — получается, что она выдает ~57 млн неверных ответов в час.
Но учитывая, что за ИИ-поиск отвечает наиболее «оптимальная» для этой задачи модель Gemini (скорее всего Flash версия), такие результаты вполне ожидаемы.
1😁49❤6👍4🌚2
This media is not supported in your browser
VIEW IN TELEGRAM
Как сгенерировать уникальный датасет для обучения ИИ за копейки? Надеть камеры на головы заводчан в Индии.
Звучит абсурдно, но крупные компании так и делают — для них это ничего не стоит, зато в результате получаются данные, которых нет в открытом доступе и которые не выйдет синтезировать.
Получается, помогают создать замену самим себе.
Звучит абсурдно, но крупные компании так и делают — для них это ничего не стоит, зато в результате получаются данные, которых нет в открытом доступе и которые не выйдет синтезировать.
Получается, помогают создать замену самим себе.
2😭37❤7😁5🔥2
Национальный мессенджер слушает ваши звонки: кодер нашел внутри клиента встроенный KWS (Keyword Spotting).
Нейросеть анализирует аудио в реальном времени и фиксирует ключевые слова. По словам исследователя, на данный момент модель обучена определять только фразу «не слышу» и эта функция на сервере отключена.
Но проблема здесь куда глубже: фактически эта заготовка дает разработчикам возможность в любой момент заменить модель и список отслеживаемых слов даже без обновления приложения.
Нейросеть анализирует аудио в реальном времени и фиксирует ключевые слова. По словам исследователя, на данный момент модель обучена определять только фразу «не слышу» и эта функция на сервере отключена.
Но проблема здесь куда глубже: фактически эта заготовка дает разработчикам возможность в любой момент заменить модель и список отслеживаемых слов даже без обновления приложения.
1😁61🗿16👍13🫡9🤬7❤5🌚4😭4🔥2
Уже с 1 сентября этого года управлять доменами в зонах .ru, .рф и .su можно будет только после идентификации через «Госуслуги».
Требование закреплено федеральным законом и без идентификации не позволяет даже продлевать уже зарегистрированный домен. При этом самих регистраторов также обязали подключиться к госсистемам, чтобы они попали в специальный реестр.
Требование закреплено федеральным законом и без идентификации не позволяет даже продлевать уже зарегистрированный домен. При этом самих регистраторов также обязали подключиться к госсистемам, чтобы они попали в специальный реестр.
1🤬87😁19🌚7❤5🔥5👍1
Готовимся к подорожанию домашнего интернета: аналитики прогнозируют рост стоимости подобных услуг сразу на 30% в этом году.
Всему виной потенциальное ужесточение требований для интернет-провайдеров. Минцифры обсуждает возможность введения обязательных платных лицензий и подключения к СОРМ — эти меры убьют часть мелких провайдеров, а расходы тех, кто выжил, вырастут, и компенсировать эти расходы, конечно же, придется конечным потребителям.
Всему виной потенциальное ужесточение требований для интернет-провайдеров. Минцифры обсуждает возможность введения обязательных платных лицензий и подключения к СОРМ — эти меры убьют часть мелких провайдеров, а расходы тех, кто выжил, вырастут, и компенсировать эти расходы, конечно же, придется конечным потребителям.
3🤬73👎72😭7❤5😁3👍2🗿2🔥1