Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс?
Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?
Если вы с нами, отметьтесь здесь: https://www.change.org/p/государственная-дума-рф-против-принятия-закона-об-изоляции-российского-интернета
Конечно, петиция не повлияет на ситуацию, но это способ оценить количество сторонников свободы и собрать всех воедино для дальнейших коммуникаций.
P.S. Это не моя петиция
Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?
Если вы с нами, отметьтесь здесь: https://www.change.org/p/государственная-дума-рф-против-принятия-закона-об-изоляции-российского-интернета
Конечно, петиция не повлияет на ситуацию, но это способ оценить количество сторонников свободы и собрать всех воедино для дальнейших коммуникаций.
P.S. Это не моя петиция
Меня заставили создать канал
Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс? Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?…
Если вы и активность какую-то проявить надумаете, можете ещё сходить вот таким путём: https://www.facebook.com/Ekaterina.Schulmann/posts/10218645349515874
Facebook
Екатерина Шульман
По следам наших выступлений: теперь у нас каждый выпуск сопровождается практическим заданием и домашней работой. Вот законопроект "воображаемый интернет сенатора Клишаса":...
Меня заставили создать канал
Вам нравится Telegram? Ну или любой другой зарубежный интернет-ресурс? Тогда нам нужно предотвратить наступление Чебурнета и отвоевать своё право на доступ к всемирной паутине. Вы ещё не привыкли, что даже самые базовые права в России приходится отвоёвывать?…
Пожалуйста, перед тем как писать в ЛС по поводу этого поста, прочитайте выделенную жирным шрифтом часть.
Про взломанные электросамокаты
Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365.
Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется углублённо. Например, нашим соотечественникам, которые делали кастомные прошивки для обоих самокатов, Xiaomi M365 и Ninebot ES1/2/4.
Я не вчитывалась, что там пишут, но имейте в виду, если Xiaomi отыгрывают удивление и обещают всё исправить — это чушь. Эти уязвимости — особенности протокола, в котором изначально не заложена хотя бы какая-то авторизация.
Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлёт запрос самокату "эй, вот этот пароль правильный?" и получает ответ "да, всё ок" или "нет, он неправильный". Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка на фронтенде. Вы можете вырезать её из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.
Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол. Подобная ситуация была, когда я реверсила протокол чайника Xiaomi. Я не помню, писала ли об этом публично, поэтому на всякий случай повторюсь. Процедура привязки, которую вы видите в приложении Mi Home, где нужно нажать кнопку на чайнике для завершения регистрации — такая же фикция, как и пароль на самокате. На самом деле приложение завершает регистрацию ещё до того, как просит вас нажать кнопку. А если вы её не нажмёте, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймёте, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру.
Чего уж говорить про весы Xiaomi Mi Smart Scale, про датчики для цветов Mi Flora и многие другие "лайтовые" устройства. Там и вовсе никакой обфускации нет, ничего реверсить не нужно. Подключаетесь и читаете последний измеренный вес своей подружки.
Пожалуйста, не надо ждать от дешёвых китайцев прорывных технологий вроде проверки сессии, чтобы потом не было неприятных удивлений. Боитесь за воду в чайнике, приватность своих килограммов, сохранность ваших косточек при поездках на самокате? Не используйте Bluetooth устройства от Xiaomi. Единственное из подопытных устройств, запросившее реальное подтверждение при регистрации — Mi Band.
Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365.
Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется углублённо. Например, нашим соотечественникам, которые делали кастомные прошивки для обоих самокатов, Xiaomi M365 и Ninebot ES1/2/4.
Я не вчитывалась, что там пишут, но имейте в виду, если Xiaomi отыгрывают удивление и обещают всё исправить — это чушь. Эти уязвимости — особенности протокола, в котором изначально не заложена хотя бы какая-то авторизация.
Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлёт запрос самокату "эй, вот этот пароль правильный?" и получает ответ "да, всё ок" или "нет, он неправильный". Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка на фронтенде. Вы можете вырезать её из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.
Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол. Подобная ситуация была, когда я реверсила протокол чайника Xiaomi. Я не помню, писала ли об этом публично, поэтому на всякий случай повторюсь. Процедура привязки, которую вы видите в приложении Mi Home, где нужно нажать кнопку на чайнике для завершения регистрации — такая же фикция, как и пароль на самокате. На самом деле приложение завершает регистрацию ещё до того, как просит вас нажать кнопку. А если вы её не нажмёте, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймёте, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру.
Чего уж говорить про весы Xiaomi Mi Smart Scale, про датчики для цветов Mi Flora и многие другие "лайтовые" устройства. Там и вовсе никакой обфускации нет, ничего реверсить не нужно. Подключаетесь и читаете последний измеренный вес своей подружки.
Пожалуйста, не надо ждать от дешёвых китайцев прорывных технологий вроде проверки сессии, чтобы потом не было неприятных удивлений. Боитесь за воду в чайнике, приватность своих килограммов, сохранность ваших косточек при поездках на самокате? Не используйте Bluetooth устройства от Xiaomi. Единственное из подопытных устройств, запросившее реальное подтверждение при регистрации — Mi Band.
🔥4
Меня заставили создать канал
Про взломанные электросамокаты Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365. Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется…
Ах да, про чайник. Мало того, что там никакое подтверждение на самом деле не нужно, вы можете управлять соседским чайником из подъезда без его разрешения, так ещё и предыдущая регистрация сбросится. У соседа чайник пропадёт из приложения Mi Home. Если будете сидеть в подъезде и регистрироваться раз в 5 секунд в цикле, сосед даже не сможет вернуть контроль над устройством.
Меня заставили создать канал
Про взломанные электросамокаты Ребятушки, не первый и не второй раз мне присылают шокирующую новость про удалённое управление самокатами Xiaomi M365. Шокирующая она только для широкой публики, однако эта информация была давно известна тем, кто интересуется…
По поводу остальных умных устройств от Xiaomi. Устройства с Wi-Fi можете вполне спокойно использовать, если проследуете рекомендациям:
1) Не привязывать устройство в китайское облако, а использовать только локально. С помощью систем Home Assistant/Homebridge/Athom Homey или аналогичных.
2) Самим устройствам запретить выход в интернет с помощью файрволла роутера.
1) Не привязывать устройство в китайское облако, а использовать только локально. С помощью систем Home Assistant/Homebridge/Athom Homey или аналогичных.
2) Самим устройствам запретить выход в интернет с помощью файрволла роутера.
👍1
О, товарищ поделился своей историей и напомнил мне об одной забавной. Когда я ещё жила в Москве, я активно использовала саундбар от Samsung, это такая длинная палка-колонка с объёмным звуком и отдельным сабвуфером.
У саундбара этого есть множество способов подключить источник звука, как проводные, так и беспроводные. Среди беспроводных есть так называемый "TV", предназначенный для использования с телевизорами Samsung.
Я не знаю, работает ли это поверх Bluetooth или это просто какой-то радиоканал, но когда я случайно включала этот способ, саундбар автоматически подключался к какому-то соседскому телевизору и начинал орать с него музыку/кино. Думаю, у соседа на телевизоре при этом звук пропадал, поэтому плохо было всем сразу.
А зачем вообще какие-то подтверждения и запросы? Пфф.
У саундбара этого есть множество способов подключить источник звука, как проводные, так и беспроводные. Среди беспроводных есть так называемый "TV", предназначенный для использования с телевизорами Samsung.
Я не знаю, работает ли это поверх Bluetooth или это просто какой-то радиоканал, но когда я случайно включала этот способ, саундбар автоматически подключался к какому-то соседскому телевизору и начинал орать с него музыку/кино. Думаю, у соседа на телевизоре при этом звук пропадал, поэтому плохо было всем сразу.
А зачем вообще какие-то подтверждения и запросы? Пфф.
👍2
Меня заставили создать канал
О, товарищ поделился своей историей и напомнил мне об одной забавной. Когда я ещё жила в Москве, я активно использовала саундбар от Samsung, это такая длинная палка-колонка с объёмным звуком и отдельным сабвуфером. У саундбара этого есть множество способов…
Знаете, я вот не уверена... Вполне возможно, у соседа на телевизоре вылезал какой-нибудь запрос и он его по глупости подтверждал. В таком случае просто забавная история, не уязвимость. Я ведь даже не знаю, кто это и из какой квартиры. Но очень сомневаюсь, звук начинал идти сразу после выбора TV в качестве input.
Как мило! У подруги украли телефон, а через несколько дней приходят такие сообщения. Конечно, никакая это не поддержка Apple, а по ссылке расположена фишинговая форма, с помощью которой скупщики хотели выудить данные iCloud, чтобы разблокировать телефон и иметь возможность продать его за 45 тысяч, а не вычленять дисплей и отдавать за 5-10. Да, именно скупщики. Сам вор, конечно, не так умён, телефон давно продал за копейки этим самым мошенникам и спокойно спит.
Одна из самых красивых атак, о которых я когда-либо слышала. DNS rebinding. До сегодняшнего дня и не догадывалась даже, хотя практикуется она уже много лет.
Почитайте: https://habr.com/ru/company/fbk_cs/blog/439522/
Почитайте: https://habr.com/ru/company/fbk_cs/blog/439522/
Хабр
DNS rebinding в 2k19, или как по-настоящему вспотеть, посетив порносайт
Всем привет! Сегодня мы бы хотели рассказать об одной старой и почти всеми забытой атаке под названием DNS rebinding. Первые разговоры о ней начались еще в 2007 году, однако тогда эксперты из...
This media is not supported in your browser
VIEW IN TELEGRAM
Счастье детства в Петербурге.
This media is not supported in your browser
VIEW IN TELEGRAM
Терпеть не могу все эти посуточные квартиры. Микроволновка тупо не греет. Роутер расположен В ПОДЪЕЗДЕ, поэтому «есть интернет» на практике оказывается скоростью 0.2 Mb/s с пингом 900 ms. Перепутаны обозначения горячей и холодной воды на кранах, а сама вода похожа на мочу. Ну и подарки от прошлых жильцов владельцы убирать не спешат. Почему только у меня дома всегда уютно и хорошо?
Вот так думаешь, что теперь-то всё точно хорошо и все проблемы решены, что можно засыпать, наконец, спокойно, как вдруг опять всё разваливается.
И после того как этот цикл повторяется десяток раз, вообще перестаёшь верить, что бывает это «спокойно».
Тогда уже начинается паранойя, вечная тревожность. Когда всё объективно супер, но ком в горле почему-то никуда не девается, слёзы подступают на ровном месте целыми днями, ещё и окружающие от этого страдают. И никак себя не убедить, что всё правда хорошо. Возможно, путём огромных стараний получится сдвинуться с места на чуточку, но стоит произойти хоть одной неприятной мелочи, как все старания отправляются в помойку, ведь эта мелочь только убеждает параноидальный разум: всё плохо!
И после того как этот цикл повторяется десяток раз, вообще перестаёшь верить, что бывает это «спокойно».
Тогда уже начинается паранойя, вечная тревожность. Когда всё объективно супер, но ком в горле почему-то никуда не девается, слёзы подступают на ровном месте целыми днями, ещё и окружающие от этого страдают. И никак себя не убедить, что всё правда хорошо. Возможно, путём огромных стараний получится сдвинуться с места на чуточку, но стоит произойти хоть одной неприятной мелочи, как все старания отправляются в помойку, ведь эта мелочь только убеждает параноидальный разум: всё плохо!
This media is not supported in your browser
VIEW IN TELEGRAM
Удалила кучку постов, которую писала сюда ночью. Не стыдно, ничего не скрываю, не считаю, что сказала что-то лишнее. Просто мозолило глаза и могло бы всё испортить в моменты просветления и успехов в борьбе с печалями. А вас люблю.
Stay tuned.
Stay tuned.
This media is not supported in your browser
VIEW IN TELEGRAM
У меня дома появился новый малыш-помощник. Осознание факта, что робот-пылесос — не бесполезная фигня, а эффективное средство для уборки, которое на 90% освобождает ваши нежные ручки от рутины — это важный и обязательный этап в жизни каждого человека в 21 веке.