Информационная безопасность *

На конференции DEF CON 2019 в Лас-Вегасе (штат Невада, США) эксперт по безопасности Мэтт Уикси рассказал о том, что значительная часть мобильных и носимых устройств плохо защищена от определенного способа взлома, который может превратить их в «звуковое оружие».

На конференции Black Hat 2019 в Лас-Вегасе (штат Невада, США) эксперты по безопасности продемонстрировали, как можно достаточно просто обойти систему разблокировки «по лицу» Face ID, применяющуюся в смартфонах Apple, используя своеобразную биометрическую «ахиллесову пяту».

Фреймворк Electron популярен среди разработчиков благодаря своим кроссплатформенным возможностям. Он основан на JavaScript и Node.js и используется для создания приложений для настольных ОС с помощью веб-технологий. Однако, как утверждает исследователь Павел Цакалидис, приложения, основанные на Electron, могут быть уязвимы.

На конференции BSides LV, прошедшей во вторник, Павел Цакалидис продемонстрировал созданный им инструмент BEEMKA. Инструмент позволяет распаковывать архивные файлы Electron ASAR и внедрять новый код в библиотеки Electron JavaScript и встроенные расширения браузера Chrome. Уязвимость кроется не в самих приложениях, а в базовой структуре Electron, и позволяет скрывать вредоносные действия в процессах, которые кажутся безопасными.

Apple приняла решение о расширении программы bug bounty. Сейчас специалисты будут получать вознаграждение не только за нахождение уязвимостей в iPhone, но и в Mac и MacBook, а также в Apple TV и Apple Watch. Максимальная сумма вознаграждения достигнет миллиона долларов. На сегодня это самая высокая цена за нахождение багов на рынке.

Идея программы проста: вы находите уязвимость, информируете о ней Apple, компания исправляет уязвимость, а вы взамен получаете денежную выплату. Эти программы чрезвычайно популярны в технической индустрии, так как помогают финансировать исследователей в области безопасности в обмен на выявление серьезных недостатков ПО, которые в противном случае могли бы использоваться злоумышленниками.

В среду на хакерской конференции в Лас-Вегасе Рубен Сантамарта, главный консультант по безопасности в компании IOActive, специализирующейся на компьютерной безопасности, сообщил присутствующим, что обнаружил дыры в программном обеспечении лайнеров Boeing. Он заявил, что с помощью этих уязвимостей можно угнать самолёт.

Как сообщает издание The Register, лайнер Boeing-787 оснащён тремя сетями. Первая используется для работы развлекательной системы во время полета. Вторая необходима для более важных приложений, необходимых экипажу и обслуживающему персоналу. Третья сеть жизненно важна для работы бортовых приборов, которые контролируют полет самолета.

Сантамарта считает, что можно использовать уязвимости в развлекательной системе в первой сети, чтобы получить доступ к соседней второй сети и затем проникнуть в третью сеть. Оказавшись там, можно подключиться к оборудованию авионики и в теории угнать Boeing-787.

Проект Pen Test Partners опубликовал результаты исследования одного из популярных дейтинг-приложений. Речь идёт о приложении по поиску партнёров для группового секса 3fun с базой в полтора миллиона пользователей. Исследование показало, что система безопасности приложения не выдерживает никакой критики.

«За последние годы мы встречали много слабых мест в безопасности приложений для знакомств. Нарушения обработки персональных данных, утечка информации о местоположении пользователей и многое другое. Но это приложение срывает куш: у него, вероятно, худшее обеспечение безопасности из всех приложений для знакомств, которые мы когда-либо видели», — пишут Pen Test Partners.

По информации исследователей, приложение показывает местоположение практически любого пользователя в режиме реального времени — на работе, дома, в дороге, где угодно. Оно показывает даты рождения пользователей, их сексуальные предпочтения и данные чата. Также с его помощью можно найти личные фото пользователей.

«Это крушение поезда конфиденциальности. Сколько отношений или карьер может рухнуть из-за раскрытия этих данных?» — отмечают в Pen Test Partners.

Издание «Медуза» опубликовало расследование, связанное с деанонимизацией пользователей соцсетей. Как пишет автор расследования, разработкой систем мониторинга и деанонимизации занимается Научно-исследовательский вычислительный центр при управлении делами президента России (ГлавНИВЦ). Разработки центр предлагает на продажу государству и частным лицам.

Как выяснила «Медуза», центр уже разработал несколько систем: «Медиамонитор», «ПСКОВ», «Шерлок» и «Посейдон». Они помогают страховым компаниям и службам безопасности проверять недобросовестных сотрудников и кандидатов на работу, а сотрудникам МВД — искать экстремистов в интернете. «Медиамонитор» позволяет отслеживать репосты новостей в соцсетях.

Подрядчики, работающие на Microsoft, возможно, могут прослушивать личные разговоры пользователей Skype. Об этом представители компании, название которой не раскрывается, рассказали изданию Motherboard.

В 2015 году Skype запустил услугу «Переводчик», которая переводит разговор прямо во время звонка. Инструмент даёт возможность пользователям Skype разговаривать или переписываться в чате на разных языках с людьми по всему миру. Для этого Skype использует искусственный интеллект, но, как и во многих других проектах с применением ИИ или машинного обучения, часть работы выполняется людьми для улучшения алгоритмов его функционирования.

При этом в FAQ для Skype Translator говорится: «Чтобы помочь технологии развиваться, мы проверяем автоматические переводы и отправляем исправления обратно в систему для создания более эффективных сервисов». Однако в этом разделе не сообщается, что аудио, захваченное с помощью функции «Переводчик», могут слушать живые люди.

Федеральная антимонопольная служба (ФАС) РФ возбудила дело против Apple Inc. по жалобе «Лаборатории Касперского» (разработчик антивирусных программ) в связи с действиями корпорации на рынке распространения приложений для iOS.

Об этом событии сообщается в публикации пресс-службы ведомства.

«Дело (дело о признаках нарушения ч. 1 ст. 10 Закона о защите конкуренции) возбуждено по заявлению «Лаборатории Касперского» о необоснованном отклонении версий программы рoдительского контроля Kaspersky Safe Kids (KSK) со стороны компании Apple, в результате чего oчередная версия KSK лишилась существенной части функциoнала.

Исследователи компании Bitdefender сообщили о новой аппаратной уязвимости, позволяющей обойти механизмы защиты от Spectre и Meltdown и получить доступ к данным в защищенной памяти ядра. Проблема затрагивает все ноутбуки, сервера и персональные компьютеры с Windows на процессорах от Intel (а возможно и AMD), выпущенных с 2012 года.

Руководство Twitter признало, что в компании могли использовать данные некоторых пользователей без их разрешения.

В последние две недели жители столицы Казахстана столкнулись с проблемами с доступом в Интернет. Чиновники объяснили происходящее тестированием новой системы, входящей в состав «Киберщита Казахстана», позволяющей повысить обороноспособность страны и противодействовать информационным войнам. По полученной нами ранее статистике, властям удалось реализовать инспектирование трети всего трафика столицы.

Частный банк «Открытие» разослал в СМИ сообщения с опровержением информации об утечке персональных данных клиентов Бинбанка, который в процессе санации был присоединен к банку «Открытие».

О том, что в сеть утекла база данных 70 тысяч клиентов, написал «Коммерсантъ» со ссылкой на DeviceLock — компанию, специализирующуюся на разработке продуктов для защиты данных. Издание также сообщало, что клиенты, чьи данные оказались под угрозой, ранее подавали заявку на получение кредитной карты «Эликсир».

В сеть попала база данных клиентов Бинбанка в количестве 70 тыс. строк стоимостью около 5 рублей за строку. Как сообщил основатель DeviceLock Ашот Оганесян «Коммерсанту», база «на днях была уже продана эксклюзивно в одни руки». Сейчас ее предлагают еще несколько продавцов данных, пишет издание.


_{Источник: ria.ru}

Facebook добавит упоминание своего бренда к названиям Instagram и WhatsApp, чтобы чётче заявить о своем владении сервисами. В названиях обоих продуктов появится подпись, что они «от Facebook». Изменения уже затронули Instagram в России.

Единая система сбора и обработки данных от бортовых компьютеров автомобилей может заработать в России в 2021 году, рассказал «Известиям» Евгений Белянко вице-президент по технологиям НП «ГЛОНАСС», федерального сетевого оператора в сфере навигационной деятельности).

Оператор будет продавать эту информацию коммерческим структурам для проведения таргетированных рекламных кампаний, рассчитанных на автовладельцев: «Любые данные от автомобиля можно будет получить только с согласия его владельца. При этом он вправе отказаться от передачи данных либо обменять их на выгодных для себя условиях на сервисы и скидки при оплате товаров и услуг», — подчёркивает выгоды автовдалельцев Евгений Белянко.

После многочисленных жалоб от своих потребителей, в Apple решили приостановить программу оценки качества голосового помощника Siri, предполагающую прослушку менее 1% обращений пользователей, сообщает агентство Bloomberg.

Центр цифровой экспертизы Роскачества выпустил рекомендации по «цифровой гигиене» для компьютеров с выходом в интернет. Таким устройствам эксперты настоятельно рекомендуют заклеивать камеру и микрофон, пишет РБК (рекомендации пока не опубликованы на официальном сайте Роскачества).

Эксперты советуют использовать кусок непрозрачного скотча или изоленты, как это делает Марк Цукерберг и другие опытные пользователи интернета.

Премьер-министр России Дмитрий Медведев подписал постановление, согласно которому российские авиакомпании в обязательном порядке должны использовать системы бронирования и продаж авиабилетов с размещенными на территории РФ серверами.

Перенос серверов с персональными данными потребует от владельцев международных систем бронирования дополнительных расходов на сотни миллионов долларов.

В случае отказа, авиакомпании и билетные агрегаторы не смогут с ними работать.

О смартфоне Purism Librem 5, который защищен от большинства методов взлома, говорят уже давно. В этом году его можно будет купить. Он работает на Linux OS, что дает владельцу достаточно надежную защиту. Кроме того, производители оснастили девайс тремя аппаратными кнопками, при помощи которых можно отключать многие функции устройства.

По словам разработчиков, этот смартфон исключает возможность установить за владельцем слежку. Правда, при условии, что тот примет определенные меры для этого. Операционная система мобильного устройства — доработанный Debian Linux с GNOME Shell. Последнюю также модифицировали в соответствии с нуждами мобильных пользователей.