Дыра в безопасности iPhone, которую невозможно залатать

Китайские хакеры из команды Pangu нашли уязвимость, которая позволяет взломать iPhone и iPad. Она связана с чипом безопасности SEP. Уязвимость нельзя устранить так как ее корни лежат во вшитом ПО чипа.

Дело в том, что Apple использует особый чип SEP (Secure Enclave Processor) для существенной доли киберзащиты своих устройств. Шифрование и расшифровка ключей, а также безопасное хранение данных производятся с помощью именно этого чипа. Уязвимость SEP ставит под угрозу данные Apple pay, биометрию, личную информацию и пароли.

Суть в том, что чип по сути является вторичным процессором. Главное устройство и SEP изолированы друг от друга, но если использовать эксплоит Checkm8, появляется доступ к SEP. Checkm8 вскрывает Apple BootROM — первый код, который исполняется айфоном во время загрузки.

Самое главное — с этой уязвимостью у злоумышленника появляется бесконечное количество попыток ввести пароль.

Как определить местоположение человека по фотографии

Добрый вечер, друзья. Как известно, в метаданных хранится много интересных вещей: тип камеры, модель телефона, имя, изменения фотографии, но самое интересное — это место съемки. Сейчас я покажу вам еще один интересный способ пробива человека по фото. Нам понадобится Termux.

1. Скачиваем нужные пакеты

$ apt update && apt upgrade -y && pkg install exiftool -y

2. Даем Termux разрешение на просмотр памяти устройства

$ termux-setup-storage

3. Смотрим метаданные фотографии, с которой находимся в одной директории

$ exiftool filename.jpg

Далее, ищем пункт GPS Position, где меняем "deg" на "°". Далее заходим в Google Maps и вставляем в поиск полученные координаты. В качестве результата вы получите точную локацию, где была сделана фотография.

Если таких координат нет, то значит устройство не записывает геолокацию в метаданные или она была удалена.

Как мужик обманул Google Maps и заставил сервис видеть пробки там, где их не было

Художник Саймон Векерт катал по городу смартфоны в тележке. У каждого из 99 смартфонов имелась своя симка, и каждая из них использовала GoogleMaps для навигации. В результате Векерт создавал виртуальные пробки — в реальности их не было, но карты отображали страшнейшие транспортные заторы. Решение с тележкой пришло к нему после того, как он увидел, что если просто положить кучу смартфонов куда-то в ящике, на GoogleMaps не появляется пробка. То есть для хака ему потребовалось постоянно двигать тележку с 99 смартфонами.

Кроме того, если транспортное средство проезжало мимо художника с нормальной скоростью, сервис понимал, что все в порядке и пробки нет. Только когда куча смартфонов была в медленном движении, а сама улица была пуста, Google Maps видела там пробку.

Представлена криптография, которую не могут взломать квантовые компьютеры

В конце декабря 2019 года исследователи из Университета науки и технологий им. Короля Абдаллы (Саудовская Аравия) и Университета Сент-Эндрюса (Шотландия) представили новую невзламываемую систему безопасности. Они создали оптический микрочип, который позволяет пересылать информацию от пользователя к пользователю через единовременный канал связи. По словам создателей, такую криптографию неспособны взломать даже квантовые компьютеры.

Современные криптографические методы позволяют быстро обмениваться данными, но квантовые алгоритмы однажды позволят с легкостью их взломать. Создатели микрочипа утверждают, что их способ криптографии взломать невозможно, причем он занимает меньше места в сети, чем традиционные коммуникации. Предлагаемая система использует ключи, созданные оптическим чипом, которые не хранятся и не передаются вместе с сообщением. В результате их невозможно воссоздать или перехватить.

Русская хакерша случайно взломала кормушки для животных Furrytail Pet Smart Feeder по всему миру

По сообщению в телеграмм-канале айтишницы из России (koteeq на Хабре), она случайно смогла взломать все автоматические кормушки Xiaomi Furrytail Pet Smart Feeder. Вот, что писала хакерша: «Мда. Вот эти автоматические кормушки продаются по пять тысяч рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит».

Furrytail Pet Smart Feeder — это автоматическая кормушка для домашних кошек и собак. С помощью мобильного приложения в устройстве контролируется время подачи и количество еды в миске любимца. Внутри гаджета имеется специально закрываемый подающей системой контейнер на четыре литра, в котором помещается два килограмма сухого корма. Часть корма дозированно, время от времени, согласно расписанию или по управлению с приложения, высыпается в миску. Благодаря этому гаджету животные могут на несколько дней оставаться в пустой квартире. Также Furrytail выпускает аналогичные автоматические устройства для подачи животным питьевой воды.

DeepFake-туториал: шаг за шагом учимся менять лица в видеороликах с помощью DeepFaceLab

Рассказываем о технологии DeepFake и шаг за шагом учимся делать дипфейки в DeepFaceLab – нейросетевой программе, меняющей лица в видеороликах.

DeepFake – технология синтеза изображения, основанная на искусственном интеллекте и используемая для замены элементов изображения на желаемые образы. Если вы не слышали о дипфейках, посмотрите нижеприведенный видеоролик, в котором актер Джим Мескимен читает стихотворение «Пожалейте бедного пародиста» в двадцати лицах знаменитостей

Как сделать так, чтобы твоё лицо не распознали через камеры наблюдения?

Технологии распознавания лиц используются всё чаще. Скоро они научатся безошибочно определять, кто идёт по улице. Есть ли способы не светить лицом в угоду Большому Брату?

В Гонконге с начала июня проходят массовые протесты. На каждой акции, на которую выходят сотни тысяч гонконгцев, почти у каждого есть зонт. Зачем?

IT-компании не прослушивают наши смартфоны. Всё гораздо хуже

Порой IT-компании поражают удивительно точной рекламой. Из-за этого в интернете появилось множество теорий о прослушке смартфонов. Хорошая новость состоит в том, что ни одно исследование эти мифы не подтвердило. Плохая: разработчики знают о нас абсолютно всё.
Кажется, смартфон подслушивает мои разговоры. Это правда?
Такие слухи ходят давно, и чаще всего их подпитывают сами пользователи, столкнувшиеся с чередой странных совпадений. Многие люди замечают, что после устного обсуждения какой-либо темы или товара крупные площадки начинают показывать соответствующую рекламу. И выглядит это, мягко говоря, подозрительно.
Так, в 2016 году корреспондент Би-би-си Зоуи Клайнман узнала от матери о смерти близкого друга в Таиланде. Причём во время разговора её смартфон даже не был включён — он лежал рядом с женщиной, на столе. На следующий день, когда Клайнман зашла в браузер, поисковая система выдала в предлагаемых вариантах имя её друга, год и ключевики: «авария мотоцикла, Таиланд». В итоге корреспондент обратилась к экспертам по кибербезопасности из компании Pen Test Partners. Они создали прототип Android-приложения, передающего записи с микрофона на сервер, провели эксперименты и подтвердили, что смартфоны могут прослушивать владельца без его ведома.

БЕЗОПАСНОСТЬ. ?

Переустанови систему. Выдели системе отдельный логический диск, который не будет захламляться.

Создай пользователя с ограниченными правами (если лень, ставь права гостя). Есть куча херни, прекрасно работающей с ограниченными правами, поэтому.

Пользуйся браузером, который можно хорошо настроить, запущенным из-под пользователя с ограниченными правами: здесь написано, как Фаерфокс настроить — https://privacytools.ru/ + ставь PrivacyBadger, uBlock Origin, HTTPS Everywhere, Cookie AutoDelete, Decentraleyes. Анально отгородиться от жабыскрипов — NoScript.

Минус — с отключённым яваскриптом сайты ломаются. Поэтому можешь отключать его на тех сайтах, которым доверяешь.

Можно также политикой запретить исполняемые файлы .exe

Фаервол.

Запускай неподписанные программы внутри виртуалки (VirtualBox, VMWare, Virtual Dedicated Server etc.).

by Михаил Фоменков

VPN на VPN

Есть ещё программы, которые на автомате блочат любые порты и соединения: https://alternativeto.net/software/little-snitch/

https://www.wired.com/story/privacy-browsers-duckduckgo-ghostery-brave/

Malwarebytes

  • -1
  • 0
  • 221

При въезде в Китай на смартфоны туристов устанавливают следящее приложение

По сообщениям сетевых источников, китайские пограничники устанавливают следящее приложение на смартфоны некоторых людей, пересекающих границу государства. С таким заявлением выступили журналисты западных изданий Guardian, The New York Times и Süddeutsche Zeitung, которые провели собственное расследование.

В сообщении говорится о том, что в гаджеты внедряется программа, извлекающая электронные письма, текстовые сообщения, контакты, а также информацию об устройстве. Пограничники устанавливают следящее ПО, не уведомляя об этом владельцев устройств. По мнению журналистов упомянутых изданий, такая деятельность ведётся на границе с Кыргызстаном в районе Синьцзян (Xinjiang), где, как сообщается, правительство Китая ограничивает права мусульманского населения.

Путешественникам, которые пересекают границу в указанном месте, предлагается сдать свои смартфоны должностным лицам. Некоторые смартфоны, работающие под управлением Android, были возвращены владельцам с приложением под названием Fēng cǎi.

Специалисты по кибербезопасности считают, что данное ПО может использоваться для поиска в смартфоне контента, который, по мнению властей, является проблематичным. Речь идёт о текстах и сообщениях, связанных с исламским экстремизмом и др. Отмечается, что приложение не было замечено ни на одном iPhone, но продукция Apple также изымается и проходит отдельную проверку, а, возможно, и сканирование. Ещё в сообщении упоминалось о том, что в районе Синьцзян компания, занимающаяся разработкой технологий распознавания лиц, ведёт слежку за более чем 2,5 млн человек.

Пропаганда мужики?

  • -1
  • 0
  • 217

Инженер Amazon разработал искусственный интеллект, который не пускает в дом кота с добычей

Инженер Amazon Бен Хэмм разработал программу, которая не даёт коту по кличке Метрик принести в дом мёртвых птиц и крыс. О новом алгоритме искусственного интеллекта сообщило издание The Verge.
В своём выступлении на мероприятии Ignite Seattle инженер рассказалисторию о том, что его кот часто приносил мёртвых животных. Дошло до того, что однажды Метрик принёс добычу, когда Хэмм занимался сексом.
Владелец хищника подчеркнул, что не хотел оставлять своего любимца на улице на всю ночь. Запирать дома тоже не вариант, так как Метрику надо ходить в туалет.
Чтобы избавиться от мёртвых мелких животных дома, инженер создал алгоритм, который запирает кошачью дверцу, если питомец идёт домой с добычей. Хэмм купил камеру с технологией глубокого обучения Amazon DeepLens и поставил её над входом. Он сделал 23 000 фотографий и разделил их на четыре группы для обучения искусственного интеллекта. На это у Хэмма ушло несколько месяцев.

В телеграме MailSearchBot присылает пароли от почтового ящика

Посылаете в чат с ботом емейл — он вам присылает пароли от него.

Создателем является казахстанский спец по кибербезопасности Батыржан Тютеев.

Он утверждает, что в базе бота имеется больше 9 миллиардов аккаунтов.

По задумке самого Батыржана, бот должен помочь людям искать бреши в безопасности.

Сейчас прикрываются последние два символа паролей астерисками, но ранее он выдавал полные пароли.

По некоторым запросам выходит до сорока паролей, а по некоторым запросам — ни одного. Некоторые пароли уже давно изменены.

Их собрали с найденных взломанных баз. Я проверял и многих емейлов из взломанных баз у бота нету. Но они есть в других местах.

Один из таких сайтов haveibeenpwned, где после ввода емейла можно посмотреть, в каком из сливов учавствовал ваш почтовый ящик.

Фаерфоксовский монитор показывает, например, целую 1 утечку:

(Обращаю ваше внимание, для другого моего емейла бот не выявил утечек, а FIREFOX ПОКАЗЫВАЕТ, ЧТО СЛИВ БЫЛ В МАРТЕ 2019)

Можете проверить сами или просто смените везде пароли. (даже если параллельно собирают емейлы — уже всё давно собрано)

P.S. Есть сейчас также популярный развод, на русскую версию ещё не переведён. Но думаю после этого их появится много.

Присылают письмо, где пишут твой пароль из базы и говорится, что известны все данные о тебе, все твои шалости например. Якобы, если не заплатишь биткоинов — то..

Вычисляем местоположение с максимальной точностью.

Не знаю, бывали ли у вас такие ситуации, когда хочется узнать, где живёт кидок.

У меня для тебя на готове хороший софт, и нет, мы не будем узнавать геолокацию человека с помощью айпи.

Здесь не будет этой херни, тут все серьезно.

Хочу представить тебе воистину выносящий софт, а именно скрипт под названием Seeker. Погнали.