Дыра в безопасности iPhone, которую невозможно залатать

Китайские хакеры из команды Pangu нашли уязвимость, которая позволяет взломать iPhone и iPad. Она связана с чипом безопасности SEP. Уязвимость нельзя устранить так как ее корни лежат во вшитом ПО чипа.

Дело в том, что Apple использует особый чип SEP (Secure Enclave Processor) для существенной доли киберзащиты своих устройств. Шифрование и расшифровка ключей, а также безопасное хранение данных производятся с помощью именно этого чипа. Уязвимость SEP ставит под угрозу данные Apple pay, биометрию, личную информацию и пароли.

Суть в том, что чип по сути является вторичным процессором. Главное устройство и SEP изолированы друг от друга, но если использовать эксплоит Checkm8, появляется доступ к SEP. Checkm8 вскрывает Apple BootROM — первый код, который исполняется айфоном во время загрузки.

Самое главное — с этой уязвимостью у злоумышленника появляется бесконечное количество попыток ввести пароль.

Как мужик обманул Google Maps и заставил сервис видеть пробки там, где их не было

Художник Саймон Векерт катал по городу смартфоны в тележке. У каждого из 99 смартфонов имелась своя симка, и каждая из них использовала GoogleMaps для навигации. В результате Векерт создавал виртуальные пробки — в реальности их не было, но карты отображали страшнейшие транспортные заторы. Решение с тележкой пришло к нему после того, как он увидел, что если просто положить кучу смартфонов куда-то в ящике, на GoogleMaps не появляется пробка. То есть для хака ему потребовалось постоянно двигать тележку с 99 смартфонами.

Кроме того, если транспортное средство проезжало мимо художника с нормальной скоростью, сервис понимал, что все в порядке и пробки нет. Только когда куча смартфонов была в медленном движении, а сама улица была пуста, Google Maps видела там пробку.

Представлена криптография, которую не могут взломать квантовые компьютеры

В конце декабря 2019 года исследователи из Университета науки и технологий им. Короля Абдаллы (Саудовская Аравия) и Университета Сент-Эндрюса (Шотландия) представили новую невзламываемую систему безопасности. Они создали оптический микрочип, который позволяет пересылать информацию от пользователя к пользователю через единовременный канал связи. По словам создателей, такую криптографию неспособны взломать даже квантовые компьютеры.

Современные криптографические методы позволяют быстро обмениваться данными, но квантовые алгоритмы однажды позволят с легкостью их взломать. Создатели микрочипа утверждают, что их способ криптографии взломать невозможно, причем он занимает меньше места в сети, чем традиционные коммуникации. Предлагаемая система использует ключи, созданные оптическим чипом, которые не хранятся и не передаются вместе с сообщением. В результате их невозможно воссоздать или перехватить.

Русская хакерша случайно взломала кормушки для животных Furrytail Pet Smart Feeder по всему миру

По сообщению в телеграмм-канале айтишницы из России (koteeq на Хабре), она случайно смогла взломать все автоматические кормушки Xiaomi Furrytail Pet Smart Feeder. Вот, что писала хакерша: «Мда. Вот эти автоматические кормушки продаются по пять тысяч рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит».

Furrytail Pet Smart Feeder — это автоматическая кормушка для домашних кошек и собак. С помощью мобильного приложения в устройстве контролируется время подачи и количество еды в миске любимца. Внутри гаджета имеется специально закрываемый подающей системой контейнер на четыре литра, в котором помещается два килограмма сухого корма. Часть корма дозированно, время от времени, согласно расписанию или по управлению с приложения, высыпается в миску. Благодаря этому гаджету животные могут на несколько дней оставаться в пустой квартире. Также Furrytail выпускает аналогичные автоматические устройства для подачи животным питьевой воды.

Как сделать так, чтобы твоё лицо не распознали через камеры наблюдения?

Технологии распознавания лиц используются всё чаще. Скоро они научатся безошибочно определять, кто идёт по улице. Есть ли способы не светить лицом в угоду Большому Брату?

В Гонконге с начала июня проходят массовые протесты. На каждой акции, на которую выходят сотни тысяч гонконгцев, почти у каждого есть зонт. Зачем?

Создан ИИ, помогающий читать пользовательские соглашения. Зачем он нужен?

Новое исследование, опубликованное комитету по педагогике Великобритании, указывает, что больше половины детей старше 12 лет имело аккаунт в Инстаграме. Комиссия провела многочисленные интервью, и ни один из детей не понимал, что написано в пользовательском соглашении Инстаграма. И это неудивительно: соглашение содержит 5000 слов и требует высшее образование, чтобы полностью его понимать.

Но давайте будем честны: большинство из нас вообще не читает пользовательские соглашения: они длинные, унылые и вряд ли большая компания решилась бы выставлять неадекватные счета своим пользователям. Да и для большинства из нас, живущих на территории постсоветских стран. Между тем, все меньше и меньше приложений требуют с вас денег при установке. Задумайтесь над следующим: если оно не берет с вас денег и не показывает огромные количества рекламы, как оно окупается? Чаще всего эти приложения собирают вашу информацию, сортируют ее, а потом продают другим людям. Этими людьми может быть кто угодно, начиная с честных ученых, социологов и психологов, и заканчивая людьми, работающими в политике и рекламе.

Что делать?

Анализировать отношение компании к своему клиенту. Вот несколько инструментов, которые помогут:

https://tosdr.org — социальный проект, созданный веб-активистами. Содержит в себе укороченные версии Пользовательских Соглашений в трех-пяти предложениях. Классифицирует сервисы и компании по градации вида "A-B-C-D-E", где А — самый безопасный уровень, а E — самый небезопасный.

Guard — Как раз тот самый ИИ, который учится у людей читать Пользовательские Соглашения, анализировать их и выставлять им оценки. Также считает количество скандалов и потенциально опасных положений в Пользовательском Соглашении. Пока что не умеет составлять досье компании по запросу, потому что учится, но уже имеет составленные досье на все большие ресурсы. Нейросеть буквально разбирает Пользовательское Соглашение по кускам и работает в двух режимах:

В первом она вычленяет наиболее важные постановления, помечает их, чтобы вы могли прочитать их самостоятельно.

Во втором она самостоятельно оценивает насколько пользовательское соглашение дружелюбно к потребителям и выставляет свою оценку в процентах. Также она показывает наиболее опасные части такого соглашения, упаковывая их в две таблички:

Наибольшая опасность: "Мы также можем использовать различные технологии, чтобы определить ваше местоположение, включая сенсоры вашего прибора" /youtube.

Вычисляем местоположение с максимальной точностью.

Не знаю, бывали ли у вас такие ситуации, когда хочется узнать, где живёт кидок.

У меня для тебя на готове хороший софт, и нет, мы не будем узнавать геолокацию человека с помощью айпи.

Здесь не будет этой херни, тут все серьезно.

Хочу представить тебе воистину выносящий софт, а именно скрипт под названием Seeker. Погнали.

Хакер взломал приложения навигации и может останавливать машины реалтайм

«Я могу создать серьёзные проблемы с дорожным движением по всему миру», — сказал он.

Хакер взломал тысячи учётных записей, принадлежащих пользователям двух приложений для слежения по GPS, что дало ему возможность отслеживать местонахождение десятков тысяч машин и даже глушить моторы некоторых из них прямо на ходу.

Хакер по кличке L&M рассказал изданию Motherboard, что взломал более 7000 учётных записей iTrack и более 20 000 записей ProTrack – приложений, которые компании используют для отслеживания и управления парками автомобилей с помощью GPS. Хакер смог отслеживать автомобили в нескольких странах мира, включая Южную Африку, Марокко, Индию и Филиппины. У некоторых автомобилей ПО позволяет удалённо глушить моторы, при этом машина должна стоять или двигаться не быстрее 20 км/ч, в зависимости от производителя определённых GPS-устройств для отслеживания.

Как безопасно перевозить детей в автомобиле

Ежедневно сотни родителей сажают своих детей в машины, чтобы отвезти в поликлинику, к бабушке, на дачу. Но многие из них даже не подозревают, какой опасности они подвергают своих малышей:



В рубрике«Лайфхак от депутата» координатор партпроекта «Безопасные дороги» Сергей Бидонько рассказывает, как безопасно перевозить детей в автомобиле.
  • 1
  • 0
  • 575

Устанавливаем Linux и становимся на 90% анонимнее


Как можно обезопасить себя от слива личной информации? Установив Linux, он в отличии от Винды не шлет на сервера каждые 15 секнуд скриншоты вашего рабочего стола и не ведет записей для «маркетинга». Если среди вас есть те кому не безразлична тема анонимности в интернете, мы сделали для вас пост о том, как поставить эту операционку. 

Критическая уязвимость в процессорах Intel


Вкратце — все ваши данные могут оказаться у злоумышленников в пару кликов мышкой, либо обновляйтесь и теряйте до 30% мощности. Как вам ?

Как хакеры используют общение, чтобы взламывать людей

 

Любая социально-инженерная атака имеет следующую методологию:

1. Сбор информации - Конкурентная разведка (RECON/OSINT)

2. Фрейминг (Framing)

3. Использование предлогов (Pretexting)

4. Манипулирование

Сбор информации

Думаю здесь можно много не писать, ведь навыками конкурентной разведки должен обладать любой пентестер. Как можно проводить пентест, не имея никакой информации о цели?

Для себя я определил ряд навыков и утилит, которые позволять собрать максимально количество информации о цели. 

FAQ по мобильной безопасности

Картинки по запросу конфиденциальность     Вопрос: А правда ли что мобильник можно отследить?

Ответ: Да, это правда. Включенный мобильник может отследить оператор связи. Любой оператор, а не только тот, симка которого используется в данный момент. Можно отследить мобильник вообще без симки. И ровно с той-же точностью, что и мобильник с симкой.

Условия такие: телефон включен и находится в зоне сети оператора, который отслеживает.

Вопрос: А правда ли что мобильник можно дистанционно включить?

Ответ: Да, это правда. Оператор связи со своего оборудования способен включить мобильный телефон дистанционно. Для этого действия НЕ требуется никакой супер военно-секретной аппаратуры. Все действия выполняются на стандартном оборудовании ОпСоСа. Оператор может включить его как в активном, так и в пассивном режиме. В пассивном режиме телефон визуально никаких признаков того, что он включен подавать не будет. Для этого необходимо чтобы телефон был запитан, то есть в нем была батарея и она была заряжена и чтобы у телефона была такая возможность вообще. Не все стандарты сотовой связи и не все модели телефонов поддерживают функцию дистанционного включения. 

15 надежнейших тайников, которые каждый может сделать у себя дома

Наверное, каждый человек заводит в своём доме какие-то тайники, в которых хранятся его ценные вещи, важная информация или что-то, чего он не хотел бы показывать другим. Существует немало способов скрыть те или иные предметы от посторонних глаз, но не все они одинаково эффективны. Предлагаем вашему вниманию 15 идей для таких тайников, которые точно никогда не будут обнаружены посторонними.

 

  

Главные киберпреступники планеты: как спецслужбы США охотятся на хакеров

С начала 2010-х спецслужбы США арестовали в разных частях мира не менее десяти российских хакеров. Некоторые из них уже сидят в американских тюрьмах, другие дожидаются приговора; один из хакеров уже вышел на свободу и вернулся в Россию. МИД России такие аресты называет «похищения». Российских хакеров регулярно обвиняют в «самых масштабных взломах» в истории и ущербе на сотни миллионов долларов; при этом у большинства из них есть связи с российскими спецслужбами и властями. Специальный корреспондент «Медузы» Даниил Туровский рассказывает истории четырех хакеров, до которых добрались американские спецслужбы.