Компания Facebook давно перестала ассоциироваться только с одноимённой социальной сетью. Сегодня всё большему числу пользователей, услышавшим название этого бренда, приходит на ум бесконтрольная слежка и слив данных. Однако это не просто домыслы, а вполне реальные факты, которые имели место в биографии Facebook, которую неоднократно уличали в порочащих образ добропорядочной компании связях. Но если претензиям Павла Дурова, учитывая его заинтересованность, можно не верить, пренебрегать мнением экспертов в области безопасности, призывающих осторожнее относиться к Facebook и всем её сервисам, явно не стоит.
Android-приложениям Facebook и Instagram, доступным для загрузки в Google Play, угрожает риск взлома из-за неисправленных критических уязвимостей, узнали эксперты компании Check Point. По их словам, разработчики корпорации Facebook, которой принадлежат обе социальных сети, не озаботились своевременным устранением брешей, тем самым подвергнув опасности миллионы пользователей по всему миру. Из-за этого прямо сейчас использование Facebook или Instagram не может считаться безопасным, а потому наилучшим решением возникшей проблемы станет временный отказ от этих приложений, по крайней мере на Android.
Уязвимости в Facebook и Instagram
По большому счёту в самом факте присутствия уязвимостей в программном коде приложений нет ничего выдающегося. Всё-таки каждый разработчик может допустить ошибку, из-за которой его детище может оказаться под угрозой. Однако основная претензия Check Point состоит в халатности разработчиков. Дело в том, что приложения Facebook и Instagram содержат как минимум три критических уязвимости, которые были обнаружены в 2014, 2015 и 2016 годах. Это значит, что у их создателей было достаточно времени, чтобы устранить все недоработки, однако они предпочли этого не делать.
Если вы не готовы даже временно отказаться от Facebook и Instagram, вам следует быть предельно осторожным. Дело в том, что одна из уязвимостей, которую обнаружили эксперты CheckPoint, предполагает, что злоумышленники будут отправлять своим жертвам заражённый файл в формате FLAC. Его загрузка, по сути, инфицирует устройство и позволяет хакерам выполнять произвольный код, получая доступ практически к любым данным, с которыми взаимодействует пользователь. Поэтому во избежание заражения, лучше не скачивать никаких файлов из Facebook или Instagram до момента исправления уязвимости.
Как обезопасить приложения для Android
На самом деле довольно странно, что Google не следит за тем, насколько исправно разработчики обновляют свои приложения. Ведь даже если они не встраивают в софт вредоносный код, а просто пренебрегают безопасностью пользователей, отказываясь своевременно устранять критические уязвимости, это не снимает с них ответственности. Другое дело, что разработчики очень часто пренебрегают обновлениями, а Google, как единственный властитель и вершитель судеб в Google Play, следовало бы заняться их проверкой, чтобы гарантировать своим пользователям безопасность.
Но это в теории. На практике, само собой, делать этого никто не будет. Ведь если Google до сих пор не справилась с троянскими приложениями, которые продолжают проникать в Google Play чуть ли не еженедельно, какой может быть разговор о том, чтобы проверять условно добросовестных разработчиков, чей софт не страдает от вредоносного кода, а значит, является в её представлении безопасным. Поэтому всё, что остаётся делать пользователям, — это самим заботиться о себе, тщательно проверяя то, что они скачивают, а затем следить новостями, чтобы иметь возможность своевременно выяснить, что установленный ими софт вдруг оказался опасным. Источник
Компания Positive Technologies обнародовала развёрнутый отчёт «Актуальные киберугрозы: III квартал 2019 года», в котором подробно рассматривается ситуация с безопасностью во Всемирной сети.
Эксперты фиксируют дальнейший рост числа целенаправленных атак (APT): теперь на них приходится две трети (65 %) от общего количества кибернападений. Для сравнения: во второй четверти текущего года данный показатель равнялся 59 %.
«Организации по всему миру находятся под угрозой сложных целенаправленных атак. Наибольший интерес для злоумышленников представляют государственные учреждения, промышленные компании, финансовый сектор и организации сферы науки и образования», — отмечается в отчёте.
Ещё одна тенденция минувшего квартала — рост количества кибератак, направленных на кражу информации. Их доля в сегменте юридических лиц в течение трёх месяцев поднялась с 58 % до 61 %. В сегменте частных пользователей рост оказался более существенным — с 55 % до 64 %.
Доля финансово мотивированных атак для юридических и частных лиц сравнялась и составила 31 %. Такие нападения в сегменте юридических лиц преимущественно связаны с заражениями троянами-шифровальщиками, требующими выкуп за восстановление зашифрованных данных. В атаках на частных лиц киберпреступники ищут финансовую выгоду, распространяя навязчивую рекламу и мобильные приложения, подписывающие на платные услуги.
В то же время специалисты Positive Technologies отметили снижение доли атак с применением майнеров криптовалюты — до 3 % в случае организаций и до 2 % в случае частных лиц.
Говорится также, что три четверти атак в корпоративном сегменте и 62 % атак среди обычных пользователей сопровождались заражениями различного рода зловредами.
Энтузиасты всё ещё поддерживают проект портирования операционной системы Android на компьютеры. Ранее в начале 2019 года была выпущена первая стабильная сборка Android 8.1 Oreo для x86-процессоров. Спустя почти год разработчики добрались до девятой версии ОС от Google. Недавно была опубликована первая сборка типа Release Candidat, а значит и стабильная версия тоже не за горами.
Помимо всех основных нововведений Android 9 Pie, компьютерная версия системы также получила много оптимизаций для современного железа. Для более удобного использования разработчики проекта добавили альтернативный лаунчер с аналогом классического меню «Пуск» и переделенными «Недавними» приложениями.
Вот основные нововведения сборки Android 9 Pie для x86-процессоров:
Ядро версии 4.19.80 LTS в версиях на 64 и 32 бита.
Поддержка аппаратного ускорения OpenGL ES 3.x на графических адаптерах NVIDIA, Intel и AMD.
Поддержка аппаратного ускорения OpenGL ES 3.0 через SwiftShader на неподдерживаемых графических адаптерах.
Поддержка аппаратного ускорения на графических адаптерах семейств Intel HD и G45.
Поддержка безопасной загрузки через UEFI и установки на UEFI-диск.
В GRUB-EFI добавлена поддержка тем.
Расширенная поддержка мультитач, аудио-устройств, Wi-Fi, Bluetooth, датчиков, камер и Ethernet (только DHCP).
Автоматическое монтирование внешних USB-устройств и SD-карт.
Нативная поддержка приложений под архитектуру ARM (Настройки → Опции Android x86).
Экспериментальная поддержка Vulkan API на графических адаптерах Intel и AMD (включается в настройках загрузчика).
Эмуляция Wi-Fi через DHCP-адаптер для лучшей работы приложений.
Поддержка мыши для приложений виртуальной реальности (VMware, VirtualBox, QEMU, Hyper-V).
Свежую сборку Android x86 Pie можно скачать на официальном сайте проекта. В 9.0-rc1 наблюдаются критические баги, связанные с новыми экспериментальными функциями.
Представители Microsoft объявили о том, что корпорация получила от правительства США лицензию на поставку собственного программного обеспечения китайской компании Huawei.
«20 ноября Министерство торговли США удовлетворило запрос Microsoft на предоставление лицензии на экспорт Huawei программного обеспечения для массового рынка. Мы ценим действия Департамента в ответ на нашу просьбу», — сказал представитель Microsoft, комментируя данный вопрос.
На этой неделе представители администрации США объявили о том, что некоторые американские компании смогут возобновить деловые отношения с китайским телекоммуникационным гигантом, который в середине года был включён в так называемый «чёрный список» по соображениям национальной безопасности.
Министерство торговли подтвердило, что оно начало выдавать лицензии, позволяющие торговать с Huawei, некоторым компаниям, тем самым расширяя базу поставщиков китайского производителя и внося некоторую ясность в затянувшуюся ситуацию, связанную с запретом на сотрудничество с Huawei. Не так давно один из чиновников рассказал о том, что в Министерство торговли поступило около 300 заявок на получение лицензии, около половины из которых уже были обработаны. Примерно половина из них или четверть от общего количества одобрены, а остальные были отклонены.
Остаётся непонятным, какие именно продукты были одобрены для экспорта компании Huawei, которая является крупнейшим производителем телекоммуникационного оборудования и вторым по величине поставщиком смартфонов. Источник, знакомый с ситуацией, заявил о том, что были одобрены лицензии на поставку некоторых компонентов для смартфонов, а также неэлектронных составляющих.
Вероятно, Huawei больше всего интересует возобновление сотрудничества с Google, поскольку в настоящее время новые смартфоны компании не могут использовать сервисы и фирменные приложения американской компании, что существенно затрудняет их продвижение за пределами Китая.
Павел Дуров заявил, что всем нужно срочно удалить WhatsApp со смартфонов и других устройств. Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов. Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере. Разбираемся, что не так с WhatsApp.
Павел Дуров заявил: WhatsApp – это троян
Дуров написал: WhatsApp не только не защищает ваши сообщения WhatsApp – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp.
Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для слежки за пользователями. А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.
По словам Дурова, “Facebook и WhatsApp делились практически всем с теми, кто утверждал, что работает на правительство”. Ой.
Израильтяне добились впечатляющих успехов во взломе WhatsApp
В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков WhatsApp дыру, которую использовали для слежки за активистами. Работало это и на Android, и на iOS.
Вредонос разработала израильская компания NSO Group. Он позволял установить на смартфон с WhatsApp шпионские приложения. Чтобы взломать смартфон, хакеры просто звонили жертве по WhatsApp. Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных. Записи о звонках удалялись, чтобы никто ничего не заподозрил.
В WhatsApp проблему признали. Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же. Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его.
На чем зарабатывает израильская NSO Group?
Главный продукт компании – Pegasus. Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.
Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов. Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.
Когда о проблеме с WhatsApp стало известно всем, в NSO Group развели руками. Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления. Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили. Сколько стоит Pegasus, неизвестно. Саму NSO Group оценивают в 1 млрд долларов.
Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group. Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта. Но получить данные со смартфона адвоката не удалось. Значит, патч всё-таки работает.
Адвокат также помог жертвам атаки подать в суд на NSO Group. Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами. Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля. Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление.
Как устроен WhatsApp, вообще неизвестно
WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия. В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры. Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.
Более того: разработчики WhatsApp обфрусцируют код. Его специально запутывают, чтобы усложнить анализ. Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры. И если компании отправили ФБР о неразглашении (так называемый Gag order), Цукерберг даже в Спортлото общественности пожаловаться не может.
WhatsApp был изначально полон дыр в безопасности
Создатели WhatsApp Брайан Эктон (слева) и Ян Кум
Создатели WhatsApp заявляли, что “безопасность у него в ДНК”. Но всё оказалось с точностью наоборот.
Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек. Ключи шифрования одно время можно было подменить прямо в чате. Вряд ли тестировщики компании этого не замечали. Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.
Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования. Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались.
А ещё в 2013 году исследователи установили, что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно.
На сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты.
Возможность взлома WhatsApp доказали на высшем уровне
Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов. Сообщения Манафорта в WhatsApp достали из iCloud.
Вероятно, Apple предоставила ФБР доступ к iCloud политика по решению суда. А WhatsApp пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта. В итоге его признали виновным по нескольким обвинениям и посадили на 7,5 года.
Основатели мессенджера перестали верить в WhatsApp
Facebook купил WhatsApp в феврале 2014 года за 22 млрд долларов. В сентябре 2017 года сооснователь WhatsApp Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.
В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании. Он также заявил: Facebook неохотно согласился на оконечное шифрование в WhatsApp.
Действительно: если компания признала, что годами хранила сотни миллионов паролей от Instagram в виде простого текста (!!!), то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков. Мог ли кто-то слить эти данные? Риторический вопрос.
Эктон также выразил сожаление о том, что согласился на сделку с Facebook:
Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день.
Эктон добавил: что происходит с шифрованием в WhatsApp после продажи, неизвестно. Как-то не верится, что его резко улучшили.
Через WhatsApp прямо сейчас могут красть ваши данные
Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.
Работает это так:
Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы. Во втором случае GIF даже автоматически загрузится.
Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.
WhatsApp показывает в галерее превью медиафайлов. Это послужит триггером и запустит вредонос.
Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.
В WhatsApp 2.19.244 проблему решили.
Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100. Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов. Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться). Если вы ещё не обновились, самое время.
А что с самим Telegram
У мессенджера Дурова с безопасностью тоже всё не очень гладко. Если вкратце, то в Telegram тоже используется сквозное шифрование. В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно.
Сквозное шифрование в Telegram не раз обходили. Да и другие уязвимости обнаруживали. Например, и в WhatsApp, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту.
И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”. Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать. Фото сохранятся у него в папке на смартфоне при получении. Да и хакеры смогут получить доступ к файлам на устройстве.
В Telegram признали проблему. За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty.
В WhatsApp есть такая же фича. И она работает как надо. Что ж, программы пишут люди. А люди ошибаются. Чаще, чем нам хотелось бы. Разница только в том, что WhatsApp сотрудничает с властями, а Telegram утверждает, что не сотрудничает.
Что теперь делать?
Если WhatsApp у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться. Но конфиденциальную информацию и нюдсы через него передавать не стоит.
Telegram все же безопаснее WhatsApp. А Signal, пожалуй, безопаснее Telegram. Есть ещё Wire, Threema и другие продукты. Но абсолютно безопасных мессенджеров не существует.Источник
Продолжают появляться подробности о смартфоне с гибким экраном Samsung Galaxy Fold следующего поколения: в сеть просочились новые данные о конструкции этого аппарата. Напомним, что южнокорейский гигант готовит гибкий телефон в формате классической компактной «раскладушки»: дисплей у устройства будет складываться по горизонтали. Такое исполнение убережёт экран от повреждений во время ношения и повседневной эксплуатации.
Как теперь сообщается, в распоряжении будущих владельцев Galaxy Fold 2 (предположительно, именно такое имя Samsung даст новинке) будет небольшой внешний дисплей. С его помощью они смогут получать определённую информацию, не открывая смартфон.
В частности, на этот экран будут выводиться уведомления, данные об уровне заряда аккумулятора, качестве сигнала в сотовой сети, время и пр. Пока не ясно, будет ли этот дисплей поддерживать сенсорное управление, как это сделано в первой версии Galaxy Fold.
По слухам, новинка имеет кодовое название Bloom и модельный номер SM-F700F. Смартфон уже был замечен на сайте технической поддержки Samsung. Демонстрация аппарата может состояться на предстоящей выставке электроники CES 2020 (7–10 января, Лас-Вегас, Невада, США).
