Компания Google интегрировала функцию «Проверка паролей» (Password Checkup) с учетными записями Google. Отныне новый инструмент будет предупреждать пользователя, если у его сохраненных паролей есть проблемы с безопасностью (например, если они слишком короткие или были скомпрометированы в результате утечек).


В «Диспетчере паролей» Google появилась функция проверки безопасности паролей

Компания Intel представила новый тип компьютерной памяти, разработанный специально для защиты от атак по сторонним каналам, базирующихся на спекулятивном выполнении (Meltdown, Spectre, L1TF, SGXSpectre, SWAPGSAttack, Zombieload, MDS и пр.).
Intel представила новый тип памяти для защиты от атак наподобие Meltdown

На черном рынке в Сети выставлены на продажу данные, предположительно принадлежащие клиентам Сбербанка.
Сбербанк расследует возможную утечку данных своих клиентов

Исследователь безопасности под псевдонимом Awakened обнаружил в популярном мессенджере WhatsApp уязвимость, позволяющую злоумышленникам получать доступ к файлам и сообщениям жертвы с помощью вредоносного GIF-изображения.
Уязвимость в WhatsApp позволяет получить доступ к устройству с помощью «гифки»

Группа исследователей из Калифорнийского университета в Санта-Барбаре под руководством профессора Ясамин Мостофи (Yasamin Mostofi) впервые смогла с помощью Wi-Fi-сигнала и видеозаписи идентифицировать человека, находящегося за стеной.


Ученые научились с помощью Wi-Fi идентифицировать человека за стеной

Нидерландская полиция обезвредила так называемый «пуленепробиваемый» хостинг-сервис, который обеспечивал работу десятков IoT-ботнетов, использовавшихся для проведения сотен тысяч DDoS-атак по всему миру.
Нидерландская полиция обезвредила площадку, предоставляющую услуги хостинга десяткам IoT-ботнетов

Исследователи из университета им. Масарика в Брно (Чехия) опубликовали PoC-код и подробности о нескольких уязвимостях, получивших название Minerva, в различных реализациях алгоритма создания цифровой подписи ECDSA/EdDSA. Их эксплуатация позволяет злоумышленнику восстановить значение закрытого ключа на основе анализа утечек сведений об отдельных битах, всплывающих при применении методов анализа по сторонним каналам.
Обнаружен способ восстановить ключи ECDSA

31-летний житель Новосибирска, занимавший должность охранника в ЧОПе, «подрабатывал» продажей взломанных учетных записей пользователей Rockstar Games, Steam и Electronic Arts.


Новосибирец взламывал и продавал учетные записи геймеров

Компания Electronic Arts пообещала подарить пользователям бесплатный доступ к сервису Origin Access в течение месяца, если они включат двухфакторную аутентификацию (внутреннее название функции Login Verification).
EA пообещала бесплатный доступ к Origin Access за включение двухфакторной аутентификации

Департамент Киберполиции Национальной полиции Украины пресек деятельность крупного сервиса для регистрации «фейковых» учетных записей в соцсетях, мессенджерах, платежных системах и сервисах электронной почты, использовавшихся для массовой рассылки сообщений.
Украинская киберполиция закрыла крупный сервис для регистрации «фейковых» аккаунтов

Google временно нанимала сотрудников для сбора биометрических данных у разных людей на улице. В обмен на сканирование лица сотрудники предлагали сертификат на $5 в Starbucks. Об этом сообщает издание Daily News.
Подрядчики Google обманом собирали фото прохожих для улучшения системы распознания лиц Pixel 4

Компания Foxit Software выпустила патчи для 8 критических уязвимостей в программном обеспечении для просмотра PDF-файлов Foxit Reader для Windows. Эксплуатация уязвимостей позволяет злоумышленнику удаленно выполнять произвольный код на целевых системах. Проблемы затрагивают версии Foxit Reader 9.6.0.25114 и младше.
В ПО Foxit PDF Reader исправлено 8 критических уязвимостей

Начиная со следующего года, Google изменит свое отношение к сайтам, полностью не перешедшим на HTTPS и продолжающим загружать некоторые ресурсы страниц (например, видео, аудио, изображения и скрипты) по HTTP.
Google придумала, как заставить сайты перейти на HTTPS

Исследователи из фирмы Context Information Security выявили новую киберпреступную группировку, получившую название Avivore, которая за последние несколько месяцев, предположительно, осуществила несколько крупных кибератак на компанию Airbus. Злоумышленники пытались атаковать Airbus через сети французской консалтинговой компании Expleo, британского производителя двигателей Rolls Royce и двух неназванных поставщиков Airbus.
Недавние атаки на Airbus могут быть делом рук ранее неизвестной группировки Avivore

Специалисты команды Google Project Zero обнародовали информацию (а также PoC-код) об уязвимости в операционной системе Android, которая уже активно используется злоумышленниками в реальных атаках. Примечательно, что данная уязвимость была исправлена в версиях Android 3.18, 4.14, 4.4 и 4.9 в декабре 2017 года, однако вновь появилась в более поздних релизах ОС.


0Day-уязвимость в Android ставит под угрозу смартфоны Pixel, Samsung, Huawei и Xiaomi

Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.
Хакерское подразделение СГБ Узбекистана оказалось раскрыто из-за собственных ошибок

Киберпреступная группировка Turla (также известна как Venomous Bear или Waterbug) распространяет новое вредоносное ПО, получивший название Reductor, для перехвата зашифрованного TLS-трафика и заражения целевой сети. По словам исследователей из «Лаборатории Касперского», между Reductor и ранее обнаруженным трояном COMPfun есть сходство, указывающее на общего создателя. Как считают эксперты, троян COMPfun, предположительно разработанный Turla, используется в качестве загрузчика.


Группировка Turla использует новое вредоносное ПО для перехвата TLS-трафика

Египетские спецслужбы, предположительно, следят за гражданами страны с помощью шпионских мобильных приложений, позволяющих читать электронные письма, контакты и записывать местонахождение пользователей. По словам исследователей из компании Check Point, объектами слежки стали египетские журналисты, политики, активисты, юристы, а также члены коммерческих организаций.
Египетские спецслужбы уличили в слежке за гражданами

В Android-версии защищенного мессенджера Signal выявлена логическая ошибка, позволяющая шпионить за пользователями. Уязвимость заключается в том, что преступники могут инициировать вызов и автоматически ответить на него без согласия пользователя. Иными словами, с помощью бага можно включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры.
Уязвимость в мессенджере Signal позволяет шпионить за пользователями

Уже с ноября нынешнего года правительство Франции начнет выдавать цифровые паспорта с идентификацией на основе распознавания лиц в рамках биометрической программы Alicem, продвигаемой французским правительством. Тем самым французское правительство якобы хочет предоставить гражданам возможность осуществлять защищенную цифровую идентификацию личности с помощью мобильных устройств.
Франция будет собирать биометрические данные без согласия граждан

Как сообщают специалисты Национального центра кибербезопасности Нидерландов (NCSC), по мере роста популярности современных защищенных протоколов DNS осуществлять мониторинг DNS становится все сложнее. Соответствующее мнение изложено в опубликованном на прошлой неделе фактологическом бюллетене. Документ предназначен для ознакомления администраторами сетей и техническими директорами, желающими перейти на использование протоколов «DNS поверх TLS» (DoT) и «DNS поверх HTTPS» (DoH).
Эксперты озвучили риски, связанные с переходом на DoH