Немецкий разработчик ПО Йонас Штреле (Jonas Strehle) опубликовал на GitHub реализацию новой техники привязки идентификатора к определенному экземпляру браузера. Метод основан на особенностях обработки изображений Favicon, для чего используется отдельный кеш, выступающий в роли Supercookie.

https://www.securitylab.ru/news/516436.php

Специалисты компании Forescout обнаружили несколько уязвимостей в ряде TCP/IP стеков, связанных с некорректной генерацией номеров ISN, что влечет риск для миллионов устройств из сферы «Интернета вещей».



https://www.securitylab.ru/news/516461.php

Управление санитарного надзора Роспотребнадзора ввело новые требования к использованию мобильных устройств в образовании. Согласно новым правилам, дети могут носить в школу смартфоны для связи с родителями или общения, но для обучения должны использоваться только компьютеры, планшеты, моноблоки или интерактивные доски.

«Введены требования к электронным средствам обучения. Введен запрет на использование мобильных средств связи в целях образовательных. Нельзя использовать личные мобильные телефоны для проведения образовательной программы», — сообщила начальник управления санитарного надзора Роспотребнадзора Ирина Шевкун.

https://www.securitylab.ru/news/516464.php

Об этом в своем Twitter рассказал разработчик Густав Монсе (Gustave Monce).


https://www.securitylab.ru/news/516467.php

Киберпреступники выставили на аукцион предполагаемый исходный код популярных компьютерных игр от компании CD Projekt, в том числе The Witcher 3, Thronebreaker и Cyberpunk 2077.



https://www.securitylab.ru/news/516491.php

Университеты, организации и технологические гиганты, такие как Microsoft и Facebook, работают над инструментами для обнаружения дипфейков, которые призваны предотвратить их использование в целях дезинформации и распространения вредоносных медиа. Однако команда ученых из Калифорнийского университета в Сан-Диего на конференнции WACV 2021 сообщила, что детекторы дипфейков все еще можно обмануть путем внедрения входных данных (состязательные примеры) в каждый видеокадр.



https://www.securitylab.ru/news/516493.php

Министерство цифрового развития, связи и массовых коммуникаций РФ представило доработанные требования для разработчиков ПО, желающих, чтобы их продукты были включены в реестр отечественных программ. Согласно этим требованиям, все необходимые для выпуска ПО технические средства, исходный текст и объектный код должны находиться на территории РФ.



https://www.securitylab.ru/news/516498.php

Внедрение комплексного решения по управлению доступом в системы компании, если использовать максимум его возможностей, как правило, длительный и дорогостоящий проект. Часто заказчики, узнав о стоимости владения системой, приходят в недоумение: этапов много, на каждом из них приходится выкладывать немалые средства – нужно ли это? Но так ли все страшно на самом деле?

Внедрение системы IGA — это не только покупка программного обеспечения и лицензий. Это набор мер и процессов, работающих на оптимизацию управления доступом. При этом далеко не каждой организации нужно сложное и дорогое решение. В одной компании уже может быть своя собственная система подачи заявок на доступ к ресурсам – здесь нужно лишь достроить схему, внедрив автоматизацию предоставления прав и исполнения заявок. А в другой – сначала надо провести аудит: выявить несанкционированные учетные записи, проверить легитимность выданных прав доступа и т.п. Тут еще очень далеко до полной автоматизации процессов управления доступом.

https://www.securitylab.ru/news/516515.php

Европол арестовал 10 киберпреступников в Великобритании, Бельгии и на Мальте по обвинению во взломе мобильных телефонов знаменитостей, звезд спорта и музыкантов с целью кражи личной информации и миллионов долларов в криптовалюте.

Киберпреступная группировка похитила более $100 млн в криптовалюте с помощью методики подмены SIM-карт (SIM-swapping). Данная методика подразумевает деактивацию SIM-карты мобильного телефона жертвы путем обмана телефонной компании или использования подкупленного инсайдера, чтобы номер можно было перенести на другую карту под контролем преступников.

https://www.securitylab.ru/news/516520.php

Необходимо, чтобы зарубежные соцсети открывали свои представительства в России, а для этого нужно продумать соответствующее регулирование, которое заставило бы их это сделать, считает заместитель руководителя Роскомнадзора Милош Вагнер.

https://www.securitylab.ru/news/516529.php

Федеральная служба по техническому и экспортному контролю (ФСТЭК) намерена создать исследовательский центр для тестирования безопасности операционных систем на базе ядра Linux. ФСТЭК объявила на портале госзакупок тендер стоимостью 300 млн руб. на создание данного учреждения.

https://www.securitylab.ru/news/516530.php

Исследователи из компании Data61, состоящей в Государственном объединении научных и прикладных исследований (CSIRO) Австралии, в сотрудничестве с Австралийским национальным университетом и экспертами из Германии сообщили , что искусственный интеллект может влиять на принятие решений человеком.

«Хотя исследование было теоретическим, оно позволяет нам лучше понять, как люди делают выбор. Эти знания ценны, потому что они позволяют нам уменьшить наши уязвимости, чтобы мы могли лучше выявлять и избегать ошибочного выбора в результате потенциального злоупотребления ИИ», — отметили эксперты.

https://www.securitylab.ru/news/516531.php

Служба безопасности «Яндекса» обнаружила внутреннюю утечку информации. По результатам расследования стало известно, что один из сотрудников компании предоставлял несанкционированный доступ к почтовым ящикам пользователей.

Злоумышленником оказался один из трех системных администраторов, обладавших правами доступа для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков.

«Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи», — сообщила пресс-служба «Яндекса».

https://www.securitylab.ru/news/516543.php

В популярном приложении для обмена сообщениями Telegram была обнаружена уязвимость в версии программы для macOS, нарушающая конфиденциальность пользователей. Проблема была выявлена исследователем безопасности Дхираджем Мишрой в версии приложения Telegram 7.3. Ее эксплуатация позволяла получать доступ к самоуничтожающимся аудио- и видеосообщениям спустя долгое время после их исчезновения из секретных чатов.

В отличие от Signal или WhatsApp, беседы в Telegram по умолчанию не зашифрованы, за исключением случаев, когда пользователи используют секретные чаты, сохраняющая данные в зашифрованном виде даже на серверах Telegram. Также в секретных чатах доступна возможность отправки самоуничтожающихся сообщений.

По словам исследователя, когда пользователь записывает и отправляет аудио- или видеосообщение через обычный чат, приложение передает точный путь, по которому записанное сообщение хранится в формате «.mp4». При включенной опции секретного чата информация о пути не передается, но записанное сообщение по-прежнему сохраняется в том же месте.

https://www.securitylab.ru/news/516546.php

Модернизация предполагает установку видеокамер на всех автоматизированных турникетах (eGate) в «Домодедово», а именно в зоне таможенного контроля, галерее вылета международных рейсов и всех выходов на посадку.

Это делается для удобства пассажиров, повышения прибыли аэропортов и ускорения предполётных процедур. Они становятся полностью автоматическими, без участия людей и без предъявления паспорта — с момента регистрации до посадки на самолёт.

Система обработки биометрических данных позволит полностью автоматизировать прохождение предполетных процедур, с момента регистрации до посадки на самолет, минимизировав участие человека, считают представители «Домодедово».

Чтобы получить такую возможность, гражданину России необходимо будет сдать данные в Единую биометрическую систему (ЕБС) в одном из отделений банков, а также дать согласие на использование биометрии в конкретных целях.

Благодаря распознаванию лиц можно один раз идентифицировать пассажира, а дальше считывать данные и открывать гейты без посадочного талона и паспорта.

https://www.securitylab.ru/news/516547.php

За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.

Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.

https://www.securitylab.ru/news/516548.php

При помощи часов пользователи смогут отправлять сообщения через сервисы Facebook, следить за состоянием здоровья при помощи специальных приложений и пользоваться функциями для фитнеса.

Также владельцам смарт-часов будут доступны фитнес-приложения и утилиты, позволяющие отслеживать состояние здоровья.
По данным издания Verge, часы будут работать на операционной системе Android. В то же время, по предварительным данным, Facebook ведет разработку собственной системы, которая будет функционировать на следующих моделях умных часов.

The Information сообщает, что "умные" часы от Facebook будут работать через сотовую связь, независимо от смартфона.
Ранее на Facebook подали в суд за слежку за пользователями. Компанию обвинили в незаконном подсматривании за пользователями Instagram через камеры их смартфонов.



https://www.securitylab.ru/news/516550.php

Сотрудниками правоохранительных органов, а также специалистами в области компьютерной безопасности был установлен Федоров Ален Евгеньевич, который, по данным следствия, занимался продажей личных персональных данных россиян: копиями их паспортов, выписками из банков и другими документами потерпевших.

Ему предъявлено обвинение в совершении преступления, предусмотренного частью 4 статьи 272 УК РФ («Неправомерный доступ к компьютерной информации, причинивший крупный ущерб, совершенный организованной группой и создавший угрозу наступления тяжких последствий»).

https://www.securitylab.ru/news/516551.php

В администрации социальной сети Instagram сообщили, что впредь аккаунты, которые рассылают враждебные высказывания в личных сообщениях, будут блокироваться. Ранее мерой профилактики в вопросе оскорблений и дискриминации в Instagram был временный запрет на ведение личной переписки.
 https://www.securitylab.ru/news/516556.php

Ранее в этом месяце приложение для общения по аудио Clubhouse стремительно набрало популярность среди китайских пользователей. Специалисты Стэнфордского университета решили узнать, как Clubhouse защищает данные своих пользователей и на примере приложения объяснить, почему это важно.

https://www.securitylab.ru/news/516562.php