Forwarded from SecAtor
Некто Gommzystudio на GitHub вывалил общедоступный инструмент, позволяющий отслеживать активность более трех млрд. пользователей WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.
Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.
В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.
По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.
Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.
В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.
Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.
Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.
Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.
Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.
Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).
На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.
При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.
При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.
Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).
В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.
По части батареи исследователи смогли значительно увеличить расход заряда.
Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.
Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.
Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.
Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.
Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.
GitHub
GitHub - gommzystudio/device-activity-tracker: A phone number can reveal whether a device is active, in standby or offline (and…
A phone number can reveal whether a device is active, in standby or offline (and more). This PoC demonstrates how delivery receipts + RTT timing leak sensitive device-activity patterns. (WhatsApp /...
👍3❤1
Forwarded from Too Many Apples
В этом году решил сделать отчет о проделанной работе и поделиться им с общественностью. Этот отчет рассказывает о результатах работы нашей ИБ команды за этот год. И в РФ и в мире так делают редко - сказываются особенности области, подход security through obscurity, да и просто не готовность и не способность открыто рассказывать о реальных результатах работы.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
Мы считаем иначе. Открытое обсуждение и обмен лучшими практиками ускоряет развитие инфобеза, оздоровляет индустрию, меняет отношение не-ибшников к нашей работе в лучшую сторону.
Выношу огромную благодарность всей команде за работу. Особая благодарность Илье за сведение и оформление отчета.
Вашему вниманию отчет, мы постарались чтобы он был в своем роде руководством к действию, отвечал на вопрос "а как можно решить ту или иную задачу, выстроить тот или иной процесс". Буду признателен комментариям и мнениям, что понравилось, а что - нет, вопросам и критике.
👍2
Forwarded from AD_POHEQUE
интернет отрубили, vpn задушили, ngfw дышит в затылок — а у тебя свой маленький «биврёст» на LoRa.
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
meshtastic как канал связи. при желании докручивается до ExpressLRS/ Crossfire, умельцы есть.
это ровно то, чего нет в корпоративных методичках: альтернативный, медленный, но живучий канал управления.
никакого tcp/ip, никакого dpi, никакого «давайте добавим сигнатуру в next gen firewall» — трафик ушёл в эфир и прошёл мимо их игрушек.
решат бороться с такой закладкой через РЭБ расположенный в офисе или цеху, то лягут:
• bluetooth-наушники любимых сеньоров
• «умные» кондиционеры
• половина датчиков и прочего iot-шлака
• АСУТП, ПЛК
всё, что дышит тем же диапазоном. чтобы выжечь один аккуратный mesh-канал, придётся устроить реальный саботаж своими же руками так и не получив желаемого.
для red team это ещё один слой выживания:
оставил физическую закладку с meshtastic → поднял аварийный c2-канал вне ip → даже если основной доступ лёг, у тебя остаётся тихий запасной маршрут. в рамках упражнений и учений — актуальная модель угроз.
дальше в игру заходят люди, которые вчера гоняли fpv под помехами, а сегодня вернулись «на гражданку». для них «обойти периметр завода и найти слепую зону» — это тривиальная задача на вечер.
и внезапно выясняется, что для закладки не нужен ни «социальный инженер», ни экскурсия в офис. достаточно в сценарии учений:
— приехать на каршеринге,
— пройтись вдоль периметра,
— проверить эфир обычными bluetooth-наушниками: если музыка не рвётся — радиообстановка более-менее чистая.
дальше включается беспилотная школа. лёгкий борт с камерой и нормальной антенной спокойно перелетает забор и оставляет внутри то, что раньше просили заносить «под видом флешки»:
маленький модуль с lora/meshtastic, wi-fi, чем угодно ещё. хоть на подоконник, хоть через открытую форточку и там уже на шкаф.
есть поддержка изнутри — вообще праздник: воткнулся в шнурок по классике, и привет, out-of-band для тех же учений.
важное здесь не «как так сделать», а что модель угроз большинства контор этого просто не видит. у них до сих пор всё крутится вокруг:
— периметр → ngfw → прокси
— офис → домен → soc
а над забором уже спокойно летает другая эпоха, где инженер по беспилотникам в паре с red team даёт такой out-of-band, который никакой «стажёр кладовщик» не обеспечит.
если вы отвечаете за защиту и всё ещё мыслите только ip-сетями и турникетами — вы динозавр и не видите целый класс каналов связи.
репозиторий для изучения:
https://github.com/benjaminchodroff/meshtastic_c2
👾
👍11❤1
Ребёнок с телефоном/планшетом, а настройки «потом сделаю»?
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
Сохраните этот чек‑лист и пройдитесь по нему сегодня. 15 минут — и устройство станет заметно безопаснее.
————————
1. Устройство
1. Включите родительский контроль - Family Link (Android) или «Экранное время»/«Ограничения» (iOS).
2. Разрешите установку новых приложений только с вашего одобрения.
3. Подключите семейный DNS‑фильтр (например, семейный режим Яндекс DNS).
4. Задайте лимит времени на использование устройства. Границы лучше бесконечных «ещё пять минут».
5. Отключите лишние уведомления от приложений.
6. Заблокируйте встроенные покупки или поставьте отдельный пароль.
————————
2. Игры (Roblox и другие)
7. Включите PIN‑код аккаунта ребёнка.
8. Подключите двухфакторную аутентификацию (2FA).
9. Настройте чат: «выкл.» или «только друзья».
10. В друзьях оставьте только реальных знакомых.
11. Отключите тренды и рекомендации.
12. Составьте «разрешённый список» игр.
————————
3. Видео (YouTube и др.)
13. Для младших школьников — только YouTube Kids.
14. Включите ограниченный режим на роутере, а не только на устройстве.
15. Составьте «разрешённый список» каналов.
16. Регулярно просматривайте историю поиска и просмотров.
17. Отключите автопроигрывание следующего видео.
————————
Технологии — лишь часть защиты.
Вторая половина — ваши правила и разговор с ребёнком о том, что в интернете допустимо, а что нет.
————————
👍13👎4
🚨 В популярной платформе автоматизации рабочих процессов n8n выявлена критическая уязвимость, позволяющая авторизованным пользователям с правами редактирования рабочих процессов выполнять команды операционной системы на хосте.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
Уязвимость, зарегистрированная как CVE-2025-68668, имеет оценку CVSS 9,9.
👍6
Forwarded from Femida
Сбой Logitech отрубил миллионы мышек
Вчера вечером у Logitech истек Apple Developer Certificate, компания просто забыла его продлить.
Из-за этого у всех пользователей MacOS отказалось работать приложение Options+, которое необходимо для настройки мыши.
Да, для последних моделях мышек Logitech сделали приложение обязательным, без него мышь просто не работает.
Патч для починки приложения появился буквально час назад, его нужно качать отдельно🌟
Вчера вечером у Logitech истек Apple Developer Certificate, компания просто забыла его продлить.
Из-за этого у всех пользователей MacOS отказалось работать приложение Options+, которое необходимо для настройки мыши.
Да, для последних моделях мышек Logitech сделали приложение обязательным, без него мышь просто не работает.
Патч для починки приложения появился буквально час назад, его нужно качать отдельно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1🤯1😱1