В сентябре провайдер зашифрованной почты Protonmail выдал IP-адрес и модель устройства французского эколога по решению швейцарского суда, и многие задумались, можно ли им после такого вообще верить. Вообще Protonmail по умолчанию не логирует IP-адреса пользователей, но оказалось, что если они получат правильный запрос на конкретного пользователя, то могут начать.
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
Так вот, в это же время Protonmail судился с Швейцарским сервисом надзора за почтой и телекоммуникациями (PTSS), и вот только что выиграл. PTSS считал, что компания - оператор связи и поэтому должна хранить данные пользователей, как этого требует швейцарское законодательство. Речь о швейцарском аналоге требований российского закона Яровой, который определяет, сколько и каких данных пользователей должны хранить опсосы.
В пятницу, швейцарский Федеральный административный суд вынес решение по этому делу: провайдеры email - не операторы, и требования швейцарского законодательства по хранению данных пользователей их не касаются. До этого, швейцарский Верховный суд решил, что компании, предоставляющие услуги "чата, мгновенных сообщений, интернет-видео и телефонии, или имейл" - не телекомы.
Протон радуется: "Эти два решения - победа приватности в Швейцарии и победа для швейцарских технологических стартапов, поскольку они освобождают нас от обременительных правил, придуманных для операторов связи, и от необходимости выдавать некоторую информацию о пользователях в ответ на швейцарские юридические запросы".
Ссылка: https://www.reuters.com/technology/proton-wins-swiss-court-appeal-over-surveillance-rules-2021-10-22/
В прошлом посте мы ошиблись в формулировке: "Protonmail по-умолчанию не логирует IP-адреса", но вы все заметили! Исправляемся, вот цитаты из политики приватности Protonmail:
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Действия в аккаунте Protonmail
Из-за ограничений протокола SMTP у нас есть доступ к следующим метаданным email: email-адреса отправителя и получателя, IP-адреса, с которых отправлены сообщения, тема сообщения и время отправки и приема сообщений.
Логирование IP
По умолчанию мы не храним ПОСТОЯННЫХ логов, связанных с использованием наших сервисов. При этом, логи IP могут сохраняться временнодля борьбы с нарушениями условий использования и фродом, и ваш IP-адрес может сохраняться постоянно, если вы занимаетесь деятельностью, которая нарушает наши условия (спам, DDoS против нашей инфраструктуры, брутфорс атаки и тд).
То есть постоянно они не хранят, но могут хранить временно, если пользователь нарушает, или если попросит швейцарский суд.
Интересное исследование о том, как дата-брокеры собирают данные с телефонов пользователей через свои SDK, встроенные в приложения. На этот раз исследователи разбирались с тем, как собирает данные британская компания Huq.
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
SDK Huq встроен в кучу популярных бесплатных приложений для Android с миллионами установок, например РадарДетектор (GPS радар), CamFind, Network Signal Info, QR & Barcode Scanner и так далее (полный список в исследовании). Этот SDK - это способ монетизации приложений, Huq платит разработчикам за переданные данные. Huq собирает точную геолокацию, названия ближайших сетей wifi, рекламный и неизменяемые идентификаторы телефона, имя устройства и кучу другой информации. По правилам Google на такое нужно явное согласие пользователя. При этом в исследовании фактически:
▪️Некоторые приложения не давали пользователю возможности отказаться от сбора данных. Хочешь использовать приложение - соглашайся со сбором (ладно, хотя бы честно).
▪️Несколько приложений собирали и передавали данные, если пользователь закрывал приложение, не согласившись с условиями использования (увидел условия, никуда не нажал, закрыл приложение).
▪️Два приложения (QR & Barcode Scanner и Network Signal Info) собирали и передавали данные, даже если пользователь явно отказался, нажав на кнопку "нет" или выключив опцию сбора. То есть в интерфейсе написано "Сбор данных отключен, данные не будут передаваться третьим лицам", а по факту трафик идет, все передается.
Vice попросил комментарий у самой компании Huq, а они говорят, что вообще не в курсе, согласился пользователь или нет, - это ответственность разработчиков приложений. При этом недавно они же рассказывали, как ежемесячно тестируют приложения своих клиентов, чтобы убедиться, что те не нарушают условий использования. Разработчики "плохих" приложений просто не отвечают. Исследователи пожаловались в Google, те отвечают, что в курсе и ведут расследование.
Это еще одна история про бизнес-модели бесплатных мобильных приложений в эпоху капитализма, основанного на слежке. "Если ты не платишь, то ты товар".
Ссылки:
[1] https://blog.appcensus.io/2021/10/25/what-the-huq/
[2] https://www.vice.com/en/article/5dgmqz/huq-location-data-opt-out-no-consent
👍1
Мы выложили в Youtube 15-минутный свежий доклад Ивана Бегтина "Слежка за гражданами через мобильные государственные приложения". Если вы интересуетесь темой, рекомендуем читать и смотреть Ивана!
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
https://www.youtube.com/watch?v=6UeHi2BTjW8
Вот слайды:
https://www.beautiful.ai/player/-MmSXg4uXGoxpIGjBlSc/Slezhka-cherez-gosudarstvennye-mobilnye-prilozheniya
Вот полный текст исследования:
https://privacygosmobapps.infoculture.ru/
YouTube
Слежка за гражданами через мобильные государственные приложения / Иван Бегтин
Доклад Ивана Бегтина о слежке через приложения на Евразийском конгрессе по защите данных #EDPC
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
https://edpc.network
Полный текст исследования:
➡️ https://privacygosmobapps.infoculture.ru
Сайт "Информационной культуры"
➡️ https://www.infoculture.ru
Полная…
В Великобритании пять крупных сетей супермаркетов начинают тестировать продукт компании Yoti - нейронку, которая по изображению с камеры определяет возраст покупателей на кассе. Это нужно, например, чтобы помочь кассиру принять решение, можно ли продавать алкоголь и сигареты. Нейронку тренировали на возраст от 6 до 60 лет, в среднем ошибка составляет 2.79 лет для всего диапазона и менее 1.5 лет для людей младше 25. Если нейронка считает, что покупатель младше какого-то возраста, взятого с запасом (например, 25 лет), продавец будет по-прежнему просить показать паспорт, как это происходило до сих пор. На младшем возрасте погрешность меньше, потому что систему просто больше тренировали - Yoti видит в распознавании точного возраста подростков больше потенциального спроса. Пишут, что их уже тестируют какие-то игровые сервисы и порносайты, чтобы отсекать пользователей младше 13.
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
Разработчики говорят, что изображения нигде не хранятся, регистрация в системе от пользователя не требуется, никакой аутентификации или сличения с базой лиц не происходит, то есть распознаванием лиц система не занимается. Из-за этого разработчики утверждают, что система не должна попадать под госрегулирование систем распознавания лиц, потому что это просто нейронка.
Интересно, чем закончится тестирование.
Ссылка: https://www.wired.com/story/ai-predicts-how-old-children-are/
В ЕС скандал - похоже, что кто-то спер приватные ключи, которыми подписывают официальные QR-коды европейских ковидных сертификатов Green Pass, и выложил в тематические Telegram-каналы валидные ковидные сертификаты Гитлера, Микки Мауса, Губки Боба и тд.
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
Одновременно с этим на подпольных форумах появились предложения об изготовлении польских и швейцарских валидных QR-кодов вакцинации, цены от 250 евро. При этом поддельные валидные сертификаты из Telegram-каналов якобы сделаны в куче разных стран: Франции, Германии, Италии, Нидерландах, Польше и др. То есть непохоже, что утечка приватных ключей касается только одного или двух государств. ЕС уже запустил расследование.
Проблема тут не только в существовании поддельных сертификатов. Какие-то ключи уже отозвали и теперь все настоящие сертификаты, подписанные теми же ключами, по идее должны автоматически "протухнуть". Один итальянский журналист вчера уже написал, что его валидный сертификат перестал работать. Заодно оказалось, что разные приложения для проверки валидности работают по-разному, и например в приложении VerificationC19 "левые" сертификаты уже не распознаются, а швейцарский CovidCheck пока считает, что с ними все нормально.
Похоже, придется заменять ключи и перевыпускать сертификаты. Интересно, как европейцы справятся.
Ссылка: https://www.bleepingcomputer.com/news/security/eu-investigating-leak-of-private-key-used-to-forge-covid-passes/
BleepingComputer
EU investigating leak of private key used to forge Covid passes
The private key used to sign EU Digital Covid certificates has been reportedly leaked and is being circulated on messaging apps and forums. The key has also been misused to generate forged certificates, such as those for Adolf Hitler, Mickey Mouse, Sponge…
Forwarded from Roskomsvoboda
Pegasus: как работает и где использовали
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Технические специалисты «Роскомсвободы» подробно рассказали о работе шпионского ПО Pegasus от израильской компании NSO Group.
Это ПО удалённо устанавливается на смартфоны и без ведома владельца может собирать данные с его устройства. Его применяли власти как минимум 14 стран для слежки за оппозицией.
Как работает это ПО и можно ли защититься от угрозы – в нашем материале:
➡️ https://roskomsvoboda.org/post/pegasus-nso-group/
Роскомсвобода
Pegasus: как работает и где использовали
В подробностях рассказываем о шпионском ПО компании NSO Group.
Вышел Tor Browser 11.0. В нем окончательно прекращена поддержка старых 16-символьных адресов .onion версии 2 (в текущей версии 3 в адресах всегда 56 символов), случился переход на кодовую базу Firefox 91 ESR c предыдущей версии Firefox 78 ESR, и, соответственно, сильно обновился интерфейс браузера.
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
Можно считать, что переход на протокол onion третьей версии на этом окончательно завершился. Весь процесс занял 6 лет.
https://www.torproject.org/download/
www.torproject.org
The Tor Project | Privacy & Freedom Online
Defend yourself against tracking and surveillance. Circumvent censorship.
Известный ресурс iFixit записал видео о том, что в iPhone 13 при замене экрана не у официалов перестает работать Face ID. В новом поколении iPhone под экраном - совсем мелкий чип, и при замене экрана теперь надо ее "одобрять" в Apple при помощи закрытого софта, который Apple дает только сертифицированным ремонтным центрам. Остается вариант перепаивать старый чип на новый экран под микроскопом, и в этом же видео автор популярного Youtube-канала "Right to repair" (Право на ремонт) объясняет, как это сделать людям с опытом, оборудованием и совсем прямыми руками.
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
При этом iFixit считает, что реально для работы FaceID этот новый чип не нужен, то есть это то, что называется "антифича". Выглядит так, как будто Apple продолжает бороться с независимым ремонтом.
https://youtu.be/x8bexo6PaM0
Мы вчера писали про видео с Youtube-канала iFixit, как при замене экрана iPhone 13 в неофициальном ремонте перестает работать FaceID. Видео получилось шумным, и в ответ компания Apple дала комментарий, что исправит ситуацию "в одном из следующих обновлений". То есть при замене экрана в неофициальных мастерских перепаивать чип под микроскопом не понадобится. В каком обновлении это будет исправлено, они точно не говорят.
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
Все-таки Apple внимательно относится к тому, что о них пишут.
https://www.theverge.com/2021/11/9/22772433/apple-iphone-13-screen-replacements-face-id-software-update
The Verge
Apple backs off of breaking Face ID after DIY iPhone 13 screen replacements
A software update should help make replacements easier.
История века на Пикабу. Рекламный робот Tele2 позвонил на телефон абонента с предложением о переходе на другой тарифный план, трубку снял Тинькоффский голосовой помощник Олег, и, поскольку он использовал слово "хорошо", робот Теле2 понял это как согласие. Абоненту подключили новый тарифный план, пока он спал.
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
"Полный диалог Олега в текстовой форме не вместился, но при прослушивании записи, последняя фраза там от сотрудника Теле2: "С вашего согласия новый тариф предоставил, он начнет действовать сразу после пополнения счета. Пользуйтесь с удовольствием, до свидания".
https://pikabu.ru/story/tele2_pereklyuchil_na_novyiy_tarif_s_pomoshchyu_assistenta_olega_8591368
Цифровые правозащитники EFF опубликовали новое расследование. Дата-брокер Veraset шесть месяцев после начала пандемии COVID в 2020 году бесплатно передавал местным властям округа Колумбия в США данные геолокации сотен тысяч американцев из Вашингтона и окрестностей. Речь идет о данных, которые компания собирает из тысяч мобильных приложений и встроенных в них SDK. Как всегда в подобных историях, данные были "анонимные", то есть там не было ФИО в явном виде. Зато там были уникальные рекламные идентификаторы гаджетов, которые всегда можно связать с ФИО у другого дата-брокера (мы про это пару раз писали в этом канале, например тыц). То есть технически в результате местное правительство округа Колумбия через 24-72 часа имело доступ к данным типа "в каком конкретном месте конкретный Пупкин был 20 августа 2020 года в 20:00".
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
После шести месяцев бесплатного пробного периода местные власти округа Колумбия решили платную подписку не покупать. Объясняют, что думали на основе этих данных принимать какие-то решения, типа когда начинать и заканчивать карантины, но не получилось.
Это не первая история о том, как дата-брокеры сливают госорганам в США данные, собранные с устройств пользователей, но тут все вместе - в этой истории есть и pdf-ы с техническими подробностями, и COVID, и отдавали бесплатно. Кстати интересно, работают ли все эти крупные международные дата-брокеры, которые собирают данные геолокации через мобильные приложения, с российскими госорганами? Данные по российским пользователям у них точно есть.
https://www.eff.org/deeplinks/2021/11/data-broker-veraset-gave-bulk-device-level-gps-data-dc-government
👍1
На прошлой неделе Ведомство по патентам и товарным знакам США опубликовало новый патент Apple, в котором говорится про "Очки приватности". Если у пользователя на лице какие-то специальные очки, то iPhone должен их распознать и показывать пользователю вывод на экране, который не виден окружающим. В патенте написано, что, к примеру, такая технология подойдет для использования в общественном транспорте. Как это технически должно работать, не уточняют, пишут про blur, то есть размытие. А еще из текста патента неясно, очки вообще как-то помогают пользователю увидеть вывод на экране, или FaceID просто на них должен реагировать, чтобы включать этот специальный режим.
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Что-то похожее существует очень давно, назвается "экран (или фильтр) приватности", их сначала делала компания 3M, а сейчас подтянулись и другие производители. Может вы видели такие съемные экраны для мониторов, экранов ноутбуков и телефонов, ограничивающие угол обзора так, что изображение видно, только если сидеть прямо перед ними. Но те экраны - это просто кусок специальной пленки, и чтобы его "отключить" его нужно снять. Как Apple собирается программно включать и выключать свой запатентованный режим приватности - непонятно.
И, кстати, даже не факт, что такая технология у Apple реально есть. Кори Доктороу в своей книжке "How to destroy surveillance capitalism" (Как уничтожить капитализм, основанный на слежке) недавно писал, как крупные технологические компании пытаются патентовать то, чего у них нет, причем максимально общие идеи без подробностей. Это нужно, чтобы потом, когда они реально что-нибудь такое разработают, кто-нибудь их не засудил.
Но сама идея крутая. Вот бы сделали.
https://www.patentlyapple.com/patently-apple/2021/11/apple-advances-face-id-to-create-multiple-user-profiles-while-introducing-new-privacy-eyewear-and-more.html
Разработчики из ОАЭ придумали сигнализацию под названием Themis, которая срабатывает на мат и обидные термины, и показали прототип на выставке Dubai Design Week. Это железяка размером с небольшую настольную лампу с микрофонами и системой распознавания речи, которая распознает мат, расистские и другие обидные термины и включает сирену на две минуты.
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/
"После этого Themis выключается, и присутствующие могут открыто и спокойно обсудить причины, почему могло сработать устройство," - говорит разработчица. Пишут, что прототип уже где-то тестируется в университетах, и что во время выставки им заинтересовались клиенты для использования в офисах и школах, например для модерации дебатов.
Роботы-модераторы, только в реале.
https://www.telegraph.co.uk/news/2021/11/13/thought-police-have-arrived-trigger-warning-alarm-goes-every/
Apple собирается открыть онлайн-магазин по продаже запчастей и фирменных инструментов для самостоятельного ремонта своих гаджетов на дому. Программа под названием Self Service Repair запустится в начале 2022 года в США. На первом этапе в магазине будут продавать около 200 запчастей для iPhone 12 и 13, в том числе экраны, аккумуляторы и модули камеры. В будущем обещают добавить в программу новые страны и новые запчасти, в том числе для ноутбуков Macbook. В анонсе пишут, что после ремонта пользователи смогут сдавать сломанную запчасть или аккумулятор на переработку за деньги. А что произойдет с гарантией при таком ремонте, в пресс-релизе не пишут.
Сторонники "права на ремонт" ликуют. Apple долго ругали за то, что они не любят неавторизованный ремонт (в последний раз неделю назад, тыц), и, похоже, компания прислушалась к этой критике. Крутая новость.
https://www.apple.com/newsroom/2021/11/apple-announces-self-service-repair/
Сторонники "права на ремонт" ликуют. Apple долго ругали за то, что они не любят неавторизованный ремонт (в последний раз неделю назад, тыц), и, похоже, компания прислушалась к этой критике. Крутая новость.
https://www.apple.com/newsroom/2021/11/apple-announces-self-service-repair/
Корейские исследователи придумали, как при помощи смартфонов, оснащенных датчиком глубины (ToF) искать скрытые камеры в помещениях. Датчик ToF применяется для измерения расстояния до предметов при фокусировке камеры, и такие датчики, например, есть в Samsung S20 и Huawei P30 Pro. Суть метода в том, что линзы скрытых камер создают специфические блики на результирующей карте глубины. Исследователи пишут, что на сканирование одного помещения нужна примерно минута, а в их тестировании они смогли найти 88.9% скрытых камер в помещениях.
Обещают скоро выпустить в открытый доступ приложение для Android, а пока можно почитать исследование (pdf), посмотреть полное видео презентации и пару демонстрационных роликов (1, 2). Очень актуально для гостиниц и посуточных съемных квартир - СМИ регулярно пишут, как постояльцы находят в них установленные хозяевами скрытые камеры.
Ссылки:
https://youtu.be/F4bZwQHBdV4 (короткий ролик 1)
https://youtu.be/AFjGQNaqmXA (короткий ролик 2)
https://youtu.be/t4Txdhlji4k (видео полной презентации с конференции)
https://dl.acm.org/doi/pdf/10.1145/3485730.3485941 (pdf презентации)
Обещают скоро выпустить в открытый доступ приложение для Android, а пока можно почитать исследование (pdf), посмотреть полное видео презентации и пару демонстрационных роликов (1, 2). Очень актуально для гостиниц и посуточных съемных квартир - СМИ регулярно пишут, как постояльцы находят в них установленные хозяевами скрытые камеры.
Ссылки:
https://youtu.be/F4bZwQHBdV4 (короткий ролик 1)
https://youtu.be/AFjGQNaqmXA (короткий ролик 2)
https://youtu.be/t4Txdhlji4k (видео полной презентации с конференции)
https://dl.acm.org/doi/pdf/10.1145/3485730.3485941 (pdf презентации)
DuckDuckGo запускает публичное тестирование новой функции своего Android приложения, которое называется App Tracking Protection. Это полный аналог популярного приложения Tracker Control из репозитория FDroid - локальный VPN, который пускает через себя трафик приложений и блокирует встроенные внешние трекеры, собирающие информацию о пользователе. В анонсе разработчики пишут, что недавно тестировали популярные приложения для Android (правда, не говорят, сколько), и из них 87% стучали в Google и 68% - в Facebook.
Для тестирования функции просят становиться в лист ожидания в приложении DuckDuckGo для Android:
Settings > Privacy > App Tracking Protection > Join the Private Waitlist.
https://spreadprivacy.com/introducing-app-tracking-protection/
Для тестирования функции просят становиться в лист ожидания в приложении DuckDuckGo для Android:
Settings > Privacy > App Tracking Protection > Join the Private Waitlist.
https://spreadprivacy.com/introducing-app-tracking-protection/
Spread Privacy
Introducing App Tracking Protection for Android: The easiest way to block most trackers lurking in your apps
Join the waitlist to try App Tracking Protection for Android today!
Один британский айтишник решил поискать, не лежат ли в Github чьи-нибудь файлы cookies.sqlite. Это файл, в котором браузер Firefox хранит куки-файлы, в том числе авторизационные куки, которых достаточно, чтобы логиниться в аккаунты, не зная пароля. Айтишник запустил поиск, нашел 4.5 тысячи таких файлов, и написал отчет о найденной уязвимости в Github через программу обнаружения уязвимостей HackerOne. А Github ему резонно ответил, денег не дадим, а если пользователи сами выкладывают в паблик свои файлы с авторизационными куками, то это не наша проблема. Тогда айтишник обиделся и дал интервью изданию The Register, а теперь про это пишет Коммерсантъ с комментариями российских безопасников.
Что тут сказать. Новые истории про "дорки" (специальные поиски), чтобы искать пароли пользователей, всплывают постоянно. В этом году в СМИ точно была история про "утечку из Trello", тогда кто-то из компании Infoline искал публичные проиндексированные доски Trello по ключевому слову "пароль" и нашел кучу. Но искать чужие хранилища куки на Github - действительно свежая оригинальная идея, и да, чужие авторизационные куки иногда позволяет обойти двухфакторную. Интересно только, кому и зачем приходит в голову идея синхронизировать свой профиль Firefox в Github.
Ссылки:
https://www.theregister.com/2021/11/18/firefox_cookies_github/
https://www.kommersant.ru/doc/5087736
https://lenta.ru/news/2021/04/20/leak/
Что тут сказать. Новые истории про "дорки" (специальные поиски), чтобы искать пароли пользователей, всплывают постоянно. В этом году в СМИ точно была история про "утечку из Trello", тогда кто-то из компании Infoline искал публичные проиндексированные доски Trello по ключевому слову "пароль" и нашел кучу. Но искать чужие хранилища куки на Github - действительно свежая оригинальная идея, и да, чужие авторизационные куки иногда позволяет обойти двухфакторную. Интересно только, кому и зачем приходит в голову идея синхронизировать свой профиль Firefox в Github.
Ссылки:
https://www.theregister.com/2021/11/18/firefox_cookies_github/
https://www.kommersant.ru/doc/5087736
https://lenta.ru/news/2021/04/20/leak/
Новый материал на Хабре про то, что служба безопасности сервиса Авито теперь просит подозрительные аккаунты предоставлять фото документов и видео своего лица. Автор текста не хочет предоставлять Авито свой паспорт, но нашел аккаунты явных мошенников, которые такую проверку прошли (за нее дают плашку "Документы проверены"), и недоумевает. Как обычно, комментарии интереснее самого материала.
"Сейчас даже у школьника немного погрузившегося в серый/черный арбитраж проблемы генерации фото паспортов с абсолютно любыми данными вообще нет. Подобных сервисов много даже в открытом доступе и они свободно рекламируются в тематических пабликах и видео на ютубе. Стоимость начинается от десятков рублей за фото страницы паспорта. За несколько сотен вам сделают фото и видео с паспортом в руках с заменой лица дипфейком и любыми данными. По большей части вся эта инфраструктура подделки доков существует под фейсбук и платежки."
https://habr.com/ru/post/590201/
"Сейчас даже у школьника немного погрузившегося в серый/черный арбитраж проблемы генерации фото паспортов с абсолютно любыми данными вообще нет. Подобных сервисов много даже в открытом доступе и они свободно рекламируются в тематических пабликах и видео на ютубе. Стоимость начинается от десятков рублей за фото страницы паспорта. За несколько сотен вам сделают фото и видео с паспортом в руках с заменой лица дипфейком и любыми данными. По большей части вся эта инфраструктура подделки доков существует под фейсбук и платежки."
https://habr.com/ru/post/590201/