Для подписчиков Случайным образом, копая очередной BugBounty, я натолкнулся на цепочку уязвимостей в достаточно популярном почтовом клиенте от IT-гиганта Mail.Ru. Эксплуатация уязвимостей из этой цепочки не требовала на устройстве особых прав и могла привести к полной компрометации содержимого почтового ящика жертвы или даже содержимого SD-карты. В статье я опишу методы, с помощью которых были найдены эти уязвимости, вспомогательные тулзы и финальный вектор с демонстрацией на видео.
Сразу несколько исследователей сообщают, что набор эксплоитов Angler, популярнейший инструмент среди киберпреступников, по всей видимости, свернул свою деятельность. Операторы серьезных вредоносных кампаний массово переходят на эксплоит киты Neutrino, RIG и Sundown.
Акция «Бандеролька Гаджетов» позволяет доставлять гаджеты из США по низким ценам. Мы решили разобраться, выгодно ли заказывать часы и фитнес-трекеры из Америки или же проще и дешевле купить в российских интернет-магазинах.
Разработчики сервиса Let’s Encrypt, предоставляющего бесплатные цифровые сертификаты для шифрования трафика по HTTPS всем и бесплатно, допустили досадную ошибку в ходе конфигурации почтовой рассылки. В результате почтовые ящики части пользователей стали известны другим адресатам.
Начало недели ознаменовалось еще одной крупной утечкой данных. Череду масштабных сливов информации продолжает популярный в начале 2000-х и недавно прекративший свою работу файлообменник iMesh. На торговой площадке The Real Deal в даркнете выставлены на продажу данные о 51 млн аккаунтов по цене 0,5 биткоина (порядка $335).
В Apple нашли беспроигрышное направление для атаки на Google — защита персональной информации. Раз Google следит за каждым шагом пользователя, то Apple будет делать всё, чтобы помешать слежке, начиная с повсеместного шифрования и анонимизации и заканчивая переносом интеллектуальных самообучающихся алгоритмов из дата-центров на локальные машины. В этом есть логика: Apple, в отличие от Google, чужие данные не нужны. Эта компания зарабатывает иначе.
После выхода новой версии iOS разработчики приложений смогут делать аддоны для голосового ассистента Siri, карт Apple и стандартного мессенджера, активные уведомления позволят управлять приложениями прямо с экрана блокировки, а Swift Playground научит языку программирования Swift даже ребёнка.
Только на прошлой неделе в мессенджере Facebook была исправлена уязвимость, которая позволяла удалять и подменять любые сообщения пользователей. Теперь бельгийский исследователь Энти де Сёклер рассказал о еще одной проблеме, но ее руководство социальной сети устранять не намерено. Исследователь утверждает, что приватные ссылки, которыми пользователи делятся с друзьями в частном порядке, может увидеть любой желающий.
Многие наверняка помнят историю, широко обсуждавшуюся в рунете прошлой зимой. Тогда сотрудник «Лаборатории Касперского» Олег Горобец заметил в метро человека с подозрительным устройством. По мнению специалиста, тот мог сканировать одежду и сумки пассажиров, в надежде поживиться данными о банковских картах с RFID чипами. Такой вид мошенничества действительно существует. Так, группа хакеров The CC Buddies продает в даркнете новый девайс, который способен клонировать 15 банковских карт в секунду с расстояния в восемь сантиметров.
