Интернет вещей: насколько это безопасно?

[Новичёк]

Google предупреждает об опасности получения Root-прав



Несмотря на то, что Android является достаточно открытой операционной системой, в ней есть свои ограничения и запреты. Благодаря им пользователи не могут удалять важные файлы, вмешиваться в работу приложений или кардинально менять настройки системы. Однако все эти ограничения можно снять, получив права суперпользователя или Root. Но, как отмечают представители Google, получение Root-прав негативно сказывается на безопасности устройства. Хакеры, используя уязвимости ядра и Root, могут получить контроль над смартфоном с помощью простых приложений. Эту информацию уже подтвердили некоторые специалисты по безопасности.

Хорошая новость заключается в том, что Google уже работает над устранением проблемы. Фактически, нужный патч уже готов, но воспользоваться им может лишь малая часть пользователей. Остальным придется ждать выхода официального обновления безопасности Android.

Первыми "заплатку" смогут установить пользователи устройств линейки Nexus, а остальные должны будут подождать, пока производители протестируют патч и начнут его рассылку.

Источник: engadget.com

[Новичёк]

Хакеры отыскали возможность взлома миллионов iPhone и iPad



Специалисты компании Check Point нашли новую опасную уязвимость в операционной системе iOS, которая возможно будет использована преступниками для установки вредоносных приложений на iPhone и iPad.

Этой новой бреши в системе дали имя SideStepper. Именно она дает возможность злоумышленникам обходить добавленные в iOS 9.3 улучшения безопасности. С помощью новой программы у взломщиков появилась возможность сымитировать особые команды корпоративных систем управления и посредством сотовой сети оснастить смартфон зараженным приложением, как будто подтвержденным корпоративным сертификатом.

«В зоне потенциального риска находятся миллионы iPhone и iPad, которые используют корпоративные системы управления, сообщают эксперты компании. Чтобы заразить «яблочное» устройство, хакерам придется буквально заставить пользователя перейти по определенной ссылке (она может находиться в СМС-сообщении или электронном письме), после чего на гаджет владельца автоматически установится специальный профиль, который и позволит без проблем скачивать вредоносные приложения», — сообщают аналитики в своем блоге.

Благодаря уязвимости взломщики получат возможность записывать нажатия клавиш (чтобы узнать пароли от сайтов, бизнес-приложений, банковских карт и т.д.), делать скриншоты экрана, сохранять и передавать на свой удаленный сервер конфиденциальные сведения, в том числе документы и снимки. Помимо этого, хакеры смогут удаленно включать микрофон гаджета и включать камеру, записывая все происходящее.

Источник: iGeek.ru

[Новичёк]

Вор угнал машину с помощью ноутбука: видео с камеры наблюдения

Казалось бы, последние достижения в области компьютерных технологий должны сделать современные автомобили более защищёнными от угона. Однако недавний случай в штате Техас показывает, что угонщики тоже идут в ногу со временем.



На видео попал эпизод быстрого и неприметного угона в пригороде Хьюстона (США). Уличная камера видеонаблюдения запечатлела, как ночью к белому Jeep Wrangler 2010 года подошёл человек с обычным ноутбуком, быстро открыл дверь и забрался внутрь. Расположившись на водительском сиденье, он невозмутимо открыл ноутбук и, очевидно, подключил его к диагностическому разъёму внедорожника.

Вскоре «аварийка» отключилась, а после нескольких минут работы с компьютером двигатель завёлся и угонщик неторопливо уехал на Jeep в неизвестном направлении. Полиция Хьюстона сообщает, что это не первый случай угона Wrangler и Cherokee в городе, совершённый аналогичным образом, а сотрудник концерна Fiat Chrysler предположил, что таким способом воры с помощью ноутбука «привязали» принесённый с собой ключ к автомобилю и получили полный контроль над внедорожником.

[Новичёк]

МТС обвинила мошенников в подписывании абонентов на платные услуги



«Лаборатория Касперского» сообщила о том, что совместно с российским МТС ей удалось раскрыть мошенническую схему, позволявшую злоумышленникам без ведома абонентов подписывать их на платные контент-услуги. Виноват во всем оказался штатный браузер, который по умолчанию установлен в Android.

По данным экспертов, в браузере AOSP, применяемом в не обновленных до Android 5.0 операционных системах, существует уязвимость, обнаруженная еще два года назад. Благодаря ей вредоносный код с сайта злоумышленников мог исполняться на легитимной веб-странице сотового оператора. Кнопку «Да» на странице платной подписки нажимал именно вредонос, тогда как пользователь даже не видел запроса на согласие, а только получал SMS-уведомление о платной подписке. Тогда как в браузере Chrome все отображалось корректно, и пользователь мог принять решение самостоятельно.

Утверждается, что МТС уже принял меры, которые позволили осадить мошенников. Те в свою очередь убрали вредоносный код со своей страницы.

«Если учесть, что производители бюджетных версий смартфонов не всегда вовремя выпускают обновления для штатного ПО, а пользователи отнюдь не торопятся устанавливать эти обновления, то можно предположить, что в группе потенциального риска во всем мире оказывается почти 500 миллионов устройств, на которых по умолчанию установлен браузер AOSP», — заявил Денис Горчаков, старший аналитик «Лаборатории Касперского».

Эксперты советуют отказаться от использования браузера AOSP и перейти на любой другой современный браузер.

Источник: onliner

[Новичёк]

18+

«Умный» вибратор We-Vibe 4 Plus шпионит за пользователем



Пока популярные мессенджеры и социальные сети обеспокоены вопросом конфиденциальности, продолжая убеждать пользователя в самых надежных алгоритмах шифрования, где-то в параллельной вселенной вполне успешно развивается новая категория устройств — «умных» интимных игрушек.

Ветеран и заслуженный лидер целой индустрии, компания We-Vibe за последние несколько лет успела представить внушительный ассортимент гаджетов для сексуальных утех. На днях же выяснилось, что один из продуктов бренда, беспроводная секс-игрушка We-Vibe 4 Plus, собирает немало данных о своем владельце.

В процессе эксплуатации We-Vibe 4 Plus фиксирует сразу несколько показателей: уровень питания, режим используемой вибрации, температуру. Все эти данные ежеминутно отправляются на сервера компании. Любопытно, что при контакте с телом человека компания We-Vibe может легко узнать о том, что пользователь в режиме реального времени использует гаджет.



Игрушка-то интимная, а вот с конфиденциальностью не все так просто. Подобные устройства официально запрещены в некоторых регионах и целых странах, среди которых: Индия, штат Алабама (США), Филиппины. We-Vibe же оставляет за собой право передавать полученные данные властям.

Проблема заключается и в том, что для соединения со смартфоном вся серия гаджетов We-Vibe использует несколько устаревший протокол Bluetooth, работающий на частоте в 2,4 ГГц. Взломать такой протокол, с последовательной передачей восьми байт данных, для хакера среднего звена несложно. И как бы парадоксально это не звучал, при перехвате доступа к такому устройству злоумышленник может попасть под статью «насилие».

На дворе XXI век и достижения в мире электроники вынужденно вносят свои коррективы в закон.

Источник: EG

[Новичёк]

Google стала невольным распространителем нового вируса для Android



Эксперты Лаборатории Касперского обнаружили очередной вирус для ОС Android, способный перехватывать входящие и исходящие сообщения, а также взаимодействовать с платежной информацией пользователя. Особый трепет специалистов троян вызывает по двум причинам. Во-первых, он способен своевременно удалять предупреждения банка о взломе. А во-вторых, способ его проникновения на устройство кажется весьма и весьма примитивным.


Как сообщают специалисты, вредоносная программа попадает на устройство через браузер во время просмотра рекламных объявлений AdSense от Google. Данный сервис используется подавляющим большинство новостных сайтов, отслеживающих поисковую активность читателей и предлагающих тем наиболее релевантные объявления. Загрузка трояна, а также последующая распаковка его компонентов и проникновение к корневому сертификату устройства происходят автоматически.

Вредоносные объявления, невольным распространителем которых становится сама Google, способны появляться даже на таких известных порталах, как Russia Today. При этом обнаружить троян на устройстве после его установки бывает достаточно сложно, поскольку он никак не проявляет себя даже после захвата банковских счетов своих жертв. Исчезая из списка установленных программ, вирус ведет полностью автономный образ жизни, не появляясь даже в списках запущенных.

Уберечь себя от действия вируса при этом достаточно просто. Для этого следует запретить устройству скачивать приложения от неизвестных разработчиков. Данная функция является активной по умолчанию на всех устройствах с предустановленной версией Android 4.2 и новее, однако настоятельно рекомендуем убедиться в ее работоспособности. Пользователи устройств на базе более ранних итераций Android могут обезопасить себя, подключив проверку разработчиков вручную.

По материалам Business Insider

[Новичёк]

В ЦБ предупредили о рисках мошенничества через «умные кофеварки»



Мошенники, получив дистанционный доступ к «умным кофеваркам», получают доступ к данным смартфонов и могут проводить незаконные операции с банковскими счетами. Об этом предупредил заместитель начальника ГУБиЗИ Банка России Артем Сычев в ходе Международного банковского форума в Сочи.

По словам представителя ЦБ, мошенничество со счетами банковских клиентов все больше переходит в виртуальную реальность.

«Захват «умной кофеварки», которая находится в той же самой сети, в которой находится ваш смартфон, с которого вы совершаете трансакции, дает возможность злоумышленникам, пользуясь этой «умной кофеваркой», отследить данные смартфона и потом свободно пользоваться всеми учетными данными (в том числе по счетам. — Прим. ред.)», — сказал Сычев.

Он пояснил, что такое возможно из-за отсутствия должного шифрования данных, которыми обменивается приложение для смартфонов с банками и иными организациями.

«Умная кофеварка» — устройство для приготовления кофе, управлять которым можно с помощью мобильного приложения на смартфонах.

Источник: Banki.ru

[Новичёк]

Китайские хакеры удаленно взломали Tesla Model S

Команда китайских хакеров со светлой стороны Силы из компании Keen Security Lab поделились результатами нескольких месяцев углубленного изучения ПО электромобилей Tesla. По словам исследователей, они обнаружили множество уязвимостей в системе безопасности. Эти уязвимости были успешно использованы во время показательного удаленного взлома Tesla Model S.



Хакеры не использовали никакого физического контакта с автомобилем и не модифицировали его, но смогли захватить контроль над компьютерной системой.

Команды отправлялись через CAN-шину, отвечающую за контроль большого количества функций. Хакеры смогли удаленно включать поворотники, управлять мультимедиасистемой и дисплеем приборной панели, открывать панорамный люк, регулировать сиденья и открывать двери. Во время движения автомобиля хакеры включили дворники, сложили зеркало заднего вида, открыли багажник и даже получили удаленное управление тормозной системой. Оператор, находящийся за 20 км от электрокара, смог произвести экстренное торможение автомобиля.

Как отмечает Keen Security Lab, перед тем, как видео стало доступно общественности, Tesla уже выпустила обновление, в котором найденный уязвимости исправляются.



Источник: Keen Security Lab

[Новичёк]

Тебя могут прослушивать через наушники



Люди, переживающие за сосбственную безопасность и конфиденциальность уже последовали примеру Марка Цукерберга, заклеившего веб-камеру на своём ноутбуке.

Некоторые даже отключают микрофоны от своих устройств в надежде спастись от глобальной слежки. К сожалению, это тоже не поможет.

Группа израильских ученых нашла способ следить за пользователем через наушники, подключённые к компьютеру.

Энтузиасты из Университета имени Бен-Гуриона написали код под названием Speake(a)r. Он наглядно демонстрирует метод прослушки жертвы через подключённые внутриканальные наушники. Причем не только в реальном времени, но и с возможностью записи.

Экспериментальный вредонос конвертирует воздушные вибрации в электромагнитные волны для захвата звука в радиусе 6 метров.

Но вирус оказался не так прост, как кажется. Он не просто превращает вибрации в цифровые данные, но и способен изменить аппаратную часть компьютера: разъём для наушников начинает работать словно порт для микрофона. Для конвертации используется чип RealTek audio, встроенный в материнскую плату.

Глава исследовательской группы отметил, что RealTek даже не пыталась защитить свой чип от взлома. Так что единственным решением будет убедить производителей исправить эту проблему аппаратно. Программно решить вопрос нельзя.

От вируса не застрахован никто. Будь то пользователь Windows или MacOS.

В подтверждение своих слов разработчики опубликовали на YouTube ролик, в котором включили видео на телевизоре. Параллельно с этим работал их вредонос и программа для тестирования микрофона. Удивительно, но отключив последний от компьютера, звук все ещё продолжал записываться.



Источник: Wired

===============================================

В общем-то ничего удивительного здесь нет, поскольку современные аудио подсистемы компьютеров уже давно позволяют переназначать входы и выходы в произвольном порядке, а также определять, что же подключено к данному входу/выходу. Определив, что к данному выходу подключены наушники, переназначаем его на микрофонный вход и включаем на запись. Поскольку электродинамический капсюль, используемый в наушниках, является обратимой системой, то он прекрасно работает и как микрофон!

[Новичёк]

ФБР получило разрешение взламывать компьютеры и телефоны по всему миру


Фото: Kim Hong-Ji / Reuters

Верховный суд США одобрил поправку к федеральному уголовно-процессуальному праву в виде статьи 41, позволяющей ФБР взламывать компьютеры и телефоны по всему миру. Об этом сообщает Reuters.

Теперь сотрудники спецслужбы через любой американский суд могут получать формальное разрешение на взлом устройства не только на территории США, но и за ее пределами. Раньше агентам бюро приходилось получать ордер на взлом гаджета только через тот суд, к которому подозреваемый был привязан территориально.

Reuters отмечает, что в течение полугода сенатор-демократ Рон Уайден (Ron Wyden) трижды пытался остановить принятие поправки, однако его решение каждый раз оспаривалось сенатором от Республиканской партии Джоном Корнином (John Cornyn).

По словам Уайдена, данная поправка — одна из самых больших ошибок США за последние несколько лет. «Правительство получит беспрецедентное право взламывать ПК граждан Америки, их личные телефоны и другие устройства», — отметил он.

Сенатор добавил, что подобные полномочия в руках такого президента, как Дональд Трамп, который не раз открыто заявлял о намерении взламывать устройства своих политических оппонентов, кажутся ему опасными.

В конце августа ФБР обвинили в распространении детской порнографии в «темном» сегменте интернета. Вместо блокировки ресурса с детской порнографией Playpen сотрудники бюро занялись слежкой за его посетителями. Таким образом они планировали вычислить как можно больше пользователей, интересующихся запрещенным контентом. В результате действий ФБР число посетителей выросло с 11 до 50 тысяч человек в неделю, а число зарегистрированных пользователей увеличилось на 30 процентов.

Источник: Lenta.Ru