отчет о том, как различные правоохранительные ветки в США (миграционная служба, пограничная служба, Секретная служба) скупают данные о геолоакции, собранные различными приложениями на смартфонах пользователей. Отчет подготовлен офисом генерального инспектора АНБ
www.documentcloud.org
https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
www.documentcloud.org
https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
Не новое, но хорошее, и я, кажется, это когда-то пропустил, да и полезное напоминание, что ТГ продолжает раскрывать IP адрес пользователя благодаря настройке использования peer to peer для звонков
n0a.pw
“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
n0a.pw
“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram
n0a // Denis Simonov // Cybersecurity specialist // Researcher
Telegram: получаем IP адрес собеседника
Рассказываю о том, как мне удалось определить IP адрес своего собеседника в Telegram при помощи аудио вызова в мессенджере. Плюс написал bash-скрипт для автоматизации.
тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.
last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
last-chance-for-eidas.org
Last Chance for eIDAS
13 days before the first eIDAS vote, still no public text
да что вы знаете о кибербезопасности. ФБ нашел пост 10-летней давности про шутку о совпадении чисел 11 декабря 2013 года — в определенное время могла получиться длинная последовательность последовательных чисел. причем это даже был репост из твиттера с комментарием. И решил, что это имеет какоето отношение к кибербезопасности.
И так у них все.
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
И так у них все.
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился
arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Ars Technica
Nothing’s iMessage app was a security catastrophe, taken down in 24 hours
Nothing promised end-to-end encryption, then stored texts publicly in plaintext.
кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.
blackwinghq.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
blackwinghq.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Blackwinghq
A Touch of Pwn - Part I
Blackwing Intelligence provides high-end security engineering, analysis, and research services for engineering focused organizations
очень интересная история, которая сегодня перешла в публичное обсуждение. Офис американского сенатора Роя Вайдена получил информацию о том, что существует программа, в рамках которой правительство США запрашивает у Google и Apple информацию о пуш-уведомлениях, которые компании рассылают пользователям. в рамках офиса они провели расследование, и призвали правительство разрешить компаниям информировать пользователей об этой программе.
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
www.documentcloud.org
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
Похоже, что сами уведомления, которые в случае Apple используют Apple Push Notification Service, а в случае Android — Google’Firebase Cloud Messaging, зашифрованы и доступа к содержимому нет. Но даже мета-данные уведомлений могут предоставить заинтересованной стороне много полезной информации — например, второго участника переписки, информацию о приложениях, которые используют пользователи (и получают от них уведомления. Если это приложение о доставке чего-то, то можно, наверно, вычислить примерное местоположение, и тд.
И Google, и Apple подтвердили, что подобная программа была запрещена к разглашению указанием правительства. Поэтому, например, Apple не могла указывать ее в ежегодном отчете о "прозрачности", что, конечно, вызывает вопрос о том, что еще компании не могут указывать в таких отчетах, и какая реальная ценность этих отчетов в таком случае. как минимум, в случае с этой историей, Apple теперь будет вынуждена включать информацию об этой программе в своем отчете.
письмо из офиса сенатора:
www.documentcloud.org
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------
www.documentcloud.org
Wyden letter to Department of Justice regarding smartphone push notification surveillance
This is a Dec. 6, 2023 letter from Oregon Senator Ron Wyden asking the Department of Justice to lift any existing restrictions around discussions of push notification surveillance.
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность использовать 5G. Иногда - ребут модема.
asset-group.github.io
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
asset-group.github.io
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Telegram
Информация опасносте
красивое название у уязвимости (точнее, набора из 14) — 5Ghoul. Уязвимость в 5G модемах Qualcomm и MediaTek, которая затрагивает сотни смартфонов на Android и iOS, и другие устройства. основной результат эксплуатации — denial of service, то есть невозможность…