Инфобездна

В Android появится защита на случай кражи или потери устройства ⚡️ Google включила во вторую бета-версию Android 15 функцию, которая может обнаружить момент кражи смартфона. Опция будет доступна и для телефонов с более старыми версиями ОС. ➡️ Функция блокировки обнаружения кражи распознает необычные движения, которые указывают на то, что кто-то вырвал устройство из рук или схватил его со стола. Чтобы вор не смог получить доступ к информации на смартфоне, экран автоматически блокируется. Система сможет заблокировать телефон, если кто-то попытается отключить его от сети. ➡️ Google также представила новый способ удалённой блокировки экрана, если он попадёт в чужие руки. Посетив сайт android.com/lock, можно ввести свой номер телефона и ответить на запрос безопасности, чтобы заблокировать устройство. Все функции появятся позднее в этом году вместе с обновлением сервисов Google Play для телефонов под управлением Android 10 или более поздних версий. В Android 15 также представлены новые функции безопасности, в том числе «личные пространства», которые позволяют размещать приложения и информацию в отдельной скрытой области и блокировать её с помощью уникального PIN-кода. ➡️ Google также добавит защиту на случай принудительной перезагрузки телефона, требуя учётные данные владельца при следующей настройке. ➡️ Android Play Protect получит обновление, предназначенное для защиты пользователей от злоумышленников, «расширяя возможности искусственного интеллекта на устройстве за счёт обнаружения угроз Google Play Protect в реальном времени». Функция будет отслеживать, как приложения используют конфиденциальные разрешения на смартфоне, используя Private Compute Core без сбора данных. Потенциально вредоносные приложения будут передаваться Google для дальнейшей проверки. Опция будет поддерживаться на устройствах Google Pixel, Honor, Lenovo, Nothing, OnePlus, Oppo, Sharp, Transsion и других. 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

В Wi-Fi нашли уязвимость SSID Confusion, позволяющую «слушать» чужой трафик ⚠️ 👉 Уязвимость CVE-2023-52424 затрагивает все операционные системы и Wi-Fi клиенты Суть атаки заключается в том, чтобы «вынудить жертву осуществить даунгрейд и переключиться на менее защищенную сеть, подменив имя доверенной сети (SSID), чтобы перехватить трафик или осуществить дальнейшие атаки», — говорится в докладе компании Top10VPN. ➡️ Проблема, лежащая в основе этой атаки, заключается в том, что стандарт Wi-Fi не требует, чтобы SSID всегда проходил аутентификацию, и это требуется лишь тогда, когда устройство присоединяется к определенной сети. ➡️ В результате злоумышленник может обманом заставить пользователя подключиться к недоверенной сети Wi-Fi, а не к той, к которой он собирался подключиться изначально, осуществив атаку типа «противник посередине» (adversary-in-the-middle, AitM). 👉 Для защиты от SSID Confusion исследователи предлагают обновить стандарт Wi-Fi 802.11, включив SSID в четырехсторнний хендшейк, который используется при подключении к защищенным сетям, а также усовершенствовать защиту маяков (beacon), чтобы «клиент мог хранить эталонный маяк, содержащий SSID сети, и проверять его подлинность во время четырехсторннего хендшейка». 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

OWASP dep-scan: инструмент аудита безопасности с открытым исходным кодом ⭐️ OWASP Dependency-Scan (OWASP dep-scan) - инструмент с открытым исходным кодом для анализа безопасности и оценки рисков программных проектов. Он сканирует зависимости проекта, включая внешние библиотеки и фреймворки, и проверяет их на наличие известных уязвимостей, несоответствий рекомендациям безопасности и нарушений лицензионных ограничений. ➡️ Поддерживает локальные репозитории пакетов, такие как Maven, NPM, NuGet и др. Может анализировать образы контейнеров, что делает его совместимым с платформами для автоматизированного создания, развертывания и управления контейнерами (ASPM/VM). ➡️ Гибкая интеграция с системами непрерывной интеграции и непрерывной доставки (CI/CD). OWASP dep-scan может быть легко встроен в процессы разработки ПО. Источники данных для получения информации о уязвимостях: ▫️OSV ▫️NVD ▫️GitHub ▫️NPM ▫️Linux vuln-list (с опцией --cache-os) ➡️ Широкая совместимость с различными языками программирования и конфигурациями исходного кода. Dep-scan использует фреймворк cdxgen для создания спецификаций ПО (SBOM), что позволяет поддерживать многочисленные языки, среды разработки и типы проектов. 1️⃣ Гибкие возможности экспорта результатов анализа в различных форматах, включая настраиваемые отчеты на основе шаблонизатора Jinja, JSON-документы в соответствии со стандартами CycloneDX Vulnerability Disclosure Report (VDR) и Common Security Advisory Framework (CSAF) 2.0. 2️⃣ Анализ доступности исходного кода с использованием фреймворка AppThreat/atom для генерации фрагментов кода, что помогает выявить уязвимости, связанные с неправильным использованием безопасных API или отсутствием необходимых проверок входных данных. 3️⃣ Углубленный аудит пакетов на предмет рисков, связанных с путаницей зависимостей и рисками обслуживания. OWASP dep-scan доступен бесплатно на GitHub 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

Каждый третий москвич сталкивался с обманом при покупках на маркетплейсах 🥸 Треть москвичей (30%) сталкивались с обманом при покупке товаров на популярных маркетплейсах. При этом половина опрошенных (48%) довольна работой интернет-магазинов, еще 40% оценивают их работу удовлетворительно, 5% считают ее плохой, – таковы результаты опроса ADG group о покупках москвичей в сети, проведенного ко дню интернета. Каждый десятый москвич (11%) тратит на покупки онлайн до 1000 рублей в месяц, треть (29%) – от 1000 до 5000 рублей, четверть (27%) – больше 5000 рублей, каждый пятый респондент (21%) – больше 10000 рублей. Каждый десятый (8%) участник опроса сказал, что тратит не менее 50000 рублей в месяц на покупку товаров в сети. Еще 4% опрошенных заявили, что размер их ежемесячного бюджета на онлайн-шопинг превышает 100000 рублей. Москвичи чаще покупают в сети одежду и обувь (80% опрошенных заказывают онлайн против 72% офлайн), товары для детей (51% онлайн / 38% офлайн), книги (46% онлайн / 22% офлайн), электронику (44% онлайн / 38% офлайн) и зоотовары (27% онлайн / 18% офлайн). При этом большинство москвичей к числу преимуществ традиционной розницы по сравнению с маркетплейсами относят возможность проверить качество товара (73% опрошенных), отсутствие необходимости ждать доставку (55%), простоту процедуры возврата покупок по сравнению с заказами онлайн (27%), отсутствие риска нарваться на мошенников (26%). 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

Stack Overflow банит пользователей, недовольных партнерством ресурса с OpenAI ‼️ 6 мая 2024 года Stack Overflow и OpenAI объявили о сотрудничестве. ChatGPT будут напрямую обучать на ответах со Stack Overflow. OpenAI получит доступ к API-интерфейсу Stack Overflow и отзывам разработчиков, а система StackCommerce получит ссылки в ChatGPT на исходные материалы и доступ к использованию моделей OpenAI в рамках своей новой платформы OverflowAI. Эта сделка обеспокоила сообщество Stack Overflow, так как пользователи сочли неправильным, что OpenAI будет извлекать прибыль из их контента без разрешения. В результате, после анонса многие пользователи решили удалить свои вопросы и ответы с платформы, в том числе и те, которые набрали большое количество голосов. Теперь платформа Stack Overflow начала блокировать пользователей после попытки редактирования сообщений с самым высоким рейтингом в знак протеста. Модераторы оперативно восстанавливают сообщения и ограничивают доступ к ним авторов. ➡️ Многие тут же вспомнили о GDPR («Общий регламент по защите данных»), который предоставляет пользователям из ЕС «право на забвение». Т. е. сайты обязаны удовлетворять запросы на удаление личных данных пользователей по их просьбе, которые могут включать сообщения на форумах и другой пользовательский контент. ➡️ Однако в GDPR также говорится, что сайт имеет право не удалять данные, если это необходимо для «осуществления права на свободу слова и информации». А в условиях предоставления услуг на Stack Overflow есть пункт, предусматривающий безотзывное право собственности Stack Overflow на весь контент, который пользователи предоставляют сайту. 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

ФБР уже во второй раз закрывает BreachForums ⚡️ ФБР снова арестовало домены хакерского форума BreachForums (он же Breached), через который хакеры продавали украденные данные другим киберпреступникам. C 15 мая на веб-сайте BreachForums отображается баннер с сообщением о том, что ФБР взяло под свой контроль его и внутренние данные, что указывает на то, что агентство конфисковало как серверы, так и домены сайта. ФБР также наложило арест на Telegram-канал сайта и другие каналы, принадлежащие Baphomet. Также сообщается об его аресте, что подтверждается тем, что некоторые сообщения правоохранительных органов поступали с его аккаунта. В специальном поддомене на портале IC3 ФБР указано, что расследование ведётся по хакерским форумам BreachForums и Raidforums. Агентство отметило, что ранее, с марта 2022 года по март 2023 года отдельная команда BreachForums управляла аналогичным хакерским форумом, который был закрыт, а его создатель арестован и приговорён в январе этого года к тюремному заключению сроком на 20 лет. Предшественник обеих версий BreachForums — хакерский форум Raidforums — работал с начала 2015 года по февраль 2022 года. 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

iOS 17.5 возвращает удалённые фото даже на отформатированных и проданных устройствах Пользователь Reddit полностью удалил все данные на своём iPad в соответствии с рекомендациями Apple ещё в сентябре 2023 года, а потом продал его другу. На этой неделе друг обновил iPad до iPadOS 17.5, и в приложении «Фото» появились фотографии, сделанные первым владельцем. Новый пользователь не знает его Apple ID, и никак не мог войти в чужой iCloud. Другие пользователи также пишут, что видели фотографии многолетней давности, которые снова появлялись в «Фото». Некоторые также сообщают, что наблюдали такой баг и ранее, но настолько масштабным он стал только сейчас. Предполагается, что устройства Apple хранят удалённые фотографии 30 дней, а потом полностью стирают их автоматически, но теперь появляются вопросы. Apple пока не даёт комментариев по этой ситуации.

Хакеры ликуют: NVD захлебнулся в бэклоге из уязвимостей 😱 NVD, национальная база данных уязвимостей США, управляемая Национальным институтом стандартов и технологий (NIST), столкнулась с серьёзными проблемами в обработке данных. На протяжении последних трёх месяцев, начиная с середины февраля 2024 года, база переживает значительные задержки в публикации новых уязвимостей. Эти задержки начались из-за перехода к новому формату данных CVE — JSON, что привело к полной остановке публикаций с 9 мая. ⚠️ С начала года из 14 286 полученных уведомлений об уязвимостях было обработано лишь 4524, оставляя значительное количество критических данных неопубликованными. Эммануэль Чавойя, генеральный директор RiskHorizon.ai, подчеркнул, что необработанные уязвимости уже активно эксплуатируются злоумышленниками. В ответ на проблемы с задержками NIST недавно возобновил публикации после завершения обновления системы 14 мая. Однако, чтобы справиться с накопленным бэклогом, был создан специальный консорциум. ➡️ Компания RiskHorizon.ai разработала платформу «NVD Backlog Tracker», которая анализирует и публикует информацию о 85% необработанных уязвимостей. Эта услуга платная, но она предоставляет критически важные данные о критичности уязвимостей и их эксплуатации. Другие организации, такие как Trend Micro и VulnCheck, также предложили свои ресурсы для мониторинга уязвимостей. ➡️ CISA и MITRE приняли дополнительные меры для улучшения ситуации. CISA запустила программу Vulnrichment, которая добавляет метаданные к уязвимостям, а MITRE обновила правила для организаций, присваивающих CVE, чтобы повысить эффективность и скорость обработки уязвимостей. Эксперты подчеркивают, что для полного решения проблемы необходимо автоматизировать процесс обнаружения и публикации уязвимостей, что позволит оперативнее реагировать на новые угрозы и минимизировать возможности для их эксплуатации злоумышленниками. 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен

Анекдот: разработчики Rabbit R1 стали посмешищем после презентации новой фичи их «гаджета». Наберите полную грудь: чтобы обработать таблицу с помощью их нейросети, нужно сделать фото, голосом проговорить изменения и получить результат... на почту. И так после каждой правки. Премию за худший пользовательский опыт в студию! @exploitex

Gitee.ru: китайская альтернатива GitHub теперь доступна в России ‼️ Китайская компания OSChina, крупнейший разработчик платформы для хранения и разработки открытого исходного кода, начала свою работу в России. В партнерстве с российской 3Logic Group и её структурой Xellon был запущен сервис gitee.ru. Локализованное хранение данных будет осуществляться в дата-центре в Москве. ➡️ Проект позволит российским разработчикам использовать открытое ПО китайской платформы, включая библиотеку для работы с искусственным интеллектом (ИИ) Hugging Face. ➡️ Первым набором локализованных проектов станут наиболее популярные разработки с gitee.com: операционные системы, базы данных и решения для контейнеризации. До конца 2024 года на платформе gitee.ru планируется разместить 100 тысяч локализованных проектов с открытым исходным кодом, предлагая как бесплатные, так и платные услуги хостинга и работы с репозиториями, сообщил руководитель проекта gitee.ru Александр Калошин. Один из собеседников в крупной IT-компании считает, что проект может стать началом системной экспансии китайских корпораций на российский IT-рынок, затрагивая практически все сегменты от открытого кода до средств разработки, платформ виртуализации и процессоров. С одной стороны, это имеет плюсы, но также может создать серьезные угрозы для развития отечественных технологий. 😉👍 Подписывайтесь на @infobezdna YouTube 📹| VK 💬| VK video | Дзен