За даними компанії Check Point, через неправильну конфігурацію низка додатків розкривають конфіденційні дані більше 100 млн. користувачів.

“Не дотримуючись найкращих практик конфігурації і інтегрування сторонніх хмарних сервісів із додатками, розробники ставлять під загрозу персональні дані мільйонів користувачів. У багатьох випадках проблема зачіпає користувачів, але в деяких – і самих розробників. Неправильна конфігурація піддає ризику персональні дані користувачів і внутрішні ресурси розробників, такі як доступ до механізмів оновлення, сховища тощо”,  – повідомили дослідники.

Фахівці вивчили 23 Android-додатки з офіційного магазину Google Play Store, завантажені від 10 тис. до 10 млн. разів, в тому числі Astro Guru, iFax, Logo Maker, Screen Recorder і T’Leva.

Як пояснили дослідники, проблема існує через неправильну конфігурації баз даних в реальному часі, push-повідомлень і ключів хмарного сховища, що призводить до витоку електронних листів, номерів телефонів, розташування, паролів, резервних копій, історій браузера і фотографій.

Завдяки відсутності механізмів аутентифікації дослідникам вдалося отримати дані, що належать користувачам анголського додатку таксі T’Leva, включаючи повідомлення, якими обмінюються водії і пасажири, а також повні імена водіїв, номери телефонів, пункти призначення і місця посадки пасажирів.

Більш того, дослідники виявили, що розробники додатків вбудували ключі, необхідні для відправки push-повідомлень і доступу до хмарним сховищ, прямо в додатку. Це може не тільки спростити зловмисникам відправку повідомлень від імені розробника, але також може бути використано навіть для направлення користувачів на фішингову сторінку, що стане точкою входу для більш складних атак.

Вбудовування ключів доступу до хмарного сховища в додатки також відкриває двері для інших атак, що дозволяють зловмисникам викрадати з хмари дані. Саме це дослідники виявили в двох додатках, Screen Recorder і iFax, завдяки чому їм вдалося отримати доступ до записів екрану і відправленим факсом документам.

Check Point повідомили про свої знахідки розробникам додатків, але лише кілька з них виправили недоліки в конфігурації.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Дані більше 100 млн. користувачів під загрозою через 23 Android-додатки раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Наприклад, додатки будуть надавати інформацію про те, шифруються дані, чи мають до них доступ треті особи і чи можуть користувачі вимагати видалення цієї інформації з бази розробника.

До вступу в силу нових правил пройде ще кілька місяців, оскільки Google має намір надати розробникам достатньо часу для внесення відповідних змін. Згідно з наявними даними, розробники зможуть додавати інформацію про конфіденційність додатків із четвертого кварталу цього року, а користувачам ці дані почнуть демонструватися з першого кварталу наступного року.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як видалити обліковий запис Facebook? – ІНСТРУКЦІЯ

Як синхронізувати вкладки між різними браузерами? – ІНСТРУКЦІЯ

Як зменшити цифровий слід та захистити особисті дані? ПОРАДИ

Instagram як бізнес: у чому секрет успіху в мережі?

Як правильно вибрати ноутбук? ПОРАДИ

До речі, китайського виробника розумних телевізорів Skyworth викрили в шпигунстві за користувачами. Кожні 10 хвилин апарат сканував приміщення з метою пошуку інших пристроїв, підключених до мережі Wi-Fi.

Також фахівець компанії ESET Джейк Мур виявив проблему, коли попросив свою восьмирічну дочку протестувати надійність функції розблокування iPhone за допомогою смарт-годинника Apple Watch, що дозволяє розблокувати смартфон при носінні захисної маски. Дівчинка наділа маску і негайно отримала доступ до татового iPhone, просто змахнувши вгору екран.

Apple випустила нову версію операційної системи iOS для iPhone та iPad. Вона додасть на пристрої низку нових функцій, але головні нововведення стосуються приватності користувачів та захисту їхніх персональних даних.

Окрім цього, зловмисники стали частіше використовувати документи Microsoft Excel (версії 4.0) для поширення шкідливих програм, таких як ZLoader і Quakbot.

Ця стаття В Google Play введуть нові правила безпеки для додатків раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Twitter може виплатити від $150 млн до $250 млн за використання особистих даних користувачів для реклами, пише The Wall Street Journal.

Згідно із заявою, що надійшла в Комісію з цінних паперів і бірж США, 28 липня на адресу Twitter надійшов проект скарги американської Федеральної торгової комісії щодо порушення урядової постанови 2011 року, яка заборонила Twitter вводити користувачів в оману щодо заходів безпеки.

Комісія розглядає питання використання адміністрацією Twitter даних телефонних номерів та/або адрес електронної пошти, що передаються користувачами згідно заходам безпеки соцмережі в період з 2013 по 2019 рік. Компанії загрожує штраф від $150 до $250 млн. після того, як розслідування буде завершено.

У жовтні минулого року Twitter оголосила, що “ненавмисно” використовує адреси електронної пошти і номери телефонів користувачів, наданих їй з метою безпеки, для направлення їм рекламних оголошень.

У той же час Twitter заявив, що подібна практика припинилася, а також було підписано угоду з Федеральною торговою комісією в 2019 році на суму $5 млрд, яка встановлює обмеження на передачу особистих даних користувачів третім сторонам.

Також у Twitter повідомили про отримання проекту скарги від FTC, яка звинуватила їх в порушенні правил угоди, які були підписані компанією з комісією. В угоді зазначено, що вона забороняє компанії вводити в оману споживачів про те, якою мірою вона захищає безпеку, приватність і конфіденційність їх даних.

Це не перший випадок, коли соціальну мережу штрафують за неправомірну передачу даних користувачів. Facebook раніше був змушений заплатити $ 5 млрд за аналогічну передачу даних користувачів рекламним партнерам.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як за допомогою задньої панелі iPhone швидко запускати дії чи команди? – Інструкція

Як уникнути схем шахрайства в Інтернеті? Поради для користувачів старшого покоління

Інтернет-шахраї та псевдоволонтери: як розпізнати благодійну аферу? Поради

Яких заходів потрібно вживати компаніям для протидії та відновленню у випадку кібератак? Поради

Нагадаємо, нову уразливість, яка дозволяє зловмисникам отримати майже повний контроль над Wіndows або Linux системами, виявила компанія Eclypsium. За її словами, уразливими є мільярди пристроїв – від ноутбуків, настільних ПК, серверів і робочих станцій до банкоматів, верстатів з програмним управлінням, томографів та іншого обладнання спеціального призначення, яке використовується в промисловій, медичній, фінансовій та інших галузях.

Окрім цього, команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис. Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.

До речі, нову фішингову кампанію, націлена на користувачів WhatsApp, виявили фахівці з кібербезпеки. Цього разу зловмисники розсилають фішингові повідомлення, використовуючи бренд Nespresso. Жертву запрошують перейти за посиланням і відповісти на кілька запитань, щоб отримати в подарунок кавоварку.

Також співробітники компаній і організацій, які використовують програмне забезпечення Microsoft Office 365, стали жертвами фішинговою кампанії, в рамках якої зловмисники використовують повідомлення-приманки, замасковані під автоматичні повідомлення SharePoint, для крадіжки облікових даних.

Зауважте, що користувачі Microsoft Office 365 звинуватили компанію Microsoft в тому, що вона нібито ділиться бізнес-даними своїх клієнтів з розробниками додатків Facebook, партнерами та субпідрядниками, порушуючи політику конфіденційності.

Ця стаття За розсилку реклами Twitter загрожує штраф $250 тисяч раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин