Журнал "Директор по безопасности" Август_2019 - Page 5

Китайская полиция устанавливает шпионское ПО на смартфоны граждан Китайская полиция устанавливает шпионское ПО на смартфоны обыч- ных граждан, не подозреваемых в совершении каких-либо преступле- ний, и копирует все хранящиеся на устройствах данные. Как сообщает исследователь без- о-пасности Батист Робер (Baptiste Robert), использующий псевдоним Elliot Alderson, Android-приложение MFSocket предоставляет полицейским доступ к изображениям, аудиофай- лам, геолокационным данным, журна- лу звонков, сообщениям, календарю и спискам контактов, в том числе поль- зователей Telegram. Кроме того, при- ложение запрашивает разрешения на такие действия, как отключение экра- на блокировки, установка дополни- тельных программ и пр. Впервые о MFSocket стало известно 21 июня нынешнего года от китайской журналистки Муйи Сяо. Журналистка сообщила о жалобах жителей Шанхая и Пекина на массовые проверки их смартфонов полицейскими. «Вчера компания попросила нас пойти в по- лицейский участок, и полиция устано- вила ПО под названием MFSocket», – гласит одна из жалоб.Разработчиком приложения является нашумевшая компания Meiya Pico, обеспечивающая китайские правоохранительные ор- ганы инструментами для проведения криминалистической экспертизы. Securitylab.ru Сообщение в iMessage может превратить iPhone в кирпич Исследовательница из Google Project Zero Натали Силванович (Natalie Silvanovich) обнаружила уязвимость в сервисе iMessage, с помощью ко- торой можно полностью вывести из строя iPhone. «Метод – [IMBalloonPluginDataSource individualPreviewSummary] в IMCore может вызвать NSException из-за не- корректно сконфигурированного со- общения, содержащего атрибут с клю- чом IMExtensionPayloadLocalizedDes criptionTextKey, значением которого не является NSString. Этот метод вы- зывает [IMBalloonPluginDataSource _summaryText], без проверки воз- вращающий атрибут в качестве строки. Метод затем вызывает – [IMBalloonPluginDataSource _replac eHandleWithContactNameInString:], вызывающий im_handleIdentifiers в ‘NSString’, который на самом деле яв- ляется NSNumber, вызывающим исклю- чение, поскольку селектора для данно- го класса не существует. В результате на Mac процесс soagent аварийно завершается и возобновляется сно- ва, но на iPhone этот код находится в Springboard», – сообщила Силванович. Springboard – iOS-приложение, от- вечающее за домашний экран. По- лучив вышеупомянутое сообщение, Springboard начинает непрерывно за- вершать и возобновлять работу, из-за чего пользовательский интерфейс не отображается, а iPhone перестает реаги- ровать на действия пользователя. Жест- кая перезагрузка не решает проблему. Securitylab.ru Минфин выступил за ужесточение ответственности для нелегальных кредиторов Заместитель министра финансов Алексей Моисеев заявил, что увеличе- ние размера административной ответ- ственности для «черных кредиторов» и введение уголовной – первоочеред- ная мера для уменьшения рисков по- требительского кредитования. В кулуарах Международного фи- нансового конгресса замминистра от- метил, что существующая администра- тивная ответственность в виде штрафа до 50 000 руб. для должностных лиц и до 500 000 руб. для юрлиц – недостаточное наказание, поскольку его размер несопоставим с доходом таких кредиторов, передает ТАСС. К нелегальным заимодавцам относятся организации, которые не находятся в реестре ЦБ и специализируются на бы- строй выдаче кредитов. Деятельность таких фирм никак не регулируется, поскольку они находятся в «серой зоне» (цитата Моисеева по ТАСС). Генпрокуратура еще прошлым ле- том в своем письме Минфину пред- ложила ужесточить ответственность за подпольную выдачу потребительских кредитов, вплоть до уголовной.  В апреле этого года ЦБ поддержал эту инициативу, предложив поднять размер штрафа до 2 млн руб., переда- ет РБК. Главная причина – резко уве- личившееся число нелегальных креди- торов. По данным ТАСС, в 2018 году ЦБ выявил на 70 % больше нарушите- лей, чем в 2017 году. Право.ru Amazon хранит аудиозаписи запросов пользователей Alexa даже после их удаления Amazon продолжает хранить аудио- записи запросов пользователей Alexa даже после того, как они их удали- ли. Об этом вице-президент Amazon Брайан Хаусман (Brian Huseman) со- общил в письме сенатору от штата Делавэр Крису Кунсу. Кунс поднял вопрос о том, как Alexa обращается с данными пользовате- лей и как долго они хранятся на сер- верах компании, пишет Digit. В ответ сенатор получил от компании под- тверждение, что голосовой помощник продолжает хранить расшифровки ау- диозаписей даже после того, как поль- зователь их удалит. «Мы сохраняем голосовые записи клиента, пока клиент не решит уда- лить их. Когда клиент удаляет голосо- вую запись, мы удаляем расшифров- ки, связанные с его учетной записью, как из запросов клиента, так и из от- вета Alexa», – сообщается в письме от Amazon. Хотя пользователям и предо- ставляется возможность удалять свои аудиозаписи, это вовсе не значит, что компания удаляет их со своих серве- ров. «Мы все же можем хранить дру- гие записи о взаимодействии клиентов с Alexa, в том числе записи о действи- ях, предпринятых Alexa в ответ на за- прос клиента», – говорится в письме. По словам Хаусмана, Amazon хра- нит записи и расшифровки с целью обеспечения прозрачности для своих пользователей относительно того, что Alexa «думала, что услышала» и что предоставила в качестве ответа. Компания также хранит данные для тренировки своих систем машинного обучения, чтобы они лучше понимали вариации речи «в зависимости от ре- гиона, диалекта, контекста, окружаю- щей среды и отдельных говорящих, в том числе разных возрастов». Securitylab.ru Ученые предложили использовать ЭКГ для аутентификации пользователей Группа ученых Калифорнийского уни- верситета Беркли (США) и Эдинбург- ского университета (Великобритания) предложила использовать для биоме- трической аутентификации пользова- телей электрокардиограмму (ЭКГ). По их словам, результаты электрокардио- графии легко измерить, данные ЭКГ ин- дивидуальны для каждого человека, а основанную на ЭКГ систему аутентифи- кации можно создать из уже существую- щей потребительской электроники. В ходе исследования ученые попыта- лись определить способность неболь- ших ЭКГ-мониторов потребительского класса считывать и различать электро- кардиограммы разных людей. Для этого они попросили 49 добро- вольцев в течение четырех месяцев ис- пользовать ЭКГ-мониторы в двух разных режимах. Затем исследователи проана- лизировали полученные данные каждо- го человека в каждом из двух режимов. Как оказалось, ЭКГ-мониторы мог- ли сопоставить данные электрокарди- ограммы с человеком, которому она принадлежит, с частотой ошибок 2,4 % за короткий промежуток времени (примерно такой же показатель у ска- неров отпечатков пальцев). Однако по мере возрастания периода времени между считываниями частота ошибок повышалась до 9 %. Как бы то ни было, по мнению авто- ров исследования, аутентификация по ЭКГ достаточно надежна и реальна для использования, а с точки зрения тех- нических сложностей и потенциальных угроз она практически не отличается от систем биометрической аутентифика- ции, используемых в настоящее время. «Тем не менее, требуются дополни- тельные исследования по извлечению характеристик из сигналов ЭКГ, полу- ченных от мониторов потребительского уровня, по предотвращению спуфин- говых атак и гарантированию того, что биометрические системы на основе ЭКГ социально приемлемы для общего поль- зования», – отметили исследователи. Securitylab.ru Кандидатов на должность в ФСБ могут обязать раскрывать содержимое своих страниц в соцсетях Федеральная служба безопасности (ФСБ) России представила проект новой анкеты для кандидатов, желающих поступить на службу в ведомство по контракту. Документ размещен на портале проектов нормативных правовых актов. В числе прочих вопросов от соискате- лей потребуется заполнить таблицу о персональных данных, размещенных в интернете. В частности, претендент должен указать, в каких блогах, соци- альных сетях или сетевых сообществах он пишет, привести название учетной записи, а также сообщить о характере публикуемых данных. Помимо вышеперечисленных, ан- кета содержит вопросы об автобио- графических данных, информации о родственниках, наличии допуска к го- стайне, пребывании за границей и пр. Согласно пояснительной записке к документу, поправки в форме анке- ты связаны в том числе с «усилением требований к качественному составу ФСБ», а также необходимостью соот- ветствия изменениям в федеральном законодательстве. В начале марта нынешнего года президент РФ Владимир Путин подпи- сал закон, запрещающий российским военнослужащим на ответственных заданиях иметь при себе смартфоны и другие устройства с возможностью подключения к интернету, а также пу- бликовать в соцсетях информацию, позволяющую идентифицировать их место и характер службы. Securitylab.ru ЦБ выявил более 1000 «черных» кредиторов за полгода По информации Банка России, больше всего таких нелегалов обнаружили в са- мых крупных регионах страны. За пер- вые шесть месяцев 2019 года ЦБ выявил на финансовом рынке 1393 нелегаль- ных организации, 1024 из них являлись «черными» кредиторами (занимались незаконной выдачей займов). По словам директора департамента противодействия недобросовестным практикам ЦБ Валерия Ляха, 186 ор- ганизаций незаконно использовали в своих названиях слова «микрофи- нансовая» или «микрокредитная» компания, 680 фирм маскировались под легальные ломбарды, лизинговые компании, организации, действующие на основе агентских договоров. «150 организаций – это так называ- емые анонимные кредиторы, они ни на кого не были зарегистрированы, это может быть просто объявление с но- мером телефона на столбе», – доба- вил Лях (цитата по ТАСС). Больше всего нелегальных организаций выявлено в Центральном федеральном округе. Также выделяются Южный федераль- ный округ и Урал, отмечают в ЦБ. Право.ru