Журнал "Директор по безопасности" Август_2019 | Page 5

Китайская полиция
устанавливает шпионское ПО
на смартфоны граждан
Китайская полиция устанавливает
шпионское ПО на смартфоны обыч-
ных граждан, не подозреваемых в
совершении каких-либо преступле-
ний, и копирует все хранящиеся на
устройствах данные.
Как сообщает исследователь без-
о-пасности Батист Робер (Baptiste
Robert), использующий псевдоним
Elliot Alderson, Android-приложение
MFSocket предоставляет полицейским
доступ к изображениям, аудиофай-
лам, геолокационным данным, журна-
лу звонков, сообщениям, календарю и
спискам контактов, в том числе поль-
зователей Telegram. Кроме того, при-
ложение запрашивает разрешения на
такие действия, как отключение экра-
на блокировки, установка дополни-
тельных программ и пр.
Впервые о MFSocket стало известно
21 июня нынешнего года от китайской
журналистки Муйи Сяо. Журналистка
сообщила о жалобах жителей Шанхая
и Пекина на массовые проверки их
смартфонов полицейскими. «Вчера
компания попросила нас пойти в по-
лицейский участок, и полиция устано-
вила ПО под названием MFSocket», –
гласит одна из жалоб.Разработчиком
приложения является нашумевшая
компания Meiya Pico, обеспечивающая
китайские правоохранительные ор-
ганы инструментами для проведения
криминалистической экспертизы.
Securitylab.ru
Сообщение в iMessage может
превратить iPhone в кирпич
Исследовательница из Google Project
Zero Натали Силванович (Natalie
Silvanovich) обнаружила уязвимость
в сервисе iMessage, с помощью ко-
торой можно полностью вывести из
строя iPhone.
«Метод – [IMBalloonPluginDataSource
individualPreviewSummary] в IMCore
может вызвать NSException из-за не-
корректно сконфигурированного со-
общения, содержащего атрибут с клю-
чом IMExtensionPayloadLocalizedDes
criptionTextKey, значением которого
не является NSString. Этот метод вы-
зывает [IMBalloonPluginDataSource
_summaryText], без проверки воз-
вращающий атрибут в качестве
строки. Метод затем вызывает –
[IMBalloonPluginDataSource _replac
eHandleWithContactNameInString:],
вызывающий im_handleIdentifiers в
‘NSString’, который на самом деле яв-
ляется NSNumber, вызывающим исклю-
чение, поскольку селектора для данно-
го класса не существует. В результате
на Mac процесс soagent аварийно
завершается и возобновляется сно-
ва, но на iPhone этот код находится в
Springboard», – сообщила Силванович.
Springboard – iOS-приложение, от-
вечающее за домашний экран. По-
лучив вышеупомянутое сообщение,
Springboard начинает непрерывно за-
вершать и возобновлять работу, из-за
чего пользовательский интерфейс не
отображается, а iPhone перестает реаги-
ровать на действия пользователя. Жест-
кая перезагрузка не решает проблему.
Securitylab.ru
Минфин выступил
за ужесточение ответственности
для нелегальных кредиторов
Заместитель министра финансов
Алексей Моисеев заявил, что увеличе-
ние размера административной ответ-
ственности для «черных кредиторов»
и введение уголовной – первоочеред-
ная мера для уменьшения рисков по-
требительского кредитования.
В кулуарах Международного фи-
нансового конгресса замминистра от-
метил, что существующая администра-
тивная ответственность в виде штрафа
до 50 000 руб. для должностных лиц
и до 500 000 руб. для юрлиц –
недостаточное наказание, поскольку
его размер несопоставим с доходом
таких кредиторов, передает ТАСС. К
нелегальным заимодавцам относятся
организации, которые не находятся в
реестре ЦБ и специализируются на бы-
строй выдаче кредитов. Деятельность
таких фирм никак не регулируется,
поскольку они находятся в «серой
зоне» (цитата Моисеева по ТАСС).
Генпрокуратура еще прошлым ле-
том в своем письме Минфину пред-
ложила ужесточить ответственность за
подпольную выдачу потребительских
кредитов, вплоть до уголовной. 
В апреле этого года ЦБ поддержал
эту инициативу, предложив поднять
размер штрафа до 2 млн руб., переда-
ет РБК. Главная причина – резко уве-
личившееся число нелегальных креди-
торов. По данным ТАСС, в 2018 году
ЦБ выявил на 70 % больше нарушите-
лей, чем в 2017 году.
Право.ru
Amazon хранит аудиозаписи
запросов пользователей Alexa
даже после их удаления
Amazon продолжает хранить аудио-
записи запросов пользователей Alexa
даже после того, как они их удали-
ли. Об этом вице-президент Amazon
Брайан Хаусман (Brian Huseman) со-
общил в письме сенатору от штата
Делавэр Крису Кунсу.
Кунс поднял вопрос о том, как Alexa
обращается с данными пользовате-
лей и как долго они хранятся на сер-
верах компании, пишет Digit. В ответ
сенатор получил от компании под-
тверждение, что голосовой помощник
продолжает хранить расшифровки ау-
диозаписей даже после того, как поль-
зователь их удалит.
«Мы сохраняем голосовые записи
клиента, пока клиент не решит уда-
лить их. Когда клиент удаляет голосо-
вую запись, мы удаляем расшифров-
ки, связанные с его учетной записью,
как из запросов клиента, так и из от-
вета Alexa», – сообщается в письме от
Amazon. Хотя пользователям и предо-
ставляется возможность удалять свои
аудиозаписи, это вовсе не значит, что
компания удаляет их со своих серве-
ров. «Мы все же можем хранить дру-
гие записи о взаимодействии клиентов
с Alexa, в том числе записи о действи-
ях, предпринятых Alexa в ответ на за-
прос клиента», – говорится в письме.
По словам Хаусмана, Amazon хра-
нит записи и расшифровки с целью
обеспечения прозрачности для своих
пользователей относительно того, что
Alexa «думала, что услышала» и что
предоставила в качестве ответа.
Компания также хранит данные для
тренировки своих систем машинного
обучения, чтобы они лучше понимали
вариации речи «в зависимости от ре-
гиона, диалекта, контекста, окружаю-
щей среды и отдельных говорящих, в
том числе разных возрастов».
Securitylab.ru
Ученые предложили
использовать ЭКГ для
аутентификации пользователей
Группа ученых Калифорнийского уни-
верситета Беркли (США) и Эдинбург-
ского университета (Великобритания)
предложила использовать для биоме-
трической аутентификации пользова-
телей электрокардиограмму (ЭКГ). По
их словам, результаты электрокардио-
графии легко измерить, данные ЭКГ ин-
дивидуальны для каждого человека, а
основанную на ЭКГ систему аутентифи-
кации можно создать из уже существую-
щей потребительской электроники.
В ходе исследования ученые попыта-
лись определить способность неболь-
ших ЭКГ-мониторов потребительского
класса считывать и различать электро-
кардиограммы разных людей.
Для этого они попросили 49 добро-
вольцев в течение четырех месяцев ис-
пользовать ЭКГ-мониторы в двух разных
режимах. Затем исследователи проана-
лизировали полученные данные каждо-
го человека в каждом из двух режимов.
Как оказалось, ЭКГ-мониторы мог-
ли сопоставить данные электрокарди-
ограммы с человеком, которому она
принадлежит, с частотой ошибок 2,4
% за короткий промежуток времени
(примерно такой же показатель у ска-
неров отпечатков пальцев). Однако по
мере возрастания периода времени
между считываниями частота ошибок
повышалась до 9 %.
Как бы то ни было, по мнению авто-
ров исследования, аутентификация по
ЭКГ достаточно надежна и реальна для
использования, а с точки зрения тех-
нических сложностей и потенциальных
угроз она практически не отличается от
систем биометрической аутентифика-
ции, используемых в настоящее время.
«Тем не менее, требуются дополни-
тельные исследования по извлечению
характеристик из сигналов ЭКГ, полу-
ченных от мониторов потребительского
уровня, по предотвращению спуфин-
говых атак и гарантированию того, что
биометрические системы на основе ЭКГ
социально приемлемы для общего поль-
зования», – отметили исследователи.
Securitylab.ru
Кандидатов на должность
в ФСБ могут обязать
раскрывать содержимое
своих страниц в соцсетях
Федеральная служба безопасности
(ФСБ) России представила проект
новой анкеты для кандидатов,
желающих поступить на службу
в ведомство по контракту. Документ
размещен на портале проектов
нормативных правовых актов.
В числе прочих вопросов от соискате-
лей потребуется заполнить таблицу о
персональных данных, размещенных
в интернете. В частности, претендент
должен указать, в каких блогах, соци-
альных сетях или сетевых сообществах
он пишет, привести название учетной
записи, а также сообщить о характере
публикуемых данных.
Помимо вышеперечисленных, ан-
кета содержит вопросы об автобио-
графических данных, информации о
родственниках, наличии допуска к го-
стайне, пребывании за границей и пр.
Согласно пояснительной записке к
документу, поправки в форме анке-
ты связаны в том числе с «усилением
требований к качественному составу
ФСБ», а также необходимостью соот-
ветствия изменениям в федеральном
законодательстве.
В начале марта нынешнего года
президент РФ Владимир Путин подпи-
сал закон, запрещающий российским
военнослужащим на ответственных
заданиях иметь при себе смартфоны
и другие устройства с возможностью
подключения к интернету, а также пу-
бликовать в соцсетях информацию,
позволяющую идентифицировать их
место и характер службы.
Securitylab.ru
ЦБ выявил более 1000 «черных»
кредиторов за полгода
По информации Банка России, больше
всего таких нелегалов обнаружили в са-
мых крупных регионах страны. За пер-
вые шесть месяцев 2019 года ЦБ выявил
на финансовом рынке 1393 нелегаль-
ных организации, 1024 из них являлись
«черными» кредиторами (занимались
незаконной выдачей займов).
По словам директора департамента
противодействия недобросовестным
практикам ЦБ Валерия Ляха, 186 ор-
ганизаций незаконно использовали
в своих названиях слова «микрофи-
нансовая» или «микрокредитная»
компания, 680 фирм маскировались
под легальные ломбарды, лизинговые
компании, организации, действующие
на основе агентских договоров.
«150 организаций – это так называ-
емые анонимные кредиторы, они ни
на кого не были зарегистрированы, это
может быть просто объявление с но-
мером телефона на столбе», – доба-
вил Лях (цитата по ТАСС). Больше всего
нелегальных организаций выявлено
в Центральном федеральном округе.
Также выделяются Южный федераль-
ный округ и Урал, отмечают в ЦБ.
Право.ru