классная фича в ТГ. писал текст, решил к нему приаттачить гифку — гифка запостилась, текст потерялся.

короче, в тексте были три ссылки с материалами, критикующими подход Apple к детекции материалов с CSAM на устройствах пользователя. Это будет короткая версия, так как писать еще раз аннотацию к этому всему мне лень теперь:

1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i

2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system

3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/

В шоу Джона Оливера - популярное еженедельное новостное шоу на HBO - был хороший выпуск про ransomaware, где популярным английским языком рассказывают, что это такое и почему эта тема сейчас очень популярна. Там еще в конце хороший рекламный ролик по этому поводу

https://www.youtube.com/watch?v=WqD-ATqw3js

Прикольная тема: новая фишка Apple  с Private Relay, когда сигнал передаётся через две «прокси», из которых одна знает «кто», вторая знает «куда» — и все это с целью сокрытия пользователя и его походов в сети, в текущем виде бета-версии на самом деле позволяет вычислить IP-адрес пользователя. Для беты объяснимо, но посмотрим, что будет в релизе

https://www.reddit.com/r/privacy/comments/pd4y5m/apples_new_private_relay_is_leaking_your_original/

Охереннейший тред о новом законопроекте в Китае, как правительство собирается регулировать алгоритмы, используемые в различных сервисах. Например, что у пользователей должна быть информация о том, что алгоритмы используются для рекомендации контента или продуктов, возможность отказаться от алгоритмического контента, а также видеть и удалять ключевые термины, используемые алгоритмами для рекомендаций. ФБ, наверно, радуется, что они не в Китае.

https://twitter.com/kendraschaefer/status/1431134515242496002

Дебилы, бл

https://arstechnica.com/information-technology/2021/08/coinbase-erroneously-reported-2fa-changes-to-125000-customers/

Тут же наверняка есть кто-нибудь из Австралии. У вас там уже вообще ку-ку? Понапринимали всяких законов про то, как полиция может взламывать телефоны, собирать ваши данные, получать контроль над аккаунтами в соцсетях - и все это даже без решения суда. Как-то нехорошо это все, в добавление ко всем паукам, крокодилам и акулам там у вас.

https://tutanota.com/blog/posts/australia-surveillance-bill/

История о том, как сотрудница кредитного союза в Нью Йорке, будучи уволенной, на прощание снесла 21 гигабайт данных клиентов организации. Причём её уволили, но аккаунт не заблокировали, поэтому она подключилась удаленно и за 40 минут наудаляла 20 тысяч документов - заявок на кредиты и другую информацию. Еще и похвасталась после этого кому-то из друзей о совершённом. Данные из бекапа восстановили, конечно, но все это стоило денег и времени. Теперь она признала в суде свою вину и ещё неизвестно, на сколько может сходить в тюрьму.

https://www.justice.gov/usao-edny/press-release/file/1428871/download

Очередное подтверждение, что если к телефону или компьютеру и подключать какие-то кабели, то только свои! Компания OMG Cables, как они себя называют, разработали новый вариант своего кабеля со встроенным кейлоггером, теперь с Lightning на USB-C - чудеса миниатюризации! Например, с помощью этого кабеля можно подключить к Маку клавиатуру, и встроенный кейлоггер будет собирать весь набранный текст и по беспроводу передавать его злоумышленнику, который в этот момент может находиться за полтора километра от жертвы.

https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning

Apple сказала, что на основании обратной связи по поводу функции сканирования контента на телефоне на предмет фотографий, содержащих сцены насилия над детьми, она откладывает внедрение этой функциональности

Как известно, ProtonMail - безопасный почтовый сервис, до тех пор, пока не становится опасным. Сервис оперирует в Швейцарии и утверждал, что никому* IP адреса пользователей не передаёт.

* кроме швейцарской полиции

Поэтому французская полиция запросила данные у швейцарской полиции через Европол, та пришла к ProtonMail - получила запрошенные данные.

Уточнение: «они не хранят адреса по умолчанию, но если придёт запрос по всей форме, то они начинают с этого момента хранить историю IP, с которых входили в конкретную учётку»

https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/

PS вроде как в случае с ProtonVPN данные IP-адресов полиция не имеет права запрашивать, но кто теперь уже там знает.

Популярный сервис для дейтинга Bumble содержал уязвимость, которая позволяла выяснить точное положение пользователя. По умолчанию геолокация «округляется», разумеется, но метод трилатерации - измерение расстояния от трёх разных точек никто не отменял. Так что хакер придумал метод со скриптом, который создавал фейковый профиль и изменял ему расстояние от жертвы. Детали по ссылке

https://robertheaton.com/bumble-vulnerability/

Очень лонгрид, суть которого сводится к тому, что якобы сообщения в WhatsApp не защищены сквозным шифрованием, и якобы сотрудники Facebook имеют доступ к содержимому переписки:

WhatsApp has more than 1,000 contract workers filling floors of office buildings in Austin, Texas, Dublin and Singapore, where they examine millions of pieces of users’ content. Seated at computers in pods organized by work assignments, these hourly workers use special Facebook software to sift through streams of private messages, images and videos that have been reported by WhatsApp users as improper and then screened by the company’s artificial intelligence systems. These contractors pass judgment on whatever flashes on their screen — claims of everything from fraud or spam to child porn and potential terrorist plotting — typically in less than a minute.

Там дальше идёт речь о том, что когда кто-то жалуется на какие-то сообщения, то они расшифровываются для анализа:

WhatsApp reviewers gain access to private content when users hit the “report” button on the app, identifying a message as allegedly violating the platform’s terms of service. This forwards five messages — the allegedly offending one along with the four previous ones in the exchange, including any images or videos — to WhatsApp in unscrambled form, according to former WhatsApp engineers and moderators. Automated systems then feed these tickets into “reactive” queues for contract workers to assess.

Выглядит это все очень странно и совсем не похоже на то, как должно работать настоящее сквозное шифрование. Ответ Фейсбука как-то не внушает доверия тоже:

“We build WhatsApp in a manner that limits the data we collect while providing us tools to prevent spam, investigate threats, and ban those engaged in abuse, including based on user reports we receive. This work takes extraordinary effort from security experts and a valued trust and safety team that works tirelessly to help provide the world with private communication.”

Напрямую тут как бы и нет опровержения, что весьма странно. Всё-таки если окажется, что ФБ врали о шифровании в WhatsApp, то это как-то совсем за гранью.

ДОПОЛНЕНИЕ: алярма, как и предполагалось, отменяется. там ФБ дополнительно разъяснил, что все это недоразумение, и речь идёт именно о, по сути, форвардинге сообщений модераторам. В этом случае сообщение в расшифрованном виде пересылается с устройства пользователя, никакой дополнительной расшифровки другого контента не происходит. Как обычно, «учёные изнасиловали журналиста».

https://www.propublica.org/article/how-facebook-undermines-privacy-protections-for-its-2-billion-whatsapp-users

хороший тред от бывшего директора по безопасности Facebook о статье ProPublic, где они обвинили WhatsApp в обмане по поводу сквозного шифрования
https://twitter.com/alexstamos/status/1435285445336715265