Смарт-чотки, крейзі годівничка, колонки-шпигуни та інші новини цифрової безпеки

Від чого тебе захищає антивірус? Чи існують взагалі якісь загрози в Інтернеті? Я розповім тобі про цікаві новини зі світу цифрової безпеки і ти зрозумієш, що все не так просто, як тобі здається.

Смарт-чотки були зламані за 15 хвилин

Новина про цей дивний девайс облетіла усі соціальні мережі. У вівторок, 15 жовтня, Ватикан випустив «розумні» чотки Click to Pray eRosary вартістю 110 доларів. Чотки можуть синхронізуватися з Всесвітньою мережею молитви (Worldwide Prayer Network) Папи Римського і щодня надавати юзерам нові молитви, а також нагадувати про час молитви.

 

Усього 15 хвилин знадобилося досліднику безпеки Роберту Баптисту (Baptiste Robert), відомому в Twitter як Elliot Alderson, на злом смарт-чоток. Як виявилося, вразливість в додатку Click to Pray eRosary дозволяла отримувати несанкціонований доступ до чужих облікових записів, знаючи лише електронну адресу, на яку вони зареєстровані.

 

Дослідник повідомив Ватикан про проблему на наступний день після виходу чоток, і вона була відразу ж виправлена.

Додаток для автомобілів Mercedes-Benz розкривав дані користувачів

Власники машин Mercedes-Benz стверджують, що додаток, який використовується для віддаленого розблокування, запуску двигуна і визначення місця розташування автомобіля, зливав дані аккаунтів і транспортних засобів, що належать іншим людям.

 

Два автолюбителі з Сіетла, що зіткнулися з цією ситуацією, заявили, що додаток для підключених машин виробника Mercedes-Benz відображав інформацію інших власників автомобілів –  вони змогли переглянути імена, недавню активність, телефонні номери та інші дані.

 

Автолюбителі зв’язалися з представниками Mercedes-Benz, які порадили видалити додаток до тих пір, поки розробники не випустять оновлену версію.

Розумні колонки Google і Amazon можна змусити підслуховувати розмови

Дослідники компанії SRLabs виявили вразливість у розумних колонках Google і Amazon, за допомогою якої зловмисники можуть підслуховувати, а в деяких випадках і атакувати користувачів фішингом (видурювання конфіденційної інформації).

 

Для демонстрації процесу експлуатації прогалини фахівці використовували шкідливу програму, замасковану під нешкідливу команду для Alexa і Google Home. У підсумку експерти змогли змусити розумні колонки таємно записувати користувачів і навіть видати пароль від акаунта Google.

 

Насправді, ця уразливість – ще одне яскраве нагадування про необхідність скептично ставитися до стороннього софту, використовуваного в зв’язці з розумними колонками. Видаляйте будь-яке подібне програмне забезпечення, яким ви не плануєте користуватися. На сьогодні немає причин вважати, що виявлена SRLabs вразливість використовувалася зловмисниками в реальних атаках.

 

Представники Google і Amazon вже відреагували на повідомлення про уразливість, заявивши, що вже впоралися з цією проблемою.

Хакнути автоматичні годівниці для тварин

IT-спеціалістка Анна Просвєтова виявила вразливість в розумних годівницях для тварин з майданчика Xiaomi і отримала доступ до таких пристроїв по всьому світу. Йдеться про годівницю Furrytail Pet Smart Feeder, яка сама годує тварин за графіком, заданим власником через додаток. Анна заявила, що може «парою кліків» нагодувати всіх котиків і собачок і навпаки позбавити їх їжі.

 

Furrytail Pet Smart Feeder – годівниця для домашніх кішок і собак. За допомогою мобільного додатку в пристрої контролюється час подачі і кількість їжі в мисці улюбленця. Усередині гаджета є контейнер на 4 літри, у якому поміщається 2 кілограми сухого корму.

 

Годівниця не продається в Україні, проте її можна купити на AliExpress або сайтах, які доставляють товари з Китаю. Вона коштує приблизно 2 тис. грн.

 

Згідно коментаря прес-служби Xiaomi, автоматична годівниця FURRYTAIL не є продукцією компанії – це продукт стороннього бренду, який представлений на численних торгових платформах Китаю.

Хвилі ретельно спланованих фішингових атак в Steam

Зловмисники копіюють магазини внутрішньоігрових аксесуарів, щоб викрасти облікові записи геймерів і перепродати їх віртуальне майно.

 

Хоча самі по собі такі атаки давно стали звичним явищем, останню кампанію відрізняє високий рівень опрацювання. Організатори ретельно скопіювали оформлення реальних магазинів, пов’язаних зі Steam – у них є всі зовнішні атрибути: сертифікати безпеки, попередження про використання cookie, іконка HTTPS-підключення в адресному рядку. Перейти за посиланнями, вказаними на сторінках, не виходить – клік по ним викликає вікно з вимогою ввести облікові дані Steam.

 

Щоб не попастися на гачок шахраїв, потрібно перевіряти адресний рядок перед введенням важливих даних, звертати увагу на найменші невідповідності інтерфейсу. Користувачі також можуть перевірити легітимність домену за допомогою сервісу WHOIS.

 

Для хакера немає значеня чи ти геймер, власник мерса, меломан або глибоко віруюча людина. Йому потрібна твоя особиста інформація, щоб заробити на її продажу.

 

Не хочеш, щоб хтось перегодував твого цуцика? За цим лінком можна знайти інструменти, які тобі допоможуть.