ТОП-10 IT-новостей. Четвертая неделя сентября 2021 | TOP 10 IT news. Fourth week of September 2021

 

  

* Статья на русском и английском языках 

*article in Russian and English

Еженедельная подборка новостей из мира ИТ. Для читателей и подписчиков блога все самое интересное, важное и потрясающее воображение, порадовавшее или поразившее мир, произошедшее в технической и информационной среде на истекшей неделе. Читайте, изучайте, удивляйтесь, принимайте к сведению или к руководству в деятельности. Подборка новостей  IT-отрасли в блоге "В мире ИТ" за 20 - 26 сентября 2021 года. Вы обязательно обретете новую точку отсчета и новый ракурс самопознания, мир засияет новыми красками. 

Приятного и увлекательного чтения!

***

ENG

***

A weekly collection of news from the IT world. For readers and subscribers of the blog, all the most interesting, important and amazing imagination that has delighted or amazed the world that has occurred in the technical and information environment over the past week. Read, study, be surprised, take note of or guide in the activity. A selection of news from the IT industry in the blog "In the IT World" for September 20 - 26, 2021. You will definitely find a new starting point and a new perspective of self-knowledge, the world will shine with new colors.

Enjoy your reading!

30 сентября 2021 года Интернет может отключиться на миллионах смартфонов и компьютеров

Миллионы смартфонов, игровых консолей и компьютеров могут быть лишены доступа к Интернету 30 сентября 2021 года в связи с истечением срока действия сертификата безопасности. Проблема коснется всех не обновленных устройств, выпущенных до 2017 года.

Смартфоны, компьютеры, планшеты, а также игровые приставки и телевизоры могут попасть в ловушку, когда два сертификата - один из них сертификат цифровой безопасности с истекшим сроком, другой связанный с ним сертификат, необходимый для подключения к Интернету, просмотра видео или проверки электронного адреса - заблокируют работу всех этих устройств.

Виновником проблемы является сертификат IdentTrust DST Root CA X3. Именно он верифицирует файл ISRG Root X1, необходимый для шифрования подключений к Интернету. По заключению Скотта Хелме, обнаружившего эту проблему, старые смартфоны, смарт-телевизоры или игровые консоли, которые не были обновлены, не получат доступ к определенным интернет-сервисам.

Эксперт перечисляет множество устройств, которые подвержены уязвимости: 

• iPhone под управлением iOS 9, 
• смартфоны под управлением Android 2.3.5 и ранее 
• ПК с Windows XP Service Pack 2, 
• компьютеры Apple под управлением macOS 10.12.0, 
• игровые консоли PS3 или PS4, 
• устройства под управлением Ubuntu и Blackberry. 

Полный список находится здесь.

Есть по крайней мере два решения, позволяющие устранить проблему: 

• обновите ПО устройства; 
• установите последнюю версию браузера Firefox, который не использует этот сертификат безопасности.

On September 30, 2021, the Internet may be disconnected on millions of smartphones and computers

***

ENG

***

On September 30, 2021, the Internet may be disconnected on millions of smartphones and computers

Millions of smartphones, game consoles and computers could be denied access to the Internet on September 30, 2021 due to the expiration of the security certificate. The problem will affect all non-updated devices released before 2017.

Smartphones, computers, tablets, and game consoles and TVs can get trapped when two certificates - one is an expired digital security certificate, the other is an associated certificate needed to connect to the Internet and watch videos or verify email address - block the operation of all these devices.

The culprit is the IdentTrust DST Root CA X3 certificate. It is he who verifies the ISRG Root X1 file, which is required to encrypt Internet connections. Scott Helme, who discovered the problem, concluded that older smartphones, smart TVs or game consoles that have not been updated will not be able to access certain Internet services.

The expert lists many devices that are affected by the vulnerability:

• iPhone running iOS 9,
• smartphones running Android 2.3.5 and earlier
• PC with Windows XP Service Pack 2,
• Apple computers running macOS 10.12.0,
• game consoles PS3 or PS4,
• devices running Ubuntu and Blackberry.

A complete list can be found here.

There are at least two decision to solve the problem:

• update the device software;
• Install the latest Firefox browser that does not use this security certificate.

Евросоюз принудит Apple оснащать разъемом USB-C устройства iPhone

В ближайшие дни Европейский Союз представит проект директивы по стандартизации разъемов для мобильной зарядки смартфонов. К 2024 году обязательным разъемом для государств-членов ЕС должен стать USB-C. Директива прежде всего коснется компании Apple и ее фирменного разъема Lightning для iPhone.

Существует две или даже три разновидности зарядных устройств: 

• уходящие в прошлое microUSB, 
• USB-C, который постепенно становится универсальным разъемом, и 
• знаменитые штекеры Lightning, которые совместимы только с Apple iPhone и iPad. 

Компания Apple уже делает шаги к постепенному и осторожному переходу на USB-C, интегрировав разъем в Macbooks, оснащенные микрочипом M1. USB-C войдет в систему питания на Macbook Air. iPad Pro использует USB-C с 2018 года. В линейке новых iPad Lightning заменен на разъем USB-C. Но iPhone по прежнему оснащен проприетарным разъемом компании. Но шанс, что Apple сменит тип разъема, велик. Вероятен и вариант, что новые iPhone выйдут без разъемов, оснащенные только беспроводными средствами подключения и зарядки.

Необходимость универсального зарядного устройства озвучена еще в 2009 году. Тогда четырнадцать компаний взяли на себя обязательство стандартизировать через разъем Micro-USB зарядные устройства для смартфонов, реализуемых в Европейском Союзе. Соглашение подписали такие компании, как Apple, Motorola, Nokia, RIM, Samsung и Sony Ericsson.

Решения продиктовано выявленными рисками безопасности, электромагнитным излучением. Универсальные разъемы обеспечат достаточную защиту от внешнего вмешательства. Потребителям в случае принятия положительного решения не нужно будет приобретать новые зарядные устройства при смене сотового телефона. Это существенно снизит нагрузку на окружающую среду.

European Union will force Apple to equip iPhone devices with USB-C

***

ENG

***

European Union will force Apple to equip iPhone devices with USB-C

In the coming days, the European Union will present a draft directive on the standardization of connectors for mobile charging of smartphones. By 2024, USB-C should become a mandatory connector for EU member states. The directive will primarily affect Apple and its proprietary Lightning connector for the iPhone.

There are two or even three types of chargers:

• the receding microUSB,
• USB-C, which is gradually becoming a universal connector, and
• famous Lightning plugs that are only compatible with Apple iPhone and iPad.

Apple is already taking steps towards a gradual and careful transition to USB-C by integrating the connector into Macbooks equipped with the M1 microchip. USB-C will go into the power system on the Macbook Air. iPad Pro has been using USB-C since 2018. The new iPad lineup has replaced Lightning with a USB-C connector. But the iPhone is still equipped with the company's proprietary connector. But the chances are high that Apple will change the connector type. It is also possible that the new iPhones will come out without connectors, equipped only with wireless connectivity and charging.

The need for a universal charger was announced back in 2009. Then fourteen companies made a commitment to standardize chargers for smartphones sold in the European Union via the Micro-USB connector. The agreement was signed by companies such as Apple, Motorola, Nokia, RIM, Samsung and Sony Ericsson.

The decisions are dictated by the identified safety risks, electromagnetic radiation. The universal connectors will provide adequate protection against external tampering. If a positive decision is made, consumers will not need to purchase new chargers when changing a cell phone. This will significantly reduce the burden on the environment.

Хакеры опубликовали данные 700 миллионов пользователей LinkedIn

База данных объемом 187 гигабайт поступила в продажу 22 июня через Telegram. В нее входят общедоступные и персональные данные подавляющего большинства пользователей LinkedIn.

Человек, разместивший объявление, загрузил образец в миллион записей, подтверждающих ее подлинность.

Семьсот миллионов - это около 92% подписчиков LinkedIn. Если у вас есть учетная запись в этой социальной сети для профессионалов, вы наверняка пострадаете. База данных также доступна через BitTorrent, благодаря «.torrent» файлу, которым обменивались продавцы и покупатели в частных каналах Telegram.

Файл содержит следующие данные пользователей:

• имя, 
• идентификатор профиля и адрес, 
• местоположение (город, страна), 
• адрес электронной почты,
• номер телефона,
• информация о рабочем месте,
• пол,
• ссылки на другие учетные записи социальных сетей,
• база сообщений.

Пароли скомпрометированы не были. Согласно RestorePrivacy, данные соотносятся с недавно созданными профилями, датированными периодом с 2020 по 2021 год. 

LinkedIn, социальная сеть, принадлежащая Microsoft, отрицает утечку информации, подчеркивая, что большая часть данных извлечена с помощью с API сайта, и является  общедоступной. Адрес электронной почты не относится к общедоступным, но в базе нет адресов всех пользователей. Предположительно, база LinkedIn была объединена с базой данных из других источников. Согласно LinkedIn, хакеры просто собирали и компилировали общедоступные данные, предположительно  через сторонний сайт.

LinkedIn, похоже, в безопасности. Хакер просто перехватил официальный API LinkedIn. Этот метод уже использовался в апреле прошлого года. Очевидно, что любой может получить данные LinkedIn с общедоступных страниц, но собирать и продавать их - преступление.

Тревожит факт, что хакеры все чаще используют API-интерфейсы таких сайтов, как Clubhouse, Instagram и Facebook для компиляции общедоступных пользовательских данных. В результате объединения подобных баз получается содержательный пласт информации о конкретном пользователе.

Данный инцидент нельзя сравнивать со взломом Facebook, когда были скомпрометированы пароли пользователей. Но и этот тип утечки может привести к таким проблемам безопасности, как спам, фишинг или даже кража личных данных. Хакеры, у которых есть идентификатор учетной записи, могут восстановить пароль методом перебора. Когда многие пользователи применяют простой пароль, хакеру требуется несколько секунд, чтобы его подобрать.

Hackers publish data of 700 million LinkedIn users

***

ENG

***

Hackers publish data of 700 million LinkedIn users

The 187 gigabyte database went on sale on June 22 via Telegram. It includes the public and personal data of the vast majority of LinkedIn users.

The person who posted the ad uploaded a sample of a million records to prove its authenticity.

Seven hundred million is about 92% of LinkedIn followers. If you have an account with this social network for professionals, you will surely get hurt. The database is also accessible via BitTorrent, thanks to a ".torrent" file exchanged between sellers and buyers on private Telegram channels.

The file size is a total of 187 gigabytes and contains the following user data:

• name,
• profile ID and address,
• location (city, country),
• E-mail address,
• phone number,
• information about the workplace,
• floor,
• links to other social media accounts,
• message base.

Passwords have not been compromised. According to RestorePrivacy, the data is correlated with newly created profiles that are dated between 2020 and 2021.

LinkedIn, a social network owned by Microsoft, denies the information leak, emphasizing that most of the data was retrieved using the site's API and is publicly available. The email address is not publicly available, but the database does not contain addresses of all users. Presumably the LinkedIn database was merged with a database from other sources. According to LinkedIn, the hackers were simply collecting and compiling publicly available data, presumably through a third-party site.

LinkedIn seems to be safe. The hacker just intercepted the official LinkedIn API. This method was already used last April. Obviously, anyone can get Linkedin data from public pages, but collecting and selling it is a crime.

It is alarming that hackers are increasingly using the APIs of sites such as Clubhouse, Instagram and Facebook to compile publicly available user data. As a result of combining such databases, a meaningful layer of information about a specific user is obtained.

This incident cannot be compared to the Facebook hack, when user passwords were compromised. But even this type of leak can lead to security problems such as spam, phishing, or even identity theft. Hackers who have an account ID can recover the password by brute force. When many users use a simple password, it takes a hacker a few seconds to figure it out.

Новый скандал с Pegasus: пять французских министров стали жертвами кибершпионажа

По сведениям Mediapart на телефонах пяти действующих министров обнаружены следы внедрения шпионского программного обеспечения Pegasus, имевшего доступ к данным в период с 2019 по 2020 год.

Знаменитый «крылатый осел», над которым смеялся Гийом Поупар, руководитель Anssi (французского Национального агентства безопасности информационных систем), во время массированных кибератак французских учреждений конца июля, снова в центре внимания. Проверка телефонов членов правительства показала, что на мобильных телефонах пяти министров обнаружены «подозрительные маркеры».

Это не означает, что за ними шпионили, но процесс имплантации Pegasus был, по крайней мере, начат. Жертвами атаки стали министр национального образования Жан-Мишель Бланкер, министр территориального единства Жаклин Гуро, министр иностранных дел Себастьян Лекорну, министр жилищного строительства Эммануэль Варгон и Жюльен Денорманди, министр сельского хозяйства. Ранее следы инъекции Pegasus обнаружены на мобильном телефоне Франсуа де Руги, состоявшего на должности министра экологии.

По данным Mediapart, жертвами стали не только министры, но и высшие должностные лица Елисейского дворца и, возможно, даже президент республики, номер телефона которого есть в списке, а также советник президента республики по Африке. Подозрительный факт, поскольку одним из клиентов издателя Pegasus, NSO Group, является Королевство Марокко. Несмотря на обнаруженные технические закладки, NSO Group пояснила, что весь пул французских министров не состоял в списке Pegasus.

NSO Group создана двумя бывшими агентами подразделения 8200 ЦАХАЛ. Клиентами компании являются около 40 государств, в том числе Марокко, Казахстан и Азербайджан. Компания не работает приблизительно в пятидесяти странах, и в таких государствах как США, Россия и Израиль.

Хакеры использовали уязвимость Kismet, которая позволяет инфицировать iPhone через простое сообщение iMessage. Как только получатель получает сообщение и оно отображается, даже если не нажимать на него, запускается установка шпионского ПО. Эту уязвимость называют угрозой  нулевого нажатия. Apple исправила этот недостаток только в iOS 14.

Игра в кошки-мышки между хакерами и Apple продолжается. Израильская компания NSO Group обошла исправления Apple и использовала уязвимости других сервисов. Ранее хакеры действовали через Apple Photos, а после патча исправления iMessage для проникновения используется Apple Music. Согласно отчету Amnesty International, уязвимость по-прежнему работает против iPhone и iPad под управлением iOS 14.6, а также версий 14.3 и iOS 14.4. 

Глава отдела безопасности Apple Иван Крстич в Washington Post заявляет, что «такие атаки, очень изощренны, разработка их стоит миллионы долларов, они кратковременны и используются прицельно на конкретных людей». Apple считает, что подобные атаки «не представляют угрозы для подавляющего большинства» пользователей iPhone.

Рассмотрим, как обстоит дело с ОС Android. Операционная система от Google не избавляет от шпионских атак на Android-смартфоны, которой в основном подвергаются модели от Samsung. Для заражения Android-смартфонов хакеры используют уязвимость «нулевого дня», реализуемую через WhatsApp. Принцип аналогичен инциденту с iMessage. Но в этом случае достаточно звонка, чтобы предоставить возможности для взлома, даже если атакуемый на него не ответил. Позднее владелец WhatsApp Facebook исправил ошибку и подал жалобу на NSO Group.

Программное обеспечение реализует широкий спектр атак на мобильные телефоны под управлением Android или iPhone: 

• уязвимость нулевого дня;
• проникновение с помощью в приложений, таких как IMessage или WhatsApp, 
• прямой доступ к смартфону, 
• установка  вредоносных программ на уровне ядра телефона, в сердце операционной системы.

Никакое шифрование данных не защищает от подобных атак. Поэтому бесполезны такие приложения, как Signal или Telegram. Хакер получает возможность восстанавливать сообщения, фотографии, контакты, прослушивать звонки. Приложение используется для активации микрофона и камеры телефона.

Исследования показывают, что шпионское ПО можно рассматривать как кибероружие, которое предоставляет даже небольшой стране инструмент, который можно использовать как для борьбы с терроризмом и преступностью, так и для контроля над СМИ и оппозицией. Скандал с Pegasus показывает, что, в отличие от рынка вооружений, правила продажи кибероружия очень расплывчаты. Такая юридическая неопределенность может стать опасной, когда это мощное оружие продано недемократическому государству.

New Pegasus scandal: five French ministers fall victim to cyber espionage

***

ENG

***

New Pegasus scandal: five French ministers fall victim to cyber espionage

According to Mediapart, on the phones of five current ministers, traces of the introduction of Pegasus spyware, which had access to data from 2019 to 2020, were found.

The famous "winged donkey" laughed at by Guillaume Poupard, chief executive of Anssi (France's National Information Systems Security Agency), is back in the spotlight during massive cyber attacks on French institutions at the end of July. A check of the phones of members of the government showed that "suspicious markers" were found on the mobile phones of five ministers.

That doesn't mean they were being spied on, but the Pegasus implantation process was at least started. The victims of the attack were Minister of National Education Jean-Michel Blanquer, Minister of Territorial Unity Jacqueline Gouraud, Minister of Foreign Affairs Sebastien Lecorne, Minister of Housing Emmanuel Vargon and Julien Denormandy, Minister of Agriculture. Earlier, traces of the Pegasus injection were found on the mobile phone of François de Ruga, who was the minister of ecology.

According to Mediapart, the victims were not only ministers, but also top officials of the Elysee Palace and, possibly, even the president of the republic, whose phone number is on the list, as well as the adviser to the president of the republic on Africa. Suspicious, as one of the clients of Pegasus' publisher, NSO Group, is the Kingdom of Morocco. Despite the found technical bugs, the NSO Group clarified that the entire pool of French ministers was not on the Pegasus list.

NSO Group was created by two former agents of the IDF 8200 division. The company's clients are about 40 countries, including Morocco, Kazakhstan and Azerbaijan. The company does not operate in about fifty countries, and in countries such as the United States, Russia and Israel.

The hackers exploited the Kismet vulnerability, which allows them to infect an iPhone via a simple iMessage message. As soon as the recipient receives the message and it is displayed, even if you do not click on it, the spyware installation starts. This vulnerability is referred to as the Zero Push Threat. Apple only fixed this flaw in iOS 14.

The cat-and-mouse game between hackers and Apple continues. The Israeli company NSO Group bypassed Apple's fixes and exploited vulnerabilities in other services. Previously, hackers acted through Apple Photos, and after the iMessage fix patch, Apple Music is used to infiltrate. According to a report by Amnesty International, the vulnerability still works against iPhones and iPads running iOS 14.6, as well as versions 14.3 and iOS 14.4.

Apple's head of security, Ivan Krstic, at the Washington Post, says that "these attacks are very sophisticated, cost millions of dollars to develop, are short-lived and target specific people." Apple believes these attacks “do not pose a threat to the vast majority” of iPhone users.

Let's take a look at the situation with Android OS. The operating system from Google does not eliminate the spy attacks on Android smartphones, which Samsung models are mainly exposed to. To infect Android smartphones, hackers use a zero-day vulnerability implemented via WhatsApp. The principle is similar to the iMessage incident. But in this case, a call is enough to provide opportunities for hacking, even if the attacker did not answer it. Later, the owner of WhatsApp Facebook corrected the error and filed a complaint against the NSO Group.

The software implements a wide range of attacks on Android or iPhone mobile phones:

• zero-day vulnerability;
• penetration using applications such as iMessage or WhatsApp,
• direct access to a smartphone,
• the installation of malware at the kernel level of the phone, at the heart of the operating system.

No amount of data encryption protects against such attacks. Therefore, applications such as Signal or Telegram are useless. The hacker is able to recover messages, photos, contacts, and listen to calls. The application is used to activate the microphone and camera of the phone.

Research shows that spyware can be viewed as a cyber weapon that provides even a small country with a tool that can be used both to fight terrorism and crime, and to control the media and opposition. The Pegasus scandal shows that, unlike the arms market, the rules for selling cyber weapons are very vague. Such legal uncertainty can become dangerous when this powerful weapon is sold to an undemocratic state.

Приложение для слежки за супругом публикует скриншоты в Интернет

Шпионское ПО предлагается для наблюдения за действиями вашей второй половины. Но, оказывается, что безопасность таких приложений оставляет желать лучшего. Одна из таких программ, pcTattletale, просто сохраняет скриншоты жертв на незащищенный сервер.

Не все случаи заражения шпионским ПО исходят от вирусов, хакеров или правительственных агентств. Конкретные разновидности файлов cookie или stalkerware нацелены на широкого пользователя и предлагают клиентам установить программу на устройства ребенка, сотрудника или супруга, чтобы скрыто отслеживать их в Интернете. Помимо этических проблем, пользователь подобного программного обеспечения сталкивается с их высокой уязвимостью. Одно из них, pcTattletale, "прославилось" переносом скриншотов прямо в Интернет .

«PcTattletale» - это программа-шпион для ПК под управлением Windows или Android, реализуемая через собственный веб-сайт. Джозеф Кокс из Motherboard обнаружил уязвимость этого программного обеспечения. Приложение регулярно принимает скриншоты активности жертвы, и сохраняет их на сервер AWS без какой-либо защиты.

После этого изображения доступны по ссылке. По базе изображений нельзя перемещаться, и нужно знать точный адрес скриншота, чтобы получить к нему доступ. Однако по общему снимку экрана можно реализовать довольно простой сценарий атаки методом перебора, чтобы найти другие изображения, загруженные с того же устройства. Теоретически можно обнаружить и изображения, поступающие с других устройств.

Разработчики «PcTattletale» предлагают бесплатную пробную версию приложения для апробирования в течение недели. Записанные изображения остаются доступными по истечении этого периода. Разработчик ПО Брайан Флеминг указывает, что данные будут удалены, но с некоторой задержкой на этапе окончания пробного периода, сохраняя материалы для тех, кто захочет воспользоваться платной подпиской. Нужно быть осторожным, поскольку кто-то может получить доступ к вашему ПК или смартфону. Ведь установка сталкерского ПО занимает всего несколько минут.

Spouse tracking app publishes screenshots on the Internet

***

ENG

***

Spouse tracking app publishes screenshots on the Internet

Spyware is suggested to monitor the activities of your other half. But it turns out that the security of such applications leaves much to be desired. One such program, pcTattletale, simply saves screenshots of victims to an unprotected server.

Not all spyware infections come from viruses, hackers, or government agencies. Specific types of cookies or stalkerware target the general user and ask customers to install the program on the devices of a child, employee, or spouse to covertly track them on the Internet. In addition to ethical problems, the user of such software is faced with their high vulnerability. One of them, pcTattletale, became famous for transferring screenshots directly to the Internet.

"PcTattletale" is a spyware program for Windows or Android PCs sold through its own website. Motherboard's Joseph Cox discovered a vulnerability in this software. The application regularly takes screenshots of the victim's activity and saves them to the AWS server without any protection.

After that, the images are available at the link. You cannot navigate through the image database, and you need to know the exact address of the screenshot in order to access it. However, from the overall screenshot, a fairly simple brute-force attack scenario can be implemented to find other images downloaded from the same device. In theory, images from other devices can also be detected.

The developers of "PcTattletale" offer a free trial version of the application to try out for a week. Recorded images remain available after this period. Software developer Brian Fleming indicates that the data will be deleted, but with some delay at the end of the trial period, preserving the materials for those who want to use a paid subscription. You need to be careful as someone might be gaining access to your PC or smartphone. After all, the installation of stalker software takes only a few minutes.

Новая iOS 15 уже взломана

Видео, загруженное одновременно с запуском новой iOS 15, показывает, как получить доступ к содержимому заметок пользователя iPhone без разблокировки устройства. 

Специалист по кибербезопасности Хосе Родригес опубликовал данные об уязвимости в iOS 14.8 и iOS 15.

Уязвимость получает доступ к Siri Assistant для активации программы чтения с экрана VoiceOver. Затем, путем манипуляций с секундомером, удается получить доступ к содержимому заметок, сохраненных на iPhone. Там исследователь копирует текст и передает его на другой смартфон. Отклонив входящий вызов, Родригес отправляет сообщение, вставив содержимое заметки. При этом смартфон остается заблокированным.

Далее эксперт демонстрирует метод определения телефонного номера устройства. Создавая ссылку в заметке, Родригес инициирует звонок на по-прежнему заблокированном iPhone. Недостаток относительный, поскольку Siri и Центр управления активируются на экране блокировки, но для этого требуется физический доступ к iPhone. Хосе Родригес решил опубликовать эту уязвимость, чтобы показать недостатки программы Apple Bug Bounty, которая платит любому, кто обнаружит дыры в системе.

Специалист утверждает, что получил 25000 долларов за выявленную уязвимость, и только 5000 долларов за более серьезную недоработку. Ответ на отчет при этом может занять несколько месяцев. Исследователь ранее уведомлял Apple о двух уязвимостях, позволяющих обойти блокировку экрана, CVE-2021-1835 и CVE-2021-30699, для устранения которых Apple выпустила обновления в апреле и мае. Однако Родригес указывает, что решение только ограничило проблему, но не исправило ее, что и позволило эксперту найти новую уязвимость.

The new iOS 15 is already jailbroken

***

ENG

***

The new iOS 15 is already jailbroken

The video, uploaded at the same time as the launch of the new iOS 15, shows how to access the content of an iPhone user's notes without unlocking the device.

Cybersecurity Specialist Jose Rodriguez has published data on the vulnerability in iOS 14.8 and iOS 15.

Vulnerability gains access to Siri Assistant to activate VoiceOver screen reader. Then, by manipulating the stopwatch, it is possible to access the contents of the notes saved on the iPhone. There, the researcher copies the text and transfers it to another smartphone. After rejecting the incoming call, Rodriguez sends the message by pasting the contents of the note. In this case, the smartphone remains locked.

Next, the expert demonstrates a method for determining the phone number of a device. By creating a link in a note, Rodriguez initiates a call on the still locked iPhone. The downside is relative, as Siri and Control Center are activated on the lock screen, but this requires physical access to the iPhone. Jose Rodriguez decided to post this vulnerability to expose the flaws of the Apple Bug Bounty program, which pays anyone who finds holes in the system.

The specialist claims to have received $ 25,000 for the identified vulnerability, and only $ 5,000 for a more serious flaw. The response to the report may take several months. The researcher previously notified Apple of two vulnerabilities to bypass screen lock, CVE-2021-1835 and CVE-2021-30699, for which Apple released updates in April and May. However, Rodriguez points out that the solution only limited the problem, but did not fix it, which allowed the expert to find the new vulnerability.

Новый iPhone сможет диагностировать признаки депрессии

Apple сотрудничает с Калифорнийским университетом, фармацевтической компанией Biogen и Университетом Дьюка, чтобы определить, могут ли такие данные, как выражение лица и измерения характеристик нажатия клавиш, быть маркерами проблем психического здоровья.

В отношении  Covid-19 и ряда других заболеваний университеты и медицинские группы проводят эксперименты с умными часами и смартфонами. Было обнаружено, что данные, считываемые их датчиками, и в частности счетчик частоты сердечных сокращений, могут предсказать первые признаки, приводящие к респираторному дистрессу из-за текущего коронавируса или других заболеваний.

Калифорнийский университет, фармацевтическая компания Biogen и Университет Дьюка в сотрудничестве с Apple работают над диагностикой признаков депрессии, умеренного снижения когнитивных функций и детского аутизма. The Wall Street Journal сообщает, что Apple в долгосрочной перспективе работает над надежным алгоритмом диагностики, основанном на  биометрических данных, собранных с помощью iPhone и Apple Watch.

Эксперимент под руководством Укла называется Seabreeze и продлится три года. Проект стартовал год назад с пилотного тестирования, в котором приняли участие 150 человек. Во втором этапе примут участие 3000 человек. Целью исследовании является выявление признаков стресса, беспокойства и депрессии на основе данных виртуальной клавиатуры iPhone, селфи-камеры и микрофона, которые действуют как датчики. Ученые анализируют выражение лица и способы самовыражения, определяя эмоциональное состояние человека. Учитывается также скорость набора на  виртуальной клавиатуре, а также ошибки. Через Apple Watch организуется контроль сердечной и дыхательной активности. Аксессуар Beddit используется для оценки качества сна. 

Проект, возглавляемый Biogen, называется Pi. Он направлен на выявление признаков аутизма у детей на основе анализа данных работы когнитивных функций. Исследователи планируют собрать данные 20000 человек для выявления признаков умеренных когнитивных нарушений. Эксперимент продлится два года. Исследование основано на данных Apple Watch и iPhone. Ученые из Университета Дьюка помимо этого анализируют массив данных с фотодатчиков для оценки уровня концентрации внимания детей .

Как отмечает WSJ, Apple с надеждой ожидает результатов этих исследований. Производитель планирует интегрировать в следующий iPhone приложение или функцию, которая будет предупреждать пользователя в случае появления маркеров заболеваний. 

Если Apple реализует эти решения на своих устройствах, сбор данных различными датчиками вновь выдвинет на первый план проблемы, связанные с защитой личных данных пользователей.

New iPhone will be able to diagnose signs of depression

***

ENG

***

New iPhone will be able to diagnose signs of depression

Apple is working with the University of California, pharmaceutical company Biogen and Duke University to determine if data such as facial expressions and keystroke measurements could be markers for mental health problems.

For Covid-19 and a range of other diseases, universities and medical groups are experimenting with smartwatches and smartphones. It was found that the data read by their sensors, and in particular the heart rate counter, can predict the first signs leading to respiratory distress due to the current coronavirus or other diseases.

The University of California, pharmaceutical company Biogen and Duke University are working with Apple to diagnose signs of depression, mild cognitive decline, and childhood autism. The Wall Street Journal reports that Apple is working in the long term on a robust diagnostic algorithm based on biometric data collected from the iPhone and Apple Watch.

Ukla's experiment is called Seabreeze and will run for three years. The project started a year ago with a pilot test, in which 150 people took part. The second stage will be attended by 3000 people. The aim of the study is to identify signs of stress, anxiety and depression based on data from the iPhone's virtual keyboard, selfie camera and microphone, which act as sensors. Scientists analyze facial expressions and ways of expressing themselves, determining the emotional state of a person. The typing speed on the virtual keyboard is also taken into account, as well as errors. Apple Watch organizes monitoring of heart and respiratory activity. The Beddit accessory is used to assess the quality of sleep.

The project, led by Biogen, is called Pi. It aims to identify signs of autism in children based on the analysis of data on the work of cognitive functions. The researchers plan to collect data from 20,000 people to look for signs of mild cognitive impairment. The experiment will last for two years. Research based on data from Apple Watch and iPhone. Scientists from Duke University are also analyzing data from photo sensors to assess the level of attention span of children.

As the WSJ notes, Apple looks forward to the results of these studies. The manufacturer plans to integrate an application or function into the next iPhone that will alert the user in the event of disease markers.

If Apple implements these solutions on its devices, the collection of data by various sensors will again highlight the challenges of protecting users' privacy.

Иранский ученый убит с использованием технологий искусственного интеллекта

Для устранения Мохсена Фахризаде, старшего научного сотрудника, отвечающего за ядерную программу Ирана, МОССАД использовал роботизированное оружие, управляемое дистанционно и поддерживаемое ИИ.

Согласно информации, полученной The New York Times, 27 ноября 2020 года ведущий ученый-ядерщик Ирана Мохсен Фахризаде был убит посредством управляемого со спутника  роботизированного пулемета. Профессор физики, «Страж революции», посвятил себя иранской ядерной программе, разработке ядерных боеголовок. Он получил смертельные четыре пули калибра 7,62, когда вез жену на личном автомобиле в загородный дом на востоке Тегерана. Оружие было спрятано в грузовике, полном щебня, припаркованном у обочины.

Скрытая в грузовике система вооружения весила около тонны и была доставлена ​​в Иран по частям для обхода проверок, а затем собрана. Она включала набор камер, которые позволили МОССАД управлять пулеметом на расстоянии 1500 км через ретранслятор спутниковой связи. Поскольку пульт дистанционного управления при помощи спутника генерирует задержку немногим более, чем 1,5 секунды, искусственный интеллект поддерживал усилия агентов по прогнозированию двигательной активности в автомобиле. ИИ также задействовал систему распознавания лиц, чтобы гарантировать, что объектом нападения станет именно Мохсен Фахризаде. Атака, в которой осталась в живых жена ученого, показывая эффективность и точность использованного алгоритма, нанесла очень небольшой ущерб автомобилю.

В грузовике находился также заряд взрывчатого вещества. Его планировалось использовать для уничтожения оборудования после устранения ученого. Но взрыв не уничтожил полностью использованную систему вооружения. В результате «Стражи исламской революции» смогли оценить изощренность использованных методов. Ученый четырнадцать лет находился под прицелом израильских спецслужб и регулярно становился объектом заговоров и угроз. Желая вести нормальный образ жизни, он игнорировал протоколы безопасности. Это и привело его к гибели.

Одновременно с окончанием расследования роли ИИ в этом резонансном убийстве проходит Генеральная конференция Международного агентства по атомной энергии (МАГАТЭ), в которой участвуют 172 страны. Конференция в том числе рассматривает вопросы об ускорении ядерной программы Ирана с апреля. Сейчас страна обогащает уран до 60%. Обогащение происходит с полным нарушением международного иранского ядерного соглашения, которое ограничивает иранцев цифрой в 3,67% исключительно для нужд гражданского использования.

Iranian scientist killed using artificial intelligence technology

***

ENG

***

Iranian scientist killed using artificial intelligence technology

To eliminate Mohsen Fahrizadeh, a senior scientist in charge of Iran's nuclear program, Mossad used remotely controlled, AI-assisted robotic weapons.

Iran's leading nuclear scientist, Mohsen Fakhrizadeh, was killed by a satellite-controlled robotic machine gun on November 27, 2020, according to information obtained by The New York Times. Professor of physics, "Guardian of the Revolution", devoted himself to the Iranian nuclear program, the development of nuclear warheads. He received a fatal four 7.62 caliber bullets while driving his wife in a private car to a country house in the east of Tehran. The weapon was hidden in a truck full of rubble, parked by the side of the road.

The weapon system hidden in the truck weighed about a ton and was delivered to Iran in parts to bypass checks, and then assembled. It included a set of cameras that allowed Mossad to control the machine gun at a distance of 1,500 km via a satellite communications repeater. Since the satellite-assisted remote control generates a delay of just over 1.5 seconds, artificial intelligence has supported the agents' efforts to predict motor activity in the vehicle. The AI ​​has also deployed facial recognition to ensure that Mohsen Fakhrizadeh is targeted. The attack, in which the scientist's wife survived, proves the effectiveness and accuracy of the algorithm used, causing very little damage to the car.

The truck also contained an explosive charge. It was planned to be used to destroy equipment after the elimination of the scientist. But the explosion did not destroy the fully used weapon system. As a result, the "Guardians of the Islamic Revolution" were able to appreciate the sophistication of the methods used. The scientist was under the gun of the Israeli special services for fourteen years and regularly became the object of conspiracies and threats. Wanting to live a normal life, he ignored security protocols. This led to his death.

Simultaneously with the end of the investigation into the role of AI in this high-profile assassination, the General Conference of the International Atomic Energy Agency (IAEA), in which 172 countries participate. The conference also considers issues of accelerating Iran's nuclear program since April. Now the country is enriching uranium up to 60%. The enrichment is taking place in complete violation of the international Iranian nuclear agreement, which limits the Iranians to a figure of 3.67% solely for civilian use.

Мощная солнечная буря может отключить интернет на несколько недель

Нет связи в течение 5 минут и у вас шок? Представьте себе, какой станет ваша жизнь, если глобальный Интернет отключить на несколько недель. По мнению исследователей, такой риск влечет за собой мощная солнечная буря. Проблема, к которой нужно подготовиться.

На Земле постоянно дует солнечный ветер, состоящий из заряженных частиц. В большинстве случаев они блокируются магнитным полем, окружающим нашу планету. Но иногда солнечный ветер превращается в шторм. И умудряется проскользнуть в атмосферу через полюса, угрожая навигационным системам и электрическим сетям. А также сетям связи.

Исследователи из Калифорнийского университета в Ирвине (США) утверждают, что последствия такой солнечной бури могут быть гораздо хуже, чем представляется сейчас. Достаточно большой выброс корональной массы может вызвать сбой сети Интернет, который может длиться несколько недель. Или даже месяцев.

К счастью, такие солнечные бури случаются редко. По крайней мере, те, которым удается добраться до Земли. По оценкам исследователей вероятность возникновения такой бури составляет от 1,6 до 12% за десятилетие. В недавней истории учеными хорошо описано  знаменательное «Событие Кэррингтона» 1859 года, мощнейшая за историю наблюдений геомагнитная буря, «Солнечный супершторм». Ею был нанесен серьезный ущерб телеграфным системам, которые буквально искрили.

С тех пор зависимость общества от технологий и, в частности, от Интернета продолжает расти. Руководители электросетей учитывают риск, связанный с солнечными бурями. Немногочисленные исследования по потенциальным последствиям для глобальной интернет-сети выносят вердикт: инфраструктура не подготовлена.

Кабели, соединяющие континенты, проложены по дну морей и оснащены усилителями сигналов. Они особенно чувствительны к геомагнитным токам, вызванным заряженными солнечными частицами. Если один репитер вышел из строя, работа всего кабеля может дать сбой. В этом отношении сеть достаточно устойчива: можно перейти на другой маршрут, если отрезан самый короткий. Но если одновременно выйдет из строя большое число ретрансляторов, есть вероятность, что целые континенты окажутся отрезанными друг от друга. На время сложного подводного ремонта.

По оценкам исследователей, один день прерванного подключения к Интернету для Соединенных Штатов будет стоить более 7 миллиардов долларов. Представьте последствия аварийного отключения, которое длится недели или месяцы. Исследователи предупреждают, что, когда будет зафиксирована мощная солнечная буря на уровне планеты, у человечества будет около 13 часов, чтобы отреагировать. Подготовка к такому событию заключается в увеличении числа кабелей на низких широтах - поскольку высокие широты более уязвимы, и именно там  находятся кабели, соединяющие Европу и Соединенные Штаты. Всю инфраструктуру, расположенную выше 40° северной широты необходимо обезопасить за счет лучшей изоляции подводных кабелей и применения ударопрочных материалов. Спутники связи также могут выйти из строя. Хорошие новости в том, что, по мнению ученых, местная связь станет работать лучше. На оптоволоконный кабель не действуют геомагнитные потоки.

A powerful solar storm could shut down the internet for weeks

***

ENG

***

A powerful solar storm could shut down the internet for weeks

No connection for 5 minutes and you have a shock? Imagine what your life would be like if the global Internet was turned off for several weeks. According to the researchers, such a risk comes with a powerful solar storm. A problem to prepare for.

On Earth, the solar wind is constantly blowing, consisting of charged particles. In most cases, they are blocked by the magnetic field that surrounds our planet. But sometimes the solar wind turns into a storm. And it manages to slip into the atmosphere through the poles, threatening navigation systems and electrical grids. And also communication networks.

Researchers from the University of California at Irvine (USA) argue that the consequences of such a solar storm could be much worse than it seems now. A large enough coronal mass ejection can cause an Internet outage that can last for several weeks. Or even months.

Fortunately, such solar storms are rare. At least those who manage to get to Earth. Researchers estimate the likelihood of such a storm being 1.6 to 12% per decade. In recent history, scientists have well described the significant "Carrington Event" of 1859, the most powerful geomagnetic storm in the history of observation, the "Solar Superstorm". It caused serious damage to the telegraph systems, which literally sparked.

Since then, society's dependence on technology and, in particular, on the Internet has continued to grow. Electricity managers are mindful of the risk associated with solar storms. Few studies on the potential implications for the global Internet reach the verdict: the infrastructure is not prepared.

The cables connecting continents run along the seabed and are equipped with signal amplifiers. They are especially sensitive to geomagnetic currents caused by charged solar particles. If one repeater fails, the entire cable may malfunction. In this respect, the network is quite stable: you can switch to another route if the shortest one is cut off. But if a large number of repeaters fail at the same time, it is likely that entire continents will be cut off from each other. During a difficult underwater repair.

Researchers estimate that one day of interrupted Internet connections for the United States will be worth more than $ 7 billion. Imagine the consequences of a blackout that lasts weeks or months. When a massive solar storm is recorded at planetary level, the researchers warn, humanity will have about 13 hours to react. Preparation for such an event is to increase the number of cables at low latitudes - since high latitudes are more vulnerable, and this is where the cables connecting Europe and the United States are located. All infrastructure located above 40 ° north latitude must be secured through better insulation of submarine cables and the use of shock-resistant materials. Communication satellites can also fail. The good news is that, according to scientists, local communications will work better. The fiber optic cable is not affected by geomagnetic currents.

Microsoft Surface Duo 2: смартфон от Microsoft получит 3 года обновлений ОС Android

После громких заявлений о технических нововведениях Microsoft раскрывает секреты программного обеспечения нового смартфона.

В новом Surface Duo 2, представленном несколько дней назад, компания устранила все недостатки, выявленные в работе первой модели. Владельцы Surface Duo 2 получат аппарат с 5G-модемом и процессором Qualcomm Snapdragon 888 с 8 ГБ оперативной памяти.

Фотоблок телефона оснащен тройным блоком датчиков: 

• 12-мегапиксельным широкоугольным (f / 1,7), 
• еще одним 12-мегапиксельным с двухкратным соотношением между фокусным расстоянием объектива и максимальной диафрагмой объектива (f / 2,4) и сверхбольшим углом.

Но самые интересные новости касаются не технического оснащения Surface Duo 2, а программной поддержки, которую предоставляет Microsoft. Android Authority сообщает, что издатель операционной системы «обязуется предоставлять обновления в течение трех лет», будь то операционная система или проблемы с безопасностью.

Android Authority также сообщает, что первая модель Surface Duo получит обновление Android 11 «до конца года». 

Surface Duo 2 поступит в продажу 21 октября по цене 1599 евро.

Источник: Android Authority.

Microsoft Surface Duo 2: Microsoft's smartphone will receive 3 years of Android OS updates

***

ENG

***

Microsoft Surface Duo 2: Microsoft's smartphone will receive 3 years of Android OS updates

After loud announcements of technical innovations, Microsoft reveals the secrets of the software of the new smartphone.

In the new Surface Duo 2, presented a few days ago, the company has eliminated all the shortcomings identified in the first model. Surface Duo 2 owners will receive a device with a 5G modem and a Qualcomm Snapdragon 888 processor with 8 GB of RAM.

The photo block of the phone is equipped with a triple block of sensors:

12-megapixel wide-angle (f / 1.7),

another 12-megapixel with 2x the ratio between the focal length of the lens and the maximum aperture of the lens (f / 2.4) and an ultra-wide angle.

But the most interesting news is not about the technical equipment of the Surface Duo 2, but about the software support that Microsoft provides. Android Authority says the operating system publisher is “committed to providing updates within three years,” whether it be the operating system or security issues.

Android Authority is also reporting that the first Surface Duo model will receive the Android 11 update "before the end of the year."

Surface Duo 2 will go on sale on October 21st for € 1,599.

Source: Android Authority.

Американский гигант электронной коммерции готовит новые устройства для Alexa

Звуковую панель и настенное Echo предложит Amazon в новой линейке подключаемых устройств.

Bloomberg сообщает, что Amazon работает над двумя новыми устройствами. Возможно, это только слухи, подтверждение которым появится достаточно быстро: очевидно, что  новые устройства для Alexa будут представлены в ближайшее время. Совсем недавно Amazon официально представила домашний дрон для наблюдения. Поэтому выход более "простых" устройств весьма вероятен.

Amazon в настоящее время работает над звуковой панелью и динамиком, подключенный к Echo, которые размещаются на стене. Звуковая панель будет оснащена Alexa со встроенной камерой. Устройство позиционируется как конкурент аналогичных продуктов Facebook. Преимуществом новой звуковой настенной панели станет то, что ее можно будет сопрягать с телевизором.

Второе  устройство - аналог Echo Show с экраном. Монитор настенной версии будет иметь диагональ около 15 дюймов; его можно будет разместить и на подставке. Но основное его размещение - это стены, где он предназначен функционировать в качестве панели управления домом, или для выполнения роли видеостены в данной комнате благодаря наличию Netflix.

Источник: Bloomberg / TheVerge

***

ENG

***

American e-commerce giant is preparing new devices for Alexa

Soundbar and Wall Mount Echo will be offered by Amazon in a new line of connected devices.

Bloomberg reports that Amazon is working on two new devices. Perhaps these are just rumors, confirmation of which will appear quite quickly: it is obvious that new devices for Alexa will be presented soon. More recently, Amazon officially unveiled its home surveillance drone. Therefore, the release of more "simple" devices is very likely.

Amazon is currently working on a wall-mounted soundbar and speaker connected to the Echo. The soundbar will be equipped with Alexa with a built-in camera. The device is positioned as a competitor to similar Facebook products. The advantage of the new sound wall panel is that it can be paired with a TV.

The second device is an analogue of the Echo Show with a screen. The wall-mounted monitor will have a diagonal of about 15 inches; it can also be placed on a stand. But its main placement is the walls, where it is intended to function as a home control panel, or to act as a video wall in a given room thanks to the presence of Netflix.

Source: Bloomberg / TheVerge

🚀🛸🛰

Обзор самых интересных событий в сфере информационных технологий по версии блога "В мире ИТ" подошел к концу. Ждем ваших пытливых и конструктивных замечаний, дополнений, советов и отзывов на представленный материал.

До новых встреч!

***

ENG

***

The review of the most interesting events in the field of information technology according to the blog "In the IT World" has come to an end. We are waiting for your inquisitive and constructive comments, additions, advice and feedback on the presented material.

Until next time!

ЕЩЕ ПО ТЕМЕ * MORE:

🆕ТОП-10 IT-новостей. Третья неделя сентября 2021 | TOP 10 IT news. Third week of September 2021

🎢ТОП-10 IT-новостей. Вторая неделя сентября 2021 

TOP 10 IT news. Second week of September 2021

📱ТОП-10 ИТ- новостей. Первая неделя сентября 2021 года  TOP 10 IT news. First week of September 2021

ВСЕ НОВОСТИ БЛОГА "В МИРЕ ИТ" * ALL BLOG NEWS "IN THE WORLD IT"

#technologies

 

АНОНСЫ СТАТЕЙ БЛОГА "В МИРЕ ИТ" ЧИТАЙТЕ:

ANNOUNCEMENTS OF BLOG ARTICLES "IN THE WORLD OF IT" READ:

  ВКОНТАКТЕ

  FACEBOOK 

 TWITTER 

  INSTAGRAM

 ОДНОКЛАССНИКИ

Блог В мире ИТ      Blog In the world of IT

#technews, #inventor,  #news, #updates, #technology, #information, #hi-tech, #dailyfact,