На этой странице перечисляются ясно установленные случаи уязвимости несвободных программ, которые имели тяжкие последствия или примечательны по другим причинам. Хотя большинство из этих прорех безопасности непреднамеренны и таким образом не являются вредоносными в узком смысле, мы сообщаем о них, чтобы показать, что несвободные программы не так безопасны, как говорит широкая пресса.

Это не значит, что свободные программы не подвержены ошибкам или недочетам в защите. Разница между свободными и несвободными программами в этом отношении состоит в устранении ошибок: пользователи свободных программ могут изучать программу и устранять ошибки, которые они найдут, часто в сообществах, поскольку они могут обмениваться программой, в то время как пользователи несвободной программы вынуждены полагаться в исправлениях на разработчика программы.

Если разработчик не позаботится об устранении проблемы — а часто так и бывает в случае встроенных систем и старых выпусков — пользователи ничего не могут поделать. Но если разработчик и предоставляет исправленную версию, в ней вместе с исправлениями ошибок могут быть новые вредоносные функции.

• 2024-09

  В автомобили Kia был заложен черный ход, позволявший серверу компании определять их местоположение и перехватывать управление ими. У владельца автомобиля был доступ к этим органам управления через сервер Kia. Тг, что у владельца автомобиля был бы такой доступ, само по себе не вызывает возражений. Однако то, что у самой Kia был такой контроль, выглядит по-оруэлловски и должно быть противозаконно. Вдобавок к этому в защите сервера была прореха, которая позволяла абсолютно всем задействовать эти органы управления в любом автомобиле Kia.

  Многие будут возмущаться из-за этого недочета в защите, но это было, вероятно, случайностью. Тот факт, что у Kia был контроль над проданными клиентам автомобилями,— вот что возмущает нас, и это, должно быть, было со стороны Kia преднамеренным.

• 2024-01

  Диски UHD Blu-ray загружены вредоносными программами наихудших видов. Кроме прочего, для воспроизведения таких дисков на персональном компьютере требуются Расширения программной охраны Intel (SGX), которые не только включают в себя многочисленные уязвимости защиты, но также были не рекомендованы к применению и удалены из основных процессоров Intel в 2022 году.

• 2023-12

  Черный ход в устройствах Apple, который присутствовал и которым злоупотребляли по меньшей мере с 2019 до 2023 года, позволял взломщикам получить полный контроль над устройствами с помощью текстов iMessage, которые устанавливали вредоносные программы безо всяких действий со стороны пользователя. Эти программы, кроме прочего, предоставляли злоумышленникам доступ к микрофонным записям владельцев, их фотографиям, местоположению и другим персональным данным.

• 2023-11

  Компьютеры на процессорах архитертуры x86 и ARM, включающие в себя UEFI, потенциально уязвимы к упущению при проектировании под названием LogoFAIL. Взломщик может подменить графическую заставку BIOS на заставку, содержащую вредоносные программы. Пользователи не могут устранить это упущение, поскольку эти программы UEFI несвободны, и пользователи не могут из заменить.

• 2022-11

  Хакеры обнаружили десятки прорех в защите (в обычном узком смысле) автомобилей многих марок.

  Защита в обычном узком смысле означает защиту от неизвестных третьих сторон. Нас больше беспокоит защита в более широком смысле — против производителя, а также против неизвестных третьих сторон. Ясно, что любая из этих уязвимостей может эксплуатироваться и производителем, а также любым государством, которое может достаточно запугать производителя, чтобы принудить его к сотрудничеству.

• 2022-10

  Шифрование в Microsoft Office слабо и плохо противостоит взлому.

  Шифрование — предмет капризный, в нем легко наломать дров. Мудрые люди настаивают на программах шифрования, которые (1) свободны и (2) исследованы экспертами.

• 2022-08

  Исследователь безопасности обнаружил, что встроенный в приложения iOS браузер TikTok вставляет программы на JavaScript для записи действий пользователя во внешние страницы сайтов. Эти программы могут отслеживать деятельность пользователя, а также извлекать любые персональные данные, вводимые на страницах. У нас нет способа проверить заявление TikTok о том, что эти программы служат только чисто техническим целям. Некоторые из получаемых данных могли бы легко сохраняться на серверах компании и даже передаваться третьим сторонам. Это открывало бы дверь для широкомасштабной слежки, в том числе со стороны китайского правительства (с которым TikTok косвенно связан). Есть также риск, что данные будут похищены злоумышленниками и применяться для организации взломов.

  Встроенные в приложения iOS браузеры Instagram и Facebook работают по сути так же, как TikTok. Главное отличие состоит в том, что Instagram и Facebook позволяют пользователям заходить на сайты третьих сторон с помощью их основного браузера, в то время как TikTok делает это почти невозможным.

  Исследователь не изучал версии встроенных в приложения браузеров для Android, но у нас нет причин предполагать, что они безопаснее, чем версии для iOS.

  Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.

• 2022-07

  Ошибка в программах автомобилей Tesla позволяет взломщикам устанавливать новые ключи автомобиля, отпирать машины, включить двигатели и даже не пускать настоящих владельцев в их автомобиль.

  Взломщик сообщал даже, что он смог отключить системы безопасности и захватить контроль над 25 автомобилями.

  Заметьте, что в этих статьях термин “хакеры” неверно используется для обозначения взломщиков.
• 2022-02

  В результате ошибки в безопасности Microsoft Windows компьютеры пользователей заражаются вредоносной программой-вором RedLine с помощью фальшифого установщика обновления Windows 11.

• 2022-01

  Критичная ошибка в iOS компании Apple дает взломщикам возможность изменять событие выключения системы, заставляя пользователя думать, что телефон выключен. Но на самом деле оно работает, и для пользователя невозможно отличить настоящее выключение от фальшивого.

• 2021-11

  Сотни водителей Tesla были лишены доступа к своим автомобилям в результате отказа приложения Tesla. Это случилось из-за того, что приложение было привязано к серверам компании.

• 2021-11

  Исследователи из Google нашли уязвимость нулевого дня в MacOS, которой взломщики пользовались во вред людям, посещавшим сайты информационного филиала демократически настроенной трудовой политической группы в Гонконге.

  Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.

• 2021-08

  Различные модели камер охраны и наблюдения за грудными детьми, работающими под управлением несвободных программ, подвержены уязвимости, которая могла бы позволить злоумышленникам получить доступ к видеопотоку.

• 2021-07

  Программа-шпион Pegasus применяла уязвимости в несвободных операционных системах смартфонов, чтобы навязывать людям слежку. Она может записывать переговоры людей, копировать их сообщения, а также тайно делать видеозаписи с помощью пробела в защите. Технический анализ этой программы-шпиона опубликован в формате PDF.

  Свободная операционная система позволила бы людям самим устранять ошибки, но теперь зараженных заставят ждать, пока корпорации устранят проблемы.

  Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.

• 2021-07

  Недавно обнаруженная уязвимость Microsoft Windows может позволять взломщикам получать удаленный доступ к операционной системе и устанавливать программы, просматривать и удалять данные и даже создавать новые учетные записи с полными пользовательскими правами.

  Из фирмы, занимающейся исследованиями безопасности, случайно произошла утечка инструкций о том, как можно воспользоваться прорехой, но пользователи Windows все равно должны ждать, пока Microsoft ее устранит, если они вообще это сделают.

  Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.

• 2021-06

  Приложения TikTok собирают биометрические идентификаторы и биометрическую информацию из смартфонов пользователей. Компания, выпускающая приложения, делает, что хочет, и собирает все данные, какие может.

• 2021-05

  Apple перемещает данные iCloud своих клиентов в центр данных, контролируемый китайским правительством. Apple уже хранит ключи шифрования на этих серверах, подчиняясь китайским органам, что делает все данные китайских пользователей доступными правящему режиму.

• 2021-05

  Компания-производитель мотоциклов под названием Klim продает жилеты с подушками безопасности, принимая оплату различными методами, один из них — фирменный способ на основе подписки, при котором жилет не станет раздуваться, если платежи не прошли.

  Они говорят, что есть тридцатидневный период отсрочки, если вы пропустили платеж, но отсрочка не оправдывает отключение подушек безопасности.

• 2021-05

  По некоторым сообщениям, правительство Соединенных Штатов рассматривает возможность объединения с частными компаниями для наблюдения за частной деяетльностью и цифровой связью американских граждан.

  Это делает возможным тот факт, что эти компании уже подглядывают за частной деятельностью пользователей. А это, в свою очередь, вытекает из того, что люди пользуются несвободными программами, которые подглядывают, и сетевыми медвежьими услугами, которые подглядывают.

• 2021-04

  Исследователи раскрыли уязвимость нулевого дня в Zoom, которую можно применять для запуска атак исполнения кода на расстоянии. Исследователи продемонстрировали цепь атаки из трех ошибок, которая привела к исполнению кода на подопытной машине — и все это без какого-либо взаимодействия с пользователем.

• 2021-03

  Свыше 150 тысяч камер наблюдения, в которых применялись несвободные программы компании Verkada, были взломаны с помощью серьезного упущения в защите. Взломщики получили доступ к архивам охраны различных спортзалов, больниц, тюрем, школ и отделений полиции, которые применяли камеры Verkada.

  По отношению к обществу несправедливо, когда спортзалы, магазины, больницы и школы вручают записи “охраны” компании, у которой государство может собирать их в любое время, не говоря им об этом.

  Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.

• 2021-03

  По меньшей мере 30 тысяч организаций в Соединенных Штатах недавно “взломаны” с помощью дыр в несвободной почтовой программе Microsoft под названием Microsoft 365. Неясно, есть ли другие дыры и уязвимости в этой программе, но история и опыт говорят нам, что едва ли это последнее бедствие, связанное с несвободными прораммами.

• 2021-02

  Исследователи фирмы SentinelOne, занимающейся безопасностью, открыли прореху в защите несвободной программы Microsoft Windows Defender, которая скрывалась 12 лет. Если бы программы была свободной (от слова “свобода”), у большего числа людей была бы возможность заметить проблему, следовательно, она могла бы быть устранена гораздо раньше.

• 2021-01

  Взломщик получил контроль над подключенными к Интернету поясами верности и потребовал выкуп. Пояса верности управляются несвободным приложением (программой для мобильных устройств).

  (Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.)

• 2020-12

  Коммерческие программы для взлома могут извлекать пароли из ай-чудищ, использовать микрофон и камеру и т.д.

• 2020-12

  Руководитель Zoom проводил цензуру и слежку для китайского правительства.

  Это злоупотребление властью Zoom показывает, как опасна эта власть. Проблема коренится не в слежке и цензуре, а во власти, которой обладает Zoom. Он получает эту власть частично из-за пользования его сервером, но частично также из-за несвободной программы-клиента.

• 2020-12

  Должностные лица Соединенных Штатов столкнулись с одним из крупнейших за многие годы взломов их систем, когда вредоносные программы проникли в несвободную программу SolarWind под названием Orion. Взломщики могли просматривать внутреннюю электронную почту в некоторых из высших органов США.

  (Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.)

• 2020-12

  Приложения Baidu уличены в сборе персональных данных, которые могут применяться для пожизненного отслеживания пользователей и ставить их под угрозу. Под действие этих несвободных приложений попадает более 1,4 миллиарда человек по всему миру. Эти несвободные небезопасные приложения и инструменты слежки подрывают неприкосновенность личной жизни пользователей. Данные, собранные Baidu, могут передаваться китайскому правительству, это может быть опасно для людей в Китае.

• 2020-11

  В некоторых беспроводных маршрутизаторах Wavelink и JetStream есть универсальный черный ход, который позволяет неидентифицированным пользователям удаленно контролировать не только эти маршрутизаторы, но также любые устройства, подключенные к сети. Есть свидетельство, что эта уязвимость активно эксплуатируется.

  Если вы подумываете о покупке маршрутизатора, мы советуем вам остановиться на одном из работающих под управлением свободных программ. Любые попытки ввода в него вредоносных функций (напр., через обновление программ в них) будет обнаружено сообществом и вскоре исправлено.

  Если вам не посчастливилось иметь маршрутизатор, работающий на несвободных программах, не отчаивайтесь! Возможно, вам удастся заменить его программы на свободную операционную систему, такую как libreCMC. Если вы не знаете, как это делается, обратитесь в ближайшую группу пользователей GNU/Linux.

• 2020-11

  Компания Apple реализовала вредоносные программы на своих компьютерах, которые навязывают слежку за пользователями и высылают в Apple отчеты о вычислениях пользователей.

  Отчеты даже не шифруются, утечка этих данных проходит уже два года. Эти вредоносные программы сообщают в Apple, что открывает пользователь, какой программой и в какое время. Они дают также Apple власть саботировать вычисления пользователей.

• 2020-10

  Samsung принуждает пользователей своих смартфонов в Гонконге (и Макао) пользоваться публичным DNS в материковом китае с помощью обновления программ, выпущенных в сентябре 2020 года, что приносит много беспокойства и проблем приватности.

• 2020-08

  Компания TikTok эксплуатировала уязвимость Android, чтобы получать адреса MAC пользователей.

• 2020-06

  Катастрофическая ошибка в защите затрагивает миллионы продуктов в Интернете клещей.

  В результате ужалить пользователя может любой, а не только изготовитель.

• 2020-04

  Незащищенность несвободной программы Microsoft Teams позволяла красть пользовательские данные из учетных записей Microsoft Teams с помощью сформированных злоумышленником файлов GIF, возможно, в пределах целой компании, и получать контроль над “всем списком учетных записей организации”.

• 2020-04

  Новая система предотвращения обмана Riot Games вредоносна; она выполняется при загрузке системы на уровне ядра под Windows. Это отрицательно сказывается на безопасности, поскольку расширяет поверхность атаки операционной системы.

• 2019-11

  В привязанном к Интернету Amazon Ring была уязвимость, которая позволяла злоумышленникам получить доступ к паролю беспроводной связи пользователя и подглядывать за домом через подключенные устройства наблюдения.

  Знания пароля беспроводной связи было бы недостаточно для проведения какой бы то ни было значительной слежки, если бы в устройствах была реализована серьезная защита с шифрованием. Но во многих устройствах с несвободными программами этого нет. Конечно, они тоже применяются их производителями для подглядывания.

• 2019-08

  Ряд уязвимостей, найденных в iOS, позволял злоумышленникам получить доступ к конфиденциальной информации, в том числе личным сообщениям, паролям, фотографиям и адресам, сохраненным на ай-чудищах пользователя.

  Вопиющая уязвимость ай-чудищ тем более актуальна, что несвободные программы Apple делают пользователей полностью зависимыми от Apple при получении даже крох безопасности. Это значит также, что устройства даже не пытаются предложить защиту от самой компании Apple.

• 2019-08

  Из 21 бесплатного антивирусного приложения под Android, которые были испытаны исследователями, восемь не смогли обнаружить вирус. Все они запрашивали опасные допуски или содержали рекламные программы слежки, причем семь из них несли в себе больший риск, чем среднее из 100 самых популярных приложений под Android.

  (Обратите внимание, что в статье слово “свободный” используется в отношении несвободных приложений. Авторам следовало использовать вместо этого слово “бесплатный”.)

• 2019-07

  Многие приложения Android могут отслеживать перемещения пользователей, даже когда пользователь не позволяет им получать доступ к местоположению.

  Это связано с очевидно непреднамеренной слабостью в Android, преднамеренно используемой вредоносными приложениями.

• 2019-05

  Пользователи, пойманные в тюрьму ай-чудищ — подсадные утки для других злоумышленников, а цензура приложений не позволяет компаниям по безопасности выяснять, как они взламывают устройства.

  Цензура приложений со стороны Apple несправедлива в принципе, и это нельзя было бы извинить, даже если из-за этого не возникали бы еще и угрозы безопасности.

• 2019-03

  В протоколе телеметрии Medtronics Conexus есть две уязвимости, которым подвержены несколько моделей имплантируемых дефибрилляторов и устройств, с которыми они соединяются.

  Этот протокол применяется с 2006 года, и сходные уязвимости были обнаружены в более раннем протоколе Medtronics в 2008 году. Очевидно, компания ничего не предпринимала для их устранения. Это значит, что нельзя рассчитывать, что разработчики несвободных программ будут устранять ошибки в своих продуктах.

• 2019-02

  Камера — дверной глазок Ring спроектирована так, что изготовитель (сейчас это Amazon) может смотреть все время. И вот оказывается, что смотреть в нее может кто угодно, и даже подделывать видеоизображение.

  Уязвимость третьей стороны, предположительно, была непреднамеренной, и я полагаю, в Amazon это исправят. Однако мы не думаем, что Amazon изменит устройство программы, которое позволяет Amazon смотреть через камеру.

• 2018-09

  Исследователи открыли способ скрывать голосовые команды в других звукозаписях, так что люди эти команды не слышат, но их слышат Alexa и Siri.

• 2018-08

  С начала 2017 года телефоны с Android собирают адреса ближайших сотовых вышек, даже когда службы местоопределения отключены, и отправляют эти данные в Google.

• 2018-08

  Взломщики нашли способ пробить защиту устройства Amazon и превратить его в устройство, подслушивающее для них.

  Это было для них нелегко. Для Amazon это было бы гораздо проще. Если какой-то правящий режим, скажем, Китай или США, велел Amazon сделать это под угрозой запрета продавать продукт в этой стране, как вы думаете, нашла бы компания Amazon в себе моральную силу сказать “нет”?

  (Эти взломщики, возможно, являются одновременно хакерами, но, пожалуйста, не употребляйте слово “хакерство” в значении “взлом защиты”.)

• 2018-07

  Siri, Alexa и все другие системы голосового управления могут быть взяты под контроль программами, которые воспроизводят команды в неслышимом людьми ультразвуковом диапазоне.

• 2018-07

  Некоторые телефоны Samsung случайным образом отсылают фотографии людям, записанным в адресной книжке владельца.

• 2017-12

  Одна из опасностей “Интернета клещей” заключается в том, что если у вас прекращается обслуживание Интернетом, вы также утрачиваете контроль над своим домом и бытовой техникой.

  В целях своей безопасности не пользуйтесь никакой бытовой техникой, подключающейся к настоящему Интернету.

• 2017-11

  В преднамеренном черном ходе в “машине управления” Intel есть также непреднамеренный черный ход.

• 2017-11

  Компания Amazon недавно пригласила потребителей быть простофилями и позволить сотрудникам служб доставки открывать их входные двери. Вот вам серьезная прореха в защите системы.

• 2017-09

  Плохая защита в некоторых автомобилях позволяет задействовать подушки безопасности по сети.

• 2017-09

  “Интеллектуальный” шприц для внутривенных инъекций в больницах подключен к Интернету. Естественно, его защита была взломана.

  (Заметьте, что в статье термин “хакеры” неверно используется для обозначения взломщиков.)

• 2017-08

  Отвратительная безопасность во многих устройствах Интернета клещей позволяет операторам связи подглядывать за людьми, которые ими пользуются.

  Не будь простофилей — откажись от всех клещей.

  (Очень жаль, что в статье употребляется слово “монетизировать”.)

• 2017-06

  Во многих моделях подключенных к Интернету камер есть лазейки.

  Это вредоносная функция, но кроме того это грубая уязвимость, поскольку любой, включая злоумышленников, может найти эти учетные записи и с их помощью забраться в видеокамеры пользователей.

• 2017-06

  Многие модели видеокамер с подключением к Интернету ужасающе уязвимы. В них есть учетные записи с прописанными в программе паролями, которые невозможно изменить, и удалить эти учетные записи тоже невозможно.

• 2017-06

  В черный ходе в процессора Intel— Intel Management Engine — 10 лет была серьезная прореха в безопасности.

  Уязвимость позволила взломщику получить доступ к системе Intel Active Management Technology (AMT) компьютера по Интернету с пустым паролем и правами администратора для доступа к клавиатуре, мыши и монитору, кроме прочих разрешений.

  Положение не улучшает то, что в более поздних процессорах Intel отключить Intel Management Engine невозможно. Таким образом, даже пользователи, активно работающие над своей безопасностью, не могут сделать ничего, чтобы защитить себя, кроме пользования машинами, в которых этого черного хода нет.

• 2017-05

  В несвободных программах, под управлением которых работают кардиостимуляторы, шприцы с инсулином и другие медицинские приборы, полным-полно грубых просчетов по части безопасности.

• 2017-05

  Пакет аудиодрайверов Conexant HD (версии 1.0.0.46 и более ранних), предустановленный на 28 моделей портативных компьютеров Hewlett-Packard, записывали в файл нажатия пользователя на клавиши. Любой процесс, у которого был доступ к MapViewOfFile, мог читать этот журнал. Более того, согласно modzero, “утечка информации через скрытый канал накопителя позволяет автору вредоносных программ перехватывать нажатия на клавиши без риска быть классифицированным алгоритмами антивирусов как вредоносная задача”.

• 2017-05

  Критические ошибки в Windows, которые накапливались в АНБ, а затем были разглашены группой Shadowbrokers, теперь применяются, чтобы заражать компьютеры под Windows с целью получения выкупа..

• 2017-04

  Многие устройства с Android можно взять под контроль через их подсистему Wi-Fi из-за ошибки в несвободных программах Broadcom, под управлением которых она работает.

• 2017-03

  Когда дезинфицирующая посудомоечная машина Miele из Интернета клещей в больнице подключается к сети, ее защита никуда не годится.

  Например, взломщик может получить доступ к файловой системе машины, заразить ее вредоносными программами и пользоваться ею как плацдармом для атак на другие устройства в той же сети. Поскольку эти машины применяются в больницах, это может поставить под угрозу сотни жизней.

• 2017-03

  ЦРУ использовало существующие уязвимости в “умных” телевизорах и телефонах, чтобы составить вредоносную программу, которая шпионит через их микрофоны и камеры, причем они выглядят так, как будто они выключены. Поскольку шпионская программа перехватывает сигналы, шифрование от этого не защищает.

• 2017-02

  Игрушки с микрофонами “CloudPets” раскрывают разговоры детей изготовителю. И знаете что? Взломщики нашли способ получать данные, собираемые при подслушивании изготовителем.

  Недопустимо уже то, что изготовитель и ФБР могли прослушивать эти разговоры.

• 2017-02

  Если вы покупаете “умный” автомобиль, дом, телевизор, холодильник и т.д., обычно предыдущие владельцы могут по-прежнему управлять им на расстоянии.

• 2017-02

  Мобильные приложения для связи умными, но дурацкими автомобилями отличаются очень слабой безопасностью.

  Это дополняет тот факт, что автомобиль содержит модем сотовой связи, который все время рассказывает, где он находится, Старшему Брату. Если вы владеете таким автомобилем, было бы мудрым отсоединить модем, чтобы выключить слежку.

• 2017-01

  Взломщик мог бы обратить датчики Oculus Rift в шпионские камеры после взлома компьютера, к которому они подключены.

  (К сожалению, в статье взломщики безосновательно называются “хакерами”.)

• 2017-01

  В телефонах Samsung есть прокол в защите, позволяющий устанавливать по SMS программы, требующие выкупа.

• 2017-01

  В WhatsApp есть особенность, которую описывали как “черный ход”, потому что она может позволить государству аннулировать шифрование в этом приложении.

  Разработчики заверяют, что это не задумывалось как черный ход, и вполне возможно, это правда. Но остается главный вопрос: функционирует ли это как черный ход? Раз программа несвободна, мы не можем проверить это, изучив ее.

• 2016-12

  “Умные” игрушки “Мой друг Кейла” и i-Que можно контролировать по сотовому телефону; физический доступ для этого не нужен. Это позволяет взломщикам прослушивать речь ребенка и даже говорить голосом самих игрушек.

  Это значит, что вор может голосом игрушки попросить ребенка открыть дверь, пока не видит мама.

• 2016-10

  Телефонные сети 4G LTE крайне слабо защищены. Связь по ним могут перехватывать третьи стороны для атак “человек посередине”.

• 2016-08

  Слабость защиты позволяет легко открывать двери 100 миллионов автомобилей, собранных компанией “Фольксваген”.

• 2016-08

  Для термостата с несвободными программами были разработаны вымогательские программы.

• 2016-08

  Уязвимость в Internet Explorer и Edge, позволяет злоумышленникам извлекать идентифицирующие данные учетных записей Microsoft, если пользователя обманом заставили перейти по вредоносной ссылке.

• 2016-07

  “Удаленные” сообщения WhatsApp удаляются не полностью. Их можно восстановить различными способами.

• 2016-07

  Недальновидная критика следящего приложения обнаружила, что вопиющие просчеты в безопасности позволяли любому подсматривать в персональные данные пользователя. Критика не говорит ни слова о том, что приложение отправляет персональные данные на сервер, где их полностью получает разработчик. Эта “служба” — для простофиль!

  У сервера, разумеется, есть “политика конфиденциальности”, и разумеется, она ничего не стоит, как почти все такие “политики”.

• 2016-07

  Уязвимость в интерфейсе Apple Image I/O позволила взломщику выполнять вредоносные программы из любого приложения, которое пользуется этим интерфейсом для отображения определенного рода графических файлов.

• 2016-07

  Ошибка в несвободной библиотеке ASN.1, применяемой на сотовых вышках, а также в телефонах и маршрутизаторах, позволяет получить контроль над этими системами.

• 2016-06

  В программах-антивирусах столько ошибок, что антивирусы ухудшают защиту.

  GNU/Linux в антивирусах не нуждается.

• 2016-05

  В “интеллектуальном доме” компании Samsung есть большая прореха безопасности; люди могут получать несанкционированный удаленный контроль над ним.

  Samsung заявляет, что это “открытая” платформа, так что за проблему частично ответственны разработчики приложений. Это, разумеется, верно, если эти приложения несвободны.

  Все, что называется “интеллектуальным”, скорее всего, будет водить вас за нос.

• 2016-04

  Ошибка в Messages, приложении для ай-штучек, позволила вредоносному сайту извлечь всю историю сообщений пользователя.

• 2016-04

  В видеокамерах систем безопасности, продаваемых через Amazon, найдены вредоносные программы.

  Камера, которая записывает на свой физический носитель и у которой нет соединения с сетью, не угрожает людям слежкой — через нее за людьми не будут поглядывать, и вредоносные программы в камере в этом отношении тоже не представляют угрозы.

• 2016-03

  В камерах наблюдения более 70 марок обнаружены недочеты безопасности, позволяющие кому угодно подглядывать через них.

• 2016-03

  Многие несвободные программы платежей передают данные незащищенным образом. Однако еще хуже то, что в этих приложениях платежи не анонимны.

• 2016-02

  В Nissan Leaf есть встроенный телефонный модем, позволяющий фактически кому угодно получать удаленный доступ к компьютерам и вносить изменения в различные настройки.

  Это нетрудно потому, что в системе нет проверки подлинности пользователя при доступе по модему. Однако даже если бы модем проводил проверку, нельзя было бы быть уверенными, что у Nissan нет доступа. Программы в автомобиле несвободны, это значит, они требуют от пользователей слепой веры.

  Даже если никто не подключается к автомобилю на расстоянии, модем сотовой связи позволяет телефонной компании постоянно отслеживать перемещения автомобиля; хотя можно физически удалить модем сотовой связи.

• 2016-02

  Кардиостимулятор под управлением несвободных программ был неверно настроен и едва не убил пациента. Чтобы понять, что было не так, и устранить это, человек должен был взломать удаленное устройство, которое устанавливает параметры в кардиостимуляторе (возможно, нарушая Закон об авторском праве цифрового тысячелетия). Если бы эта система работала под упавлением свободных программ, неполадку можно было бы устранить гораздо быстрее.

• 2015-10

  уязвимость Bluetooth, позволяющая посылать в устройства вредоносные программы, которые затем могут распространяться по компьютерам и другим устройствам FitBit, с которыми они взаимодействуют.

• 2015-10

  “Самошифрующиеся” жесткие диски шифруют с помощью несвободных внутренних программ, так что вы не можете им доверять. У дисков “My Passport” компании Western Digital есть черный ход.

• 2015-08

  Специалисты по безопасности обнаружили уязвимость в диагностических устройствах, применяемых для страхования и отслеживания маршрутов, которая позволяла им получить удаленный контроль над автомобилями посредством SMS.

• 2015-07

  Взломщикам удалось получить удаленный контроль над джипом “с соединением”. Они могли отслеживать автомобиль, включать и выключать двигатель, задействовать и отпускать тормоза и т.д.

  Мы предполагаем, что Крайслер и АНБ тоже это могут.

  Если у вас есть машина машина, в которой есть мобильный телефон, было бы неплохой мыслью его выключить.

• 2015-06

  Из-за плохой защиты в инфузионном насосе взломщики могут использовать его для убийства пациентов.

• 2015-05

  Многие приложения для смартфонов применяют небезопасные методы аутентификации при хранении ваших личных данных на удаленных серверах. Это подвергает опасности такую личную информацию, как адреса электронной почты, пароли, а также медицинские данные. Поскольку многие из этих приложений несвободны, трудно, если вообще возможно, узнать, какие приложения подвержены этому.

• 2015-05

  Инфузионные насосы Hospira, применяемые для ввода больным лекарств, были отмечены специалистом по безопасности как “самые плохо защищенные сетевые устройства из всех, какие я когда-либо видел”.

  В случае некоторых препаратов это дает злоумышленнику возможность ввести пациенту смертельную дозу.

• 2015-04

  В Mac OS X в течение 4 лет преднамеренно сохранялся черный ход, которым взломщики могли воспользоваться, чтобы получить права администратора.

• 2014-05

  Приложение для предотвращения “кражи личности” (доступа к личным данным), хранившее данные пользователя на особом сервере, было выключено разработчиком этого приложения, который обнаружил брешь в защите.

  Кажется, этот разработчик добросовестно защищает личные данные от третьих сторон вообще, но он не может защитить эти данные от государства. Совсем наоборот: передача ваших данных чужому серверу, если вы не шифруете их предварительно с помощью свободных программ, подрывает ваши права.

• 2014-04

  Много больничного оборудования защищено паршиво, и это может быть смертельно.

• 2014-02

  уязвимость WhatsApp делает подслушивание проще простого.

• 2013-12

  В некоторых видах портативной памяти есть программы, которые можно изменять. Это делает их уязвимыми для вирусов.

  Мы не называем это “черным ходом”, ведь то, что вы можете установить новую систему на компьютер, к которому у вас есть физический доступ — это нормально. Однако у карт памяти не должно быть возможности таких изменений.

• 2013-12

  Терминалы в местах продаж, работающие под управлением Windows, были взяты злоумышленниками под контроль и обращены в сеть сбора номеров кредитных карт клиентов.

• 2013-11

  АНБ может заглядывать в данные на смартфонах, в том числе на iPhone, Android и BlackBerry. Хотя подробности здесь не приводятся, похоже, это работает не как универсальный черный ход, который, как мы знаем, есть почти во всех мобильных телефонах. Это может быть связано с эксплуатацией различных ошибок. В программах радиоаппаратуры телефонов есть множество ошибок.

• 2013-09

  АНБ располагает лазейками в несвободных криптографических программах. Мы не знаем, в каких именно, но мы можем быть уверены, что среди них есть широко применяемые системы. Это служит подтверждением тому факту, что никогда нельзя рассчитывать на безопасность несвободных программ.

• 2013-09

  Федеральная торговая комиссия наказала компанию за производство сетевых камер с такой слабой защитой, что каждый мог легко глядеть через них.

• 2013-08

  Перезаписываемые несвободные программы в контроллерах дисков могут заменяться несвободной программой. Это делает любую систему уязвимой по отношению к неустраняемым атакам, которые не обнаруживаются обычным анализом.

• 2013-07

  Получив контроль над вживленными медицинскими устройствами по радио, можно убивать людей. Подробности см. на сайте Би-Би-Си и в блоге лаборатории IOActive.

• 2013-07

  В системы “интеллектуальных домов”, оказывается, до идиотизма легко проникнуть.

• 2012-12

  Взломщики нашли способ вскрыть защиту в “интеллектуальном” телевизоре и воспользоваться его видеокамерой, чтобы смотреть на людей, которые смотрят телевизор.

• 2011-03

  Над некоторыми автомобильными компьютерными можно получить контроль с помощью вредоносных программ в файлах с музыкой. А также по радио. Другие сведения можно найти на сайте Центра автомобильной безопасности и конфиденциальности.