🤖Обнаружена опасная уязвимость Android: приложения могут делать уведомления невидимыми и получать конфиденциальные разрешения

Исследователи из TU Wien и Университета Байройта показали, что на Android можно обойти любые системные разрешения... не спрашивая ничего. Метод TapTrap маскирует вредоносные действия под анимации интерфейса, так что пользователь уверен: он нажимает на элемент в игре. А на деле — передаёт доступ злоумышленникам.

Фишка в прозрачной активности с кастомной анимацией: на экране вроде бы ничего нет, но касание уже передано другому приложению. Без наложений, без разрешений. Всё штатно, через startActivity(). Даже Android 16 на Pixel 8a не спасает.

76% приложений из Play Store потенциально уязвимы. Почти никто не учитывает, что анимации — это тоже вектор атаки. Google пообещал закрыть дыру, GrapheneOS уже готовит патч. А пока? Даже «непрошеное» касание может быть критичным.

#Android #TapTrap #MobileSecurity
@SecLabNews

🧠ИИ прочитал вас по сохранёнкам

Закрытие Pocket стало поводом для нетривиального эксперимента: инженер и бывший офицер ВВС решил скормить ИИ свой архив из 878 сохранённых ссылок за 7 лет — и получил в ответ точнейший личностный портрет. Без анкет, логов и метаданных — только URL, заголовки и время сохранения.

С помощью утилиты xsv и модели o3 он выяснил, что алгоритм способен вычислить не только возраст, доход и количество детей, но и уровень тревожности в ноябре, тягу к самодельным E-Ink-устройствам и циклы профессионального выгорания. Причём точность оказалась выше, чем у многих опросников: срез по ролям, привычкам и целям напоминал психологический паспорт.

Эксперимент напомнил: даже «песочница для ссылок» выдаёт нас с головой. Данные о чтении — это не просто интересы, это карты мышления. И чем глубже их анализируют ИИ-модели, тем острее вопрос: кто на самом деле знает нас лучше — мы или алгоритмы?

#личныеданные #ИИ #самоанализ
@SecLabNews

⚡️Крипта ≠ зарплата: даже частично — нельзя

Российским компаниям по-прежнему запрещено платить сотрудникам в криптовалюте — даже частично. Минтруд напомнил: зарплата по закону возможна только в рублях. Но бизнес не унимается — особенно те, кто работает с релокантами. После запуска режима трансграничных криптоплатежей в 2024-м многие решили: окно возможностей приоткрыто.

Формально цифровые активы не признаны платёжным средством. А значит, криптозарплата — не экономия, а риск: от налоговых до уголовных. Законопроект уже на подходе — штрафы до миллиона и конфискация средств.

Рынок зовёт к гибкости, регулятор — к дисциплине. И пока компромисс только один: цифровой рубль. Но в биткоин вы его не обменяете.

#зарплата #криптовалюта #штрафы

@SecLabNews

Июль приносит новые знания! Приглашаем на митап CyberCamp* — разберем работу с внешними цифровыми угрозами ⚡️

18 июля в 13:30 мск оставим в стороне классический TI* и поговорим про другие стороны киберразведки.

В программе:

⏩OSINT* активов компаний: как работают популярные инструменты

⏩Фишинг в 2025: как выжить, если злоумышленник уже давно пользуется AI*

⏩Применение обработки естественного языка в OSINT

⏩Поднимаем завесу: как происходит настоящий Intelligence* в даркнете

⏩Взлом через подрядчика: взгляд киберразведки

⏩«Я тебя по IP* вычислю!» — разбираем кейсы реальных атак и ищем их организаторов

⏩Ты — цель. Построение персонализированной модели угроз

Участвовать можно в двух форматах:
▶️ смотреть доклады онлайн
▶️ практиковаться в киберучениях (заявки принимаются до 15 июля)

Регистрация уже на сайте!🖱

*CyberCamp — Сайберкэмп
*TI — Киберразведка
*OSINT — Разведка по открытым источникам
*AI — Искусственный интеллект
*Intelligence — Разведка
*IP — Сетевой протокол

🔐 Центробанк закручивает гайки: криптография КС1, ГОСТ, биометрия и 3 часа на отчёт

Банк России меняет правила игры на рынке платежей — и речь не только о банках. Новая редакция указания №821-П требует криптографии уровня не ниже КС1, усиленной ЭП и полной отчётности об инцидентах за 3 часа. Под удар попадают и те, кто раньше жил «на грани» — филиалы иностранных банков, платежные агенты и платформы, работавшие без формальных ИБ-обязательств.

Технически ключевой акцент — верификация и защита биометрии: только российская криптография, цифровые отпечатки вместо образов, обязательная синхронизация времени через ГЛОНАСС с точностью до 3 секунд. Также вводится обязанность обеспечивать целостность электронных сообщений и событийных журналов.

Для среднего банка это вложения в десятки миллионов, а оценка соответствия — от миллиона рублей. Но отказать себе в защите уже не получится: ЦБ фиксирует рост инцидентов из-за подрядчиков и требует от всех участников платежного оборота единых стандартов. Тарифы, скорее всего, не вырастут — а вот маржа сожмётся.

#ЦБ #криптография #финансы @SecLabNews

❓Ваш хостинг ещё не в реестре? Госдума уже проголосовала за штраф до 1 млн

Госдума приняла в первом чтении законопроект, устанавливающий штрафы до 1 млн рублей за нарушение требований к деятельности провайдеров хостинга. Инициатива была внесена группой депутатов и сенаторов во главе с Антоном Горелкиным и направлена на дополнение Кодекса об административных правонарушениях.

За работу без включения в реестр провайдеров хостинга граждан ждут штрафы от 50 до 100 тыс. рублей, индивидуальных предпринимателей — от 200 до 500 тыс. рублей. Юридические лица могут быть оштрафованы на сумму от 600 тыс. до 1 млн рублей за аналогичные нарушения.

С февраля прошлого года в России действует закон, обязывающий хостинг-провайдеров уведомлять Роскомнадзор о своей деятельности и подтверждать возможность безопасного хранения данных. Однако на рынке до сих пор остаются компании, которые игнорируют эти требования и считают, что закон их не касается.

#госдума #хостинг #регулирование

@SecLabNews

⛔️ЕГЭ на Windows? Разработчики против

Пока ЕГЭ продолжают сдавать на американской Windows, ассоциация «Отечественный софт» требует перемен: по их мнению, это не просто игнорирование курса на импортозамещение, а прямая угроза безопасности и бюджету страны. Письмо с просьбой о переходе на российские ОС уже направлено в Минцифры, Рособрнадзор и Минпросвещения.

В рекомендации Рособрнадзора по ЕГЭ-2025 чёрным по белому: экзамен — только на Windows. А между тем с 1 января действует президентский указ, запрещающий использовать иностранное ПО на объектах критической инфраструктуры, а с 1 сентября — и вовсе только отечественный софт из реестра Минцифры. Получается, школьные экзамены — вне зоны правового поля?

Ставка — не только на Astra Linux, РЕД ОС или ALT, но и на «ОС МЭШ», уже применённую в школах Москвы. Аргументы бизнеса звучат всё жёстче: зависимость от санкционного ПО, утечки данных, ежегодные расходы на лицензии. И что важнее — школьники привыкают к чужим системам, теряя навык работы с тем, что продвигает сама страна.

#отечественныйсофт #ЕГЭ #импортозамещение
@SecLabNews

🆕 Еженедельный обзор киберновостей SecurityLab

Эта неделя принесла серьёзные потрясения в мире кибербезопасности: от американских 0-day атак на Китай до того, как антивирус приветствует вредоносы как старых друзей. Россия активно продвигает цифровой суверенитет, а мировая наука совершила прорывы от управления энергией Вселенной до возвращения способности ходить парализованным детям — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

Китай атакован американским 0day в Exchange, который обнулил защиту китайских технологий.

Иран открыл киберстартап для хакеров с тарифами: атаковал США — надбавка, Израиль — премия.

Президент Мексики продал государство за $25 млн, и теперь страна живёт под надзором Pegasus.

Военный США обменял секреты на флирт с незнакомкой в чате.

Китай признаёт: военные роботы могут убивать без приказа — и без разбора.

🇷🇺 В России

Госдума готовит удар на миллион рублей для незарегистрированных хостеров.

RuStore теперь можно ставить по-хорошему или по закону — Путин подписал соответствующий документ.

Бизнесу запретят хранить данные на западных СУБД — срок до 2027 года.

Школьный экзамен переезжает с Windows на российские ОС Astra.

Даже один сатоши в зарплате — уже нарушение, считает Минтруд.

🏴‍☠️ В сетях хакеров

Microsoft наконец-то уволила «сотрудника», который 28 лет притворялся, что работает нормально.

6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил.

eSIM позволяет читать чужие сообщения и перехватывать звонки — это уже доказано.

Хотели безопасный SSH — получили бэкдор: проверьте Termius на macOS.

PuTTY.exe оказался троянским конём — в реальности RedLine, ворующий кошельки и пароли.

Ducex прячет вредоносы так искусно, что даже антивирус приветствует их как старых друзей.

⛽️ Новости науки и технологий

Человечество подключилось к энергосети Вселенной — прорыв австралийских физиков обещает 1000-кратный скачок.

Крошечная страна создала ИИ мощнее ChatGPT и отдаёт его даром — пощёчина BigTech.

GPT-5 стирает границы между текстом, видео и разумом — Альтман молчал месяцами не зря.

Робот Black Panther II пробежал 100 метров за 13 секунд и вычеркнул Boston Dynamics из книги рекордов.

Парализованный ребёнок пошёл впервые в истории при смертельной мутации — революция в медицине.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

@SecLabNews

🔒 GrapheneOS = преступник? Каталония начала проверять владельцев Pixel

В Каталонии владельцы Google Pixel всё чаще попадают в поле зрения полиции — причина не в защите от Google, а в прошивке GrapheneOS. Это альтернатива Android с повышенной приватностью, популярная среди тех, кто хочет контролировать устройство, а не сдавать его большим данным.

Ирония в том, что GrapheneOS — не теневая самоделка, а легальный open-source-инструмент. Он позволяет отключать интернет для отдельных приложений, ограничивать доступ к датчикам и контактам, создавать изолированные профили и даже вводить принудительный PIN, при котором всё удаляется. Это не атака. Это защита.

Теперь и GrapheneOS в списке подозреваемых — наряду с Signal, Tor и криптокошельками. По этой логике и шторы в спальне — уже потенциальная угроза национальной безопасности.

#privacy #Каталония #GrapheneOS
@SecLabNews

🌐 Татарский омбудсмен требует блокировки Roblox за «обучение диверсиям»

Детский защитник увидела угрозу в пользовательских играх про Чернобыль, где игроки взрывают реакторы. Предлог знакомый — защита от «деструктивного мышления» и профилактика вербовки подростков кибепреступниками.

Волынец ссылается на конкретные сцены: игроки массово выбирают опцию уничтожения реактора и наблюдают за последствиями взрыва. Параллельно омбудсмен фиксирует рост дел по диверсиям среди несовершеннолетних — жертв интернет-вербовщиков.

Платформа с рекордными 16,4 млн игроков может попасть под закон о защите детей от вредной информации. Прецедент покажет, насколько далеко готовы зайти в борьбе с «цифровым экстремизмом».

#модерация #игровыеплатформы #регулирование

@SecLabNews

📞 Фильтр против звонка от «внука в беде»

Звонки «из банка», «от сына в беде» и прочие мошеннические номера должны исчезнуть. Миронов и Лантратова внесут законопроект: операторы обязаны автоматически подключать антифрод-фильтры всем абонентам, бесплатно и без заявлений.

Сервис должен блокировать как известные номера мошенников, так и новые схемы — в реальном времени. Роскомнадзору передают контроль над техническими требованиями.

Если закон примут, операторы станут ответственными за первую линию защиты от телефонных афер. Вопрос — насколько система будет прозрачной и точной? Всегда есть риск «перебдеть» и отрезать нужный звонок.

#госдума #мошенничество #связь
@SecLabNews

🟥Вебинар PT NGFW — 22 июля

22 июля приглашаем на вебинар, где команда PT NGFW поделится важными новостями о развитии продукта.

Расскажем:

▪️о новых младших моделях — теперь линейка охватывает ещё больше сценариев, включая небольшие площадки и филиалы;

▪️что появилось в версии 1.7.1 — ускорили VPN, повысили производительность, добавили сбор событий через WEC;

▪️что уже реализовано в 1.8 — поддержка ICAP, интеграция с DLP и песочницами, а также BFD и ускоренная сходимость кластера и протоколов маршрутизации;

▪️о новых возможностях BGP, включая BGP Community, и других фичах, которые делают PT NGFW ещё удобнее и мощнее.

Формат — дружеский и по делу. Говорим открыто о том, что уже сделано и куда движемся дальше. Ведут вебинар продуктовая и техническая команды.

Регистрируйтесь — будет интересно.

🫣Установил расширение — слил кошелёк на $500 000

В Open VSX всплыло фейковое расширение «Solidity Language» для Cursor AI. Внутри — не подсветка кода, а PowerShell, ScreenConnect, Quasar RAT и PureLogs. Один даёт удалённый доступ, второй вычищает всё: пароли, сессии, крипту. Всё это шло под видом популярного инструмента, скачанного 54 тысячи раз.

Злоумышленники не искали уязвимости — они подделали витрину. Название, описание, рейтинг, и даже вторая «версия» с миллионными загрузками, чтобы вытеснить оригинал. Открытый маркетплейс? Открытая дверь в систему.

Кто доверяет расширениям по числу звёзд — пусть сразу готовит холодный кошелёк и тёплое прощание с данными.

#вредоносы #малварь #криптокража

@SecLabNews

🤫ИИ-раздевалки: $36 млн в год на дипфейках — на серверах Google и Amazon

85 сайтов генерируют поддельные обнажённые фото женщин и детей. Хостятся они на Amazon и Cloudflare, авторизация — через Google. Всё официально, без взломов, без обходов. Эта индустрия встроена в экосистему Big Tech и даже не делает вид, что прячется.

За фасадом — кредиты, платные подписки, реклама порно-сервисов, партнёрки и каналы в Telegram. Маскировка через нейтральные домены и обход фильтров — стандарт. Пользователь заходит по ссылке, а сайт давно работает под прикрытием, и не где-нибудь, а в CDN крупнейших корпораций.

Пока у этих сервисов не заберут инфраструктуру, они будут расти. А значит, кто-то из тех, кто эту инфраструктуру предоставляет, делает это вполне осознанно — и зарабатывает вместе с ними.

#deepfake #насилие #bigtech

@SecLabNews