В популярном беспроводном контроллере ESP32 от китайской компании Espressif, который установлен более чем на миллиарде устройств, обнаружена скрытая уязвимость — в прошивке обнаружена возможность реализовать тайный бэкдор. Эта маленькая лазейка, о которой почти никто не знал, потенциально позволяет злоумышленникам скомпрометировать устройства на стадии их поставки и после выдавать себя за доверенные устройства, красть данные и закрепляться в системе надолго, по сути навсегда.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: bleepingcomputer.com

Два испанских исследователя, Мигель Тараско Акунья (Miguel Tarascó Acuña) и Антонио Васкес Бланко (Antonio Vázquez Blanco) из компании Tarlogic Security, решили копнуть глубже и обнаружили, что в этом чипе есть команды, позволяющие выполнять различные действия. Например, выдавать себя за доверенные устройства, красть данные и даже проникать через сеть в другие устройства. В общем, полный набор шпионских инструментов. Свои выводы Tarlogic Security представила на конференции RootedCON в Мадриде, сообщает BleepingComputer.

ESP32 — это микроконтроллер, отвечающий за Wi-Fi- и Bluetooth-соединения. Он встроен в умные замки, медицинские приборы, смартфоны и компьютеры. Обнаруженная уязвимость позволяет заложить в прошивку контроллера «чёрный ход», которая позволит злоумышленникам выдавать себя за другие системы и заражать устройства, минуя все проверки безопасности.

Доступ к незадокументированным командам осуществляется из прошивки устройства, а не по воздуху. Поэтому у злоумышленника должен быть root-доступ к устройству. То есть внедрить вредоносное ПО или открыть для взлома контроллеры злоумышленники могут лишь на стадии поставки контроллеров, но сначала им придётся скомпрометировать цепочку поставок. На данный момент неизвестно, чтобы подобные инциденты имели место.

Источник изображения: Tarlogic

Исследователи также отметили один важный момент. В последнее время интерес к безопасности Bluetooth снизился. Однако это произошло не потому, что протокол стал безопаснее, а потому, что прежние атаки либо не имели работающих инструментов, либо использовали устаревшее ПО, несовместимое с современными системами. Чтобы изучить проблему, специалисты Tarlogic разработали новый независимый от операционных систем Bluetooth-драйвер на языке C. Он позволяет напрямую взаимодействовать с аппаратной частью, не опираясь на стандартные API. Это дало им возможность получить доступ к Bluetooth-трафику и обнаружить скрытые команды (Opcode 0x3F) в прошивке ESP32.

В общей сложности было выявлено 29 команд, которые можно задействовать для создания бэкдора. С их помощью можно манипулировать памятью, подделывать MAC-адреса и внедрять пакеты LMP/LLCP — в общем, выполнять практически любые вредоносные действия.

Источник изображения: Tarlogic

Компания Espressif пока никак не прокомментировала ситуацию и не объяснила происхождение этих команд. Остаётся только гадать, были ли они оставлены случайно или преднамеренно. Однако проблема существует и уже получила идентификатор CVE-2025-27840.

Обновлено:

В понедельник компания Espressif опубликовала заявление в ответ на выводы Tarlogic, в котором говорится, что недокументированные команды — это отладочные команды, используемые для тестирования системы. «Обнаруженные функциональные возможности являются отладочными командами, включенными для целей тестирования, — говорится в заявлении Espressif. — Эти отладочные команды являются частью реализации Espressif протокола HCI (Host Controller Interface), используемого в технологии Bluetooth. Этот протокол используется внутри продукта для связи между уровнями Bluetooth».

Несмотря на низкий уровень риска, производитель заявил, что удалит отладочные команды в одном из будущих обновлений программного обеспечения. «Хотя эти отладочные команды существуют, сами по себе они не могут представлять угрозу безопасности для чипов ESP32. Espressif все же предоставит программное исправление, чтобы удалить эти недокументированные команды», — заявляет Espressif.

Apple подала иск в Трибунал по вопросам следственных полномочий (IPT), чтобы оспорить требование правительства Великобритании создать бэкдор в системе сквозного шифрования данных iCloud. Это первый судебный процесс, в ходе которого будет проверена законность положений Закона о полномочиях в области расследований (IPA) 2016 года, разрешающего британским властям получать доступ к зашифрованным данным. Несмотря на отключение функции Advanced Data Protection (ADP) в Великобритании, Apple продолжает сопротивляться предписанию властей.

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Feyza Yıldırım / Unsplash

Компания обратилась в IPT — независимый судебный орган, рассматривающий жалобы на действия британских спецслужб, — с требованием отменить выданное в январе 2025 года «уведомление о технической возможности» (TCN). В соответствии с этим предписанием Apple обязана предоставить британским властям доступ к зашифрованным данным пользователей в облачном хранилище iCloud. Однако компания утверждает, что выполнение данного требования нанесёт ущерб безопасности данных и создаст опасный прецедент, способный подорвать доверие к технологиям шифрования.

Этот иск стал первым случаем судебного пересмотра положений IPA, обязывающих технологические компании ослаблять шифрование в интересах госорганов. IPT предстоит определить, является ли предписание в отношении Apple законным. Если суд примет сторону американской компании, документ будет аннулирован. Такой исход существенно ограничит возможности британских властей в получении доступа к конфиденциальной информации граждан.

Британские власти требуют, чтобы Apple внедрила бэкдор и настаивают на взломе дополнительного уровня защиты, который обеспечивает функция ADP. Однако Apple отказалась выполнять это предписание, хотя в феврале 2025 года отключила ADP для пользователей в Великобритании. Несмотря на эту уступку, британские власти утверждают, что Apple не выполнила требования TCN и считают, что они остаются в силе и могут применяться не только к данным британских граждан, но и к информации, находящейся за пределами Великобритании. Этот аспект вызывает серьёзные опасения среди правозащитников и экспертов по цифровой безопасности, поскольку он создаёт прецедент, который может позволить государствам требовать доступа к зашифрованным данным пользователей за пределами их юрисдикции.

Требование Великобритании вызвало резкую критику в США. Президент Дональд Трамп (Donald Trump) сравнил его с методами государственного надзора, применяемыми в Китае, и призвал британские власти отказаться от подобных мер. Новый директор национальной разведки США Тулси Габбард (Tulsi Gabbard) назвала это требование «чудовищным нарушением» права на частную жизнь и подчеркнула, что оно может поставить под угрозу американо-британское соглашение о передаче данных.

Министерство внутренних дел Великобритании отказалось комментировать данное предписание, заявив, что не раскрывает оперативные детали подобных распоряжений. Однако официальный представитель ведомства подчеркнул, что правительство стремится защищать граждан от тяжких преступлений, таких как терроризм и сексуальное насилие над детьми, при этом соблюдая баланс между безопасностью и правом на конфиденциальность.

Министр безопасности Великобритании Дэн Джарвис (Dan Jarvis) заявил, что IPA предусматривает строгие гарантии и независимый контроль, исключающие злоупотребления. Он отметил, что доступ к данным предоставляется только в исключительных случаях, когда это необходимо и соразмерно угрозе. По его мнению, конфиденциальность и безопасность не противоречат друг другу, и британское правительство способно находить компромисс между этими принципами.

Apple настаивает, что ни один из её продуктов или сервисов никогда не имел бэкдора и не будет. Компания подчёркивает, что ослабление системы шифрования представляет угрозу не только для частной жизни пользователей, но и для их кибербезопасности. Если компания внедрит уязвимость для одного правительства, существует риск, что этим механизмом воспользуются злоумышленники или другие государства.

В британском разведывательном сообществе также звучат сомнения относительно эффективности TCN. Бывший высокопоставленный сотрудник спецслужб заявил: «Эта система не была должным образом протестирована и, скорее всего, окажется непригодной. Вы не можете просто выдать подобное распоряжение втайне. Если вы навязываете приказ компании масштаба Apple, информация неизбежно просочится в прессу».

Британский регулятор открывает расследование в отношении таких интернет-платформ, как видеосервис TikTok, форум Reddit и сайт обмена изображениями Imgur. Растущие опасения по поводу ненадлежащего использования этими социальными сетями персональных данных несовершеннолетних побудили Управление комиссара по информации (ICO) пристально исследовать, предоставляют ли их алгоритмы подросткам неподходящий или вредный контент.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

HUAWEI Pura 80 Ultra глазами фотографа

Источник изображений: unsplash.com

Расследование изучит использование платформой TikTok персональной информации 13–17-летних подростков при предоставлении им рекомендаций по контенту. Регулятора также интересует, как Reddit и Imgur оценивают и проверяют возраст пользователя, чтобы оградить несовершеннолетних от опасного или вредного контента.

ICO представила «Детский кодекс конфиденциальности в интернете» в 2021 году, который определяет меры по защите личной информации несовершеннолетних в интернете. Нынешнее расследование ICO будет направлено на выявление нарушений законодательства о защите данных. В случае обнаруженных нарушений регулятор сначала передаст информацию о них интернет-платформам и будет принимать окончательное решение лишь на основе их реакции.

Комиссар по информации Джон Эдвардс (John Edwards) сообщил, что регулятор не сомневается в самом факте наличия элементов защиты информации на всех платформах, но хочет убедиться, что эти процедуры достаточно надёжны. «Вопрос в том, что они собирают, и в том, как они работают, — пояснил Эдвардс. — Я ожидаю, что в их рекомендательных системах будет много доброкачественных и позитивных способов использования данных детей. Меня беспокоит, достаточно ли они надёжны, чтобы не допустить, чтобы дети подвергались вреду, будь то вызывающие привыкание практики, или контент, который они видят».

Эдвардс подчеркнул, что регулятор «не придирается к TikTok» и надеется глубоко изучить алгоритмы рекомендаций и больше узнать о «широком ландшафте» социальных сетей с помощью расследования. Выбор объектом расследования именно TikTok «был сделан на основе направления роста в отношении молодых пользователей, доминирования на рынке и потенциального вреда». К тому же в процессе расследования регулятор не может позволить себе слишком распылять усилия. Больше всего регулятора интересуют ключевые технологии цифровых платформ, которые используются в борьбе за посещаемость и просмотры.

В начале года TikTok был заблокирован (с отсрочкой на 75 дней) в США из-за опасений, что китайское правительство может получить доступ к данным, собираемым приложением. Тогда же министр технологий Великобритании Питер Кайл заявил, что он «искренне обеспокоен их [TikTok] использованием данных, связанных с моделью собственности».

Острая конкуренция в сегменте информационных технологий заставляет компании жёстко подходить к защите своих коммерческих интересов. Американская Meta✴ Platforms, как сообщает The Verge, уже уволила 20 сотрудников за разглашение конфиденциальной информации, и может провести дополнительные чистки штата по итогам продолжающегося расследования.

Пять причин полюбить HONOR 400

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

HUAWEI Pura 80 Ultra глазами фотографа

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Источник изображения: Марк Цукерберг

«Мы недавно провели расследование, которое привело к увольнению 20 сотрудников за передачу конфиденциальных сведений на сторону. Мы ожидаем, что будут уволены дополнительные сотрудники. Мы относимся к этому серьёзно и предпринимаем действия при обнаружении утечек», — отмечается в сообщении компании.

В конце января стало известно, что заняться внутренним расследованием руководство Meta✴ было вынуждено из-за участившихся случаев утечки информации о служебных собраниях сотрудников, на которых обсуждались конфиденциальные вопросы. На базе этих утечек публиковались новостные материалы, получавшие широкую огласку. Поскольку это вредило бизнесу компании, руководство вынуждено было усилить меры безопасности и пересмотреть формат совещаний. Основатель и глава компании Марк Цукерберг (Mark Zuckerberg) тогда признался, что из-за всей этой истории не будет с коллегами столь откровенен, как ранее.

Роскомнадзор за январь 2025 года зафиксировал десять фактов утечек личных данных граждан, что привело к попаданию 6,9 млн записей о россиянах в открытый доступ. В 2024 году регулятор выявил в общей сложности 135 случаев утечек баз данных, содержавших свыше 710 млн записей о гражданах России.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Источник изображения: unsplash.com

По данным отчёта компании InfoWatch «Утечки конфиденциальной информации из финансовых организаций», общее число утечек из российских финансовых компаний снизилось в прошлом году почти на 60 %. Но это снижение отнюдь не свидетельствует о резком повышении уровня информационной безопасности — просто в 2023 году произошёл всплеск утечек до 170,3 млн записей, что в 3,2 раза больше результата 2022 года и в 57 (!) раз превышает уровень 2021 года.

В отчёте InfoWatch утверждается, что в 2024 году из банков, микрофинансовых организаций и страховых компаний в открытый доступ попало 68 млн записей с персональными данными. Из них 40 % утечек допустили банки, 28 % – микрофинансовые организации, а 20 % – страховые компании. Общее число утечек снизилось на 58,8 % по сравнению с 2023 годом, количество утечек из финансовых организаций сократилось на 68,3 %, составив 25 инцидентов. Доля утечек данных, содержащих коммерческую тайну, резко возросла с 8,9 % в 2023 г. до 20 % в 2024 г.

88 % случаев утечек стали результатом кибератак, а в восьми процентах случаев персональные данные попали в открытый доступ в результате умышленных действий персонала, причём доля кибератак повысилась на 7 п.п., а доля умышленных действий снизилась на 4,6 п.п. Эксперты объясняют это повышением уровня систем безопасности, а также сложностью выявления внутренних нарушений: «Речь прежде всего идёт о реализации сложных, многоступенчатых схем кражи информации с участием как внутренних нарушителей, так и внешних (так называемый гибридный вектор атак)».

28 ноября 2024 года в России был принят закон, ужесточающий ответственность за утечки персональных данных, вплоть до уголовной. Штрафы для компаний составляют от 5 до 15 млн рублей за первый инцидент и до 3 % от годового оборота компании за повторные нарушения. Максимальная сумма штрафа достигает 500 млн рублей. В то же время предусмотрены послабления: компании, которые в течение трёх лет инвестировали в информационную безопасность не менее 0,1 % от своей выручки и соблюдали требования регулятора, смогут рассчитывать на снижение штрафов.

Тем не менее бизнес, по мнению экспертов, не готов к ужесточению требований. Вице-президент по информационной безопасности ПАО «ВымпелКом» Алексей Волков заявил, что компании не успеют адаптироваться к нововведениям до 2025 года. Он подчеркнул, что создание системы информационной безопасности требует не только значительных ресурсов, но и долгосрочного изменения организационной культуры. «Безопасность нельзя купить или построить – её можно только взрастить», — отметил Волков.

Компания Google объявила о внесении ряда изменений в работу своей поисковой системы. Теперь пользователям будет проще удалять нежелательную личную информацию из поисковой выдачи.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Пять причин полюбить HONOR 400

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Источник изображения: Google

При нажатии на кнопку с тремя вертикальными точками, которая располагается напротив результатов поиска в выдачи, появится интерфейс, позволяющий отправить запрос на удаление информации. Пользователю лишь надо выбрать один из трёх предлагаемых вариантов: «Здесь отображается моя личная информация», «У меня законный запрос на удаление» или «Информация устарела, и я хочу запросить обновление».

Как следует из названия, первый вариант даёт возможность отправки запроса на удаления личной информации пользователя, например, номера телефона, адреса электронной почты, домашнего адреса, номера кредитной карты, каких-либо учётных данных и др. После отправки запроса он попадёт на рассмотрение в Google, где и будет решён вопрос удаления интересующей пользователя информации. Второй вариант предназначен для отправки запроса на удаление контента, нарушающего политику Google в отношении продуктов. Соответственно третий вариант позволяет обновить информацию до более актуального состояния.

В дополнение к этому у Google также есть специальная функция «Результаты поиска о вас». С её помощью можно осуществить сканирование поисковой выдачи, содержащей сведения о пользователе, включая его телефонный номер, адрес и др. После этого пользователь может отправить запрос на удаление этой информации.

Согласно исследованию израильской компании по кибербезопасности Lasso, специализирующейся на возникающих угрозах генеративного ИИ, данные, которые были в открытом доступе в интернете хотя бы на мгновение, могут ещё продолжительное время оставаться у онлайн-чат-ботов генеративного ИИ, таких как Microsoft Copilot, после того, как доступ к ним был закрыт.

HUAWEI Pura 80 Ultra глазами фотографа

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Пять причин полюбить HONOR 400

Источник изображения: Windows/unsplash.com

Эта проблема касается тысяч некогда открытых репозиториев GitHub ряда крупнейших компаний, включая Microsoft, которые с тех пор стали закрытыми, сообщили в Lasso ресурсу TechCrunch.

По словам соучредителя Lasso Офира Дрора (Ophir Dror), компания обнаружила, что контент из её собственного репозитория GitHub появился в Copilot, поскольку он был проиндексирован и кеширован поисковой системой Bing от Microsoft. Этот репозиторий был ошибке открыт в течение короткого периода времени и сейчас является частным. При попытке получить к нему доступ на GitHub появляется сообщение «Страница не найдена».

«На Copilot, как ни странно, мы нашли один из наших собственных закрытых репозиториев, — рассказал Дрор. — Если бы я просматривал веб-страницы, я бы не увидел этих данных. Но любой человек, задав Copilot правильный вопрос, может их получить».

В связи с этим Lasso провела расследование, в ходе которого извлекла список репозиториев, бывших в открытом доступе какое-то время в 2024 году, и определила те, которые с тех пор были удалены или получили статус приватных. Используя механизм кеширования Bing, компания обнаружила, что более 20 тыс. частных репозиториев GitHub более 16 тыс. организаций по-прежнему доступны через Copilot. В частности, это касается Amazon Web Services, Google, IBM, PayPal, Tencent и Microsoft.

Дрор рассказал, что Lasso связалась со всеми компаниями, которые «серьёзно пострадали» от утечки данных, и посоветовала им ротировать или отозвать все скомпрометированные ключи.

Lasso уведомила Microsoft о своих выводах в ноябре 2024 года, но софтверный гигант сообщил ей, что относит проблему к «низкой степени серьезности», заявив, что такое поведение при кешировании «приемлемо». Microsoft отметила, что больше не включает ссылки на кеш Bing в результаты поиска с декабря 2024 года.

Тем не менее Lasso утверждает, что, хотя функция кеширования была отключена, Copilot всё ещё имеет доступ к данным, несмотря на то, что они не отражались в результатах веб-поиска.

Госдума приняла 18 февраля во втором и третьем чтениях законопроект, запрещающий собирать персональные данные россиян с использованием зарубежных баз данных, который вступает в силу с 1 июля 2025 года. В правительстве отметили, что документ конкретизирует обязанности операторов персональных данных обрабатывать данные россиян исключительно на территории страны.

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Источник изображения: Christin Hume/unsplash.com

По мнению экспертов, изменения могут осложнить жизнь IT-бизнесу, маркетплейсам и российским «дочкам» иностранных компаний, которые передают персональные данные за рубеж.

Управляющий партнёр Comply Артем Дмитриев назвал формулировку и целеполагание нововведений крайне противоречивыми, хотя и не считает, что это изменит требования о локализации данных российских граждан при их сборе. «Передача локализованных в России данных за рубеж не может быть полностью запрещена, как предполагает наиболее консервативная трактовка, — говорит эксперт. — Такой запрет противоречил бы не только положениям закона о трансграничной передаче данных, которая прямо разрешена при соблюдении установленных условий, но и международным обязательствам России, включая Конвенцию 1981 года».

Эксперт юридической фирмы DRC Кира Таран заявила, что нововведение можно трактовать как запрет для компаний, занимающихся трансграничной деятельностью, работать в иностранном государстве с российскими персональными данными. Новое регулирование может отразиться на маркетплейсах и IT-компаниях, а также на авиакомпаниях, как обеспечивающих трансграничную передачу данных своих пассажиров, допустила эксперт. При этом Таран отметила, что в поправках не содержится объяснение, как этот запрет будет контролироваться.

Как пишет Forbes, бизнес считает, что не стоит драматизировать ситуацию. В объединенной компании Wildberries & Russ сообщили ресурсу, что ожидают сбалансированного правоприменения. В «Яндексе» отметили, что нововведения лишь уточняют действующее требование законодательства по поводу обработки персональных данных российских пользователей на территории России. «“Яндекс” следует этому требованию, поэтому для нас принципиальных изменений не будет», — подчеркнули в компании.

В Ассоциации больших данных (объединяет в том числе МТС, «Билайн», «МегаФон», «Яндекс», «Ростелеком», Сбербанк, ВТБ) тоже полагают, что поправки не окажут значительного влияния на деятельность большинства российских компаний, хотя и допускают дополнительные риски для организаций, осуществляющих трансграничную деятельность, «поскольку возможны коллизии с нормами о трансграничной передаче данных».

Компания Apple заявила, что больше не сможет предоставлять пользователям в Великобритании функцию защиты Advanced Data Protection (ADP), которая позволяет включить сквозное шифрование данных в iCloud. По словам представителя Apple Фреда Сайнца (Fred Sainz), функцию придётся отключить по требованию правительства страны.

HUAWEI Pura 80 Ultra глазами фотографа

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HONOR 400: реаниматор

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Alexander Andrews / Unsplash

В заявлении, предоставленном изданию TechCrunch, компания выразила «глубокое разочарование» тем, что защита, обеспечиваемая ADP, не будет доступна клиентам в Великобритании, учитывая продолжающийся рост утечек данных и других угроз конфиденциальности. Apple отметила, что «усиление безопасности облачного хранилища с помощью сквозного шифрования на сегодня является более актуальным, чем когда-либо».

Это объявление последовало за сообщениями о том, что правительство Великобритании потребовало от Apple создать бэкдор — алгоритм, который позволяет получать фактически полный доступ к клиентским данным, хранящимся на облачных серверах Apple, даже если они зашифрованы сквозным шифрованием. Однако эксперты по кибербезопасности предупреждали, что если Лондон добьётся своего, это создаст опасный прецедент и для других стран.

Функция Advanced Data Protection позволяет пользователям самостоятельно включать шифрование, делая их данные недоступными даже для Apple. Несмотря на отказ от ADP, некоторые категории информации всё же останутся зашифрованными. В частности, медицинские данные, сообщения в iCloud и платёжная информация. Однако другие файлы, такие как фотографии, заметки и резервные копии, больше не будут защищены.

Британские власти пока не прокомментировали ситуацию, а представитель организации Open Rights Group Джеймс Бейкер (James Baker) заявил, что Министерство внутренних дел лишило миллионы британцев важной функции безопасности, повысив угрозу утечек личных данных. Компания пока не уточнила, как именно будет происходить отключение ADP у тех, кто уже активировал эту функцию (у новых пользователей ADP будет сразу отсутствовать), однако заявила, что в ближайшее время предоставит клиентам дополнительные инструкции.

Подчёркивается, что эта мера не коснётся пользователей из других стран, а сервисы с зашифрованной связью, такие как FaceTime и iMessage, продолжат работать без изменений.

Одновременно эксперты в области кибербезопасности советуют пользователям за пределами Великобритании срочно включить ADP, чтобы усложнить властям возможные будущие попытки отключить шифрование. Криптограф Мэтью Грин (Matthew Green) отметил, что «чем больше людей активируют эту функцию, тем сложнее будет её запретить».

Таганский районный суд Москвы признал мессенджер Telegram и видеохостинг YouTube виновными в совершении административного правонарушении, выразившемся в отказе удалить персональные данные, размещённые без согласия человека, в связи с чем был назначен штраф в размере 80 тыс. руб. каждому из них.

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HONOR 400: реаниматор

Источник изображения: Rubaitul Azad/unsplash.com

«Мировой судья судебного участка N 422 Таганского района города Москвы признал "Телеграм Мессенджер Инк" (Telegram Messenger Inc.) виновным в совершении административного правонарушения, предусмотренного ч. 5 ст. 13.31 КоАП РФ (неисполнение обязанностей организатором распространения информации в сети интернет). Назначено административное наказание в виде штрафа в размере 80 тыс. рублей», — сообщается в официальном Telegram-канале судов общей юрисдикции Москвы. Аналогичное правонарушение вменяется в вину и платформе YouTube с назначением судом аналогичного штрафа.

Ранее в этом месяце мессенджер Telegram был оштрафован на 80 тыс. руб. из-за отказа выполнить обязательства по локализации персональных данных россиян. Это уже второй административный штраф за подобное правонарушение. Первый штраф в размере 50 тыс. руб. был назначен в августе 2023 года. Согласно закону «О персональных данных» сведения о россиянах должны храниться компаниями только на территории страны. Требование о локализации также применяется к иностранным компаниям, не имеющим физического присутствия в РФ и осуществляющим деятельность на территории страны.

Эксперты по кибербезопасности раскрыли масштабную утечку данных в приложениях-трекерах Cocospy и Spyic, связанную с китайскими разработчиками и затрагивающую миллионы пользователей. Эти приложения предназначены для скрытого мониторинга смартфонов, относятся к категории сталкерского ПО и позволяют злоумышленникам собирать данные жертв — сообщения, фотографии, звонки и другую информацию.

Пять причин полюбить HONOR 400

Обзор смартфона HONOR 400: реаниматор

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Kandinsky

Из-за выявленного бага личные данные миллионов пользователей, включая электронные адреса тех, кто установил эти приложения, оказались доступны в публичном пространстве. Исследователь, выявивший уязвимость, собрал 1,81 млн электронных адресов пользователей Cocospy и 880 тысяч адресов пользователей Spyic. Как пишет TechCrunch, эти данные переданы Трою Ханту (Troy Hunt), создателю сервиса Have I Been Pwned, где их добавили в базу утечек. В общей сложности выявлено 2,65 млн уникальных адресов.

Сталкерское ПО, включая Cocospy и Spyic, часто продаётся под видом родительского или корпоративного контроля, но на практике используется для нелегального слежения за бизнес-партнёрами и другими людьми. TechCrunch выяснил, что обе программы связаны с китайским разработчиком приложений 711.icu, сайт которого сейчас не работает. Cocospy и Spyic маскируются под системные приложения на Android, а данные пользователей передаются через серверы Amazon Web Services и Cloudflare. Анализ сетевого трафика показал, что серверы периодически отвечают на запросы сообщениями на китайском языке.

Для установки подобных приложений обычно требуется физический доступ к устройству Android, часто со знанием пароля этого устройства. В случае с iPhone и iPad сталкерское ПО может получить доступ к данным устройства без физического доступа через облачное хранилище Apple iCloud, что, правда, потребует использования украденных учётных данных Apple.

Предлагается способ определения наличия в смартфоне этих приложений и их удаления. На Android устройствах Cocospy и Spyic можно выявить, набрав ✱✱001✱✱ на клавиатуре телефона. Также можно найти их непосредственно через настройки системы. Пользователям iPhone и iPad рекомендуется проверить настройки Apple ID, включить двухфакторную аутентификацию и убедиться, что в учётной записи нет незнакомых данных. Для Android полезной функцией будет активация Google Play Protect.

Стоит сказать, что любые шпионские приложения запрещены в официальных магазинах приложений и требуют физического доступа к устройству для установки. Установка таких приложений является противозаконной и влечёт за собой правовые последствия, так как нарушает персональную конфиденциальность.

Microsoft работает над новым приложением Migration App, которое позволит легко переносить данные со старых ПК на новые. До сих пор пользователи вынуждены были полагаться на сторонние программы, поскольку встроенного инструмента для переноса файлов в Windows 11 не существовало. Теперь, похоже, компания намерена исправить это упущение.

Обзор смартфона HONOR 400: реаниматор

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Пять причин полюбить HONOR 400

HUAWEI Pura 80 Ultra глазами фотографа

Источник изображения: Microsoft

Согласно информации, обнаруженной в последней тестовой версии Windows 11 Insider Build 22635.4945, Microsoft разрабатывает собственное приложение для переноса файлов. Ожидается, что этот инструмент снизит зависимость пользователей от сторонних утилит и упростит процесс перемещения данных на новый компьютер. Как подчёркивает издание Neowin, первые упоминания об этой функции были замечены надёжными инсайдерами Windows.

Также благодаря пользователю из социальной сети X с ником @a_donglee стали известны возможные детали интерфейса нового приложения. Однако, как уточняет источник, изображения были созданы с помощью декомпилятора и могут не отражать финальный дизайн, а представлять лишь предварительную версию концепции будущего инструмента.

Источник изображения: @a_donglee / x.com

Migration App позволит пользователям создавать резервную копию данных в облачном хранилище OneDrive и переносить файлы на новый ПК. В процессе передачи будут задействованы Wi-Fi и функция Nearby Sharing, требующая нахождения устройств вблизи друг друга. Для соединения необходимо подключение к одной сети и ввод одноразового пароля, а если связь прервётся, устройства смогут повторно подключиться и продолжить передачу данных.

На данный момент Microsoft не объявила дату выпуска нового инструмента, равно как и официально не подтвердила его существование. Однако ожидается, что перед полноценным релизом приложение, как обычно, станет доступно участникам программы Windows Insider, а затем и всем пользователям, сделав смену устройства более удобной и безопасной.

Ещё в начале месяца стало известно, что правительственным учреждениям Южной Кореи власти начали блокировать доступ к китайскому ИИ-приложению DeepSeek. Теперь запрет на скачивание этого приложения распространился на всех пользователей на территории Южной Кореи, поскольку методы работы DeepSeek с персональными данными не соответствуют требованиям местных законов.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HONOR 400: реаниматор

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Unsplash, Solen Feyissa

Об этом сообщает Reuters со ссылкой на Комиссию по защите персональных данных Южной Кореи (PIPC). Расследование комиссию выявило, что DeepSeek не соблюдает ряд требований южнокорейских властей к обработке и хранению персональных данных, а также их защите. Как только китайская компания приведёт свои методы работы в соответствие с требованиями южнокорейского законодательства, запрет на скачивание приложения DeepSeek будет снят. Даже сейчас непосредственно доступ к инфраструктуре DeepSeek для большинства пользователей в Южной Корее не ограничен, нельзя лишь заново скачивать приложение.

На прошлой неделе в Южной Корее начали работать законные представители DeepSeek, у них-то местные регуляторы и выяснили, что китайская компания пренебрегает рядом требований южнокорейского законодательства в части защиты персональных данных. Как известно, Италия заблокировала работу DeepSeek на своей территории ещё в прошлом месяце. При этом представители МИД КНР утверждают, что власти страны не принуждают частные компании или физических лиц собирать или хранить информацию в обход законов других стран, и никогда не стали бы этого делать. Власти Китая с большим уважением относятся к приватности данных и защищают их с помощью местных законов.

Apple уже три года является объектом антимонопольного разбирательства в Германии из-за непрозрачной работы функции App Tracking Transparency Framework (ATTF). Эта функция позволяет владельцам iPhone отправлять приложениям запрос на запрет отслеживания. Федеральное ведомство по картелям (Bundeskartellamt) обвиняет Apple в том, что ATTF применяется только к сторонним приложениям, и не распространяется на приложения Apple, что нарушает антимонопольную политику.

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HONOR 400: реаниматор

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

В сегодняшнем пресс-релизе немецкое антимонопольное ведомство утверждает, что Apple применяет к сторонним приложениям иной стандарт конфиденциальности, чем к собственным, особенно когда речь идёт об отслеживании активности пользователей для рекламы. С момента внедрения ATTF в апреле 2021 года iOS-приложения, распространяемые в App Store, должны запросить дополнительное согласие пользователей, чтобы отслеживать их действия и получить доступ к определённым данным.

Однако, судя по информации Bundeskartellamt, строгие требования ATTF применяются только к сторонним поставщикам приложений, а не к самой Apple. Антимонопольное ведомство полагает, что такой подход должен быть запрещён в соответствии со специальными положениями о контроле за злоупотреблениями для крупных цифровых компаний «Закона о конкуренции Германии» (GWB) и общими положениями о контроле за злоупотреблениями статьи 102 «Договора о функционировании Европейского союза» (TFEU).

Между тем, ATTF, по сути, не является проблемой для крупных рекламных приложений, таких как Facebook✴. Meta✴ даже улучшила свои рекламные возможности, получив от ATTF, частично с помощью ИИ, возможность более точного таргетинга пользователей.

Компания Apple объявила о запуске исследования здоровья Apple (Apple Health Study). Оно охватит такие темы, как активность, старение, сердечно-сосудистое здоровье, здоровье кровообращения, когнитивные функции, слух, менструальное здоровье, метаболическое здоровье, подвижность, неврологическое здоровье, здоровье органов дыхания и сон. Пользователи, согласившиеся участвовать, предоставят свои данные и пройдут периодические опросы о своей домашней жизни и привычках.

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Пять причин полюбить HONOR 400

Источник изображения: unsplash.com

Виртуальное исследование появится в приложении Research. Компания будет собирать широкий спектр данных, чтобы попытаться обнаружить новые связи между различными аспектами здоровья — как физического, так и психического. Исследование проводится совместно с филиалом Гарвардской медицинской школы. Первый этап рассчитан на пять лет с возможностью дальнейшего продления.

Источник изображения: Apple

Цели исследования на первый взгляд кажутся туманными, поскольку его область применения и потенциальный масштаб значительно шире, чем у традиционных клинических исследований. Подобное широкомасштабное изучение различных аспектов здоровья может помочь в создании более проактивных функций. В качестве примера можно упомянуть новую функцию проверки слуха в AirPods. По словам вице-президента Apple по здравоохранению Сумбулы Десаи (Sumbul Desai), эта функция появилась благодаря исследованию слуха Apple. Возможно, в будущем с её помощью удастся понять, может ли раннее ухудшение слуха повышать риск снижения когнитивных способностей.

«Мы используем эти исследования не только для обучения, но и для того, чтобы направлять и информировать наши решения о том, что добавить в дорожную карту продукта», — отметила Десаи, добавив, что компания отказалась от внедрения функций, получивших негативные оценки исследователей.

Источник изображения: TheVerge

Кардиолог и профессор медицины Гарвардской медицинской школы Калум Макрей (Calum MacRae), который выступит в качестве главного исследователя в Apple Health Study, уверен, что выводы традиционных исследований часто требуют слишком много времени, прежде чем они становятся применимыми в повседневной жизни. По его словам, «они выбирают популяцию и тему для изучения в первый день, а затем застревают с этими решениями на потенциально десятилетия, даже если сама область исследования изменится за это время».

Макрей полагает, что доступ к «огромной и разнообразной когорте» — в данном случае к любому владельцу устройства Apple — открывает возможности для ускорения открытий и прогресса: «Чем разнообразнее и шире возрастной диапазон, демографические данные и другие критерии, тем лучше. Мы можем выявить первоначальный сигнал, проверить и подтвердить его, а затем связать с большим количеством факторов. Чем больше людей участвует в исследовании, тем больше данных мы получаем, и внезапно мы оказываемся в состоянии радикально ускорить темпы исследований».

Первый исследовательский проект компании, Apple Heart Study, собрал 400 000 участников. Большинство традиционных исследований работают с гораздо меньшими выборками и не могут отслеживать участников в течение длительных периодов. Расширение масштаба исследований открывает новые возможности для выявления ранее неизвестных закономерностей.

Источник изображения Apple

Масштаб исследования Apple Health Study может помочь учёным устранить информационные пробелы. Одна из проблем традиционных клинических исследований заключается в том, что они, как правило, охватывают более узкую выборку участников. Например, если в исследовании здоровья в основном участвуют молодые белые мужчины, результаты могут оказаться неприменимыми к женщинам, детям, пожилым людям или представителям других этнических групп.

Исследователи не рассчитывают на быстрые результаты. «Я бы не ожидала ничего в этом году, просто потому что с научной точки зрения это было бы невозможно», — заявила Десаи. В качестве примера она привела функцию мониторинга апноэ во сне для Apple Watch, разработка которой заняла около пяти лет.