Le fondateur de Signal a piraté un célèbre dispositif de piratage téléphonique

Cette semaine, la société Apple L’événement de lancement des produits de printemps d’Apple a été entaché par une attaque de ransomware contre l’un de ses fournisseurs, Quanta Computer. L’incident est remarquable parce qu’il implique Apple – et la divulgation de schémas confidentiels – mais aussi parce qu’il représente une intersection de plusieurs facteurs. plusieurs tendances inquiétantes en matière d’extorsion numérique.

Dans d’autres nouvelles de piratage liées à Apple, des chercheurs de Facebook ont découvert qu’une groupe lié à la Palestine avait construit un malware personnalisé pour attaquer iOS.caché dans une application de messagerie fonctionnelle. Les victimes ont dû se rendre dans une boutique d’applications tierce pour installer le logiciel malveillant, mais les pirates ont utilisé des techniques d’ingénierie sociale pour les inciter à le faire. Et en parlant de Facebook, le géant des médias sociaux a été impliqué dans une autre exposition de données, cette fois-ci la adresses électroniques de millions d’utilisateurs qui avaient défini ces informations comme « privées » dans leurs paramètres. Cela fait suite à une faille qui a permis de récupérer les numéros de téléphone de 500 millions d’utilisateurs de Facebook. qui a été révélée au début du mois.

Nous avons également jeté un coup d’oeil à un bug corrigé depuis dans Clubhouse qui aurait permis aux gens de s’attarder invisiblement dans les pièces comme des fantômes. et même de faire du bruit, sans que le modérateur puisse les mettre en sourdine ou les expulser.

Et ce n’est pas tout ! Chaque semaine, nous faisons le tour de toutes les nouvelles que WIRED n’a pas couvertes en profondeur. Cliquez sur les titres pour lire les articles complets. Et restez en sécurité.

En décembre, la société Cellebrite, qui aide les autorités à pénétrer dans les iPhones et les appareils Android et à en extraire des données, a annoncé qu’elle avait mis en place un système de surveillance des données.a déclaré que qu’il pouvait accéder aux données de l’application Signal. C’était une petite erreur d’aiguillage ; il n’a pas sapé les données de l’application Signal. le cryptage réputé solide de Signal. mais a plutôt ajouté la prise en charge des types de fichiers utilisés par Signal à son outil Physical Analyzer. La distinction est assez importante. Cellebrite pouvait accéder aux messages de Signal une fois qu’elle avait déjà votre téléphone en main et qu’elle l’avait déverrouillé. un risque avec toute application de messagerie cryptée..

Avance rapide jusqu’à cette semaine, lorsque le fondateur de Signal Moxie Marlinspike publié sur un billet de blog qui détaille ses efforts apparemment réussis pour pirater un dispositif de piratage de téléphone de Cellebrite. Ce qu’il a trouvé : beaucoup de vulnérabilités, à tel point qu’une application pourrait compromettre une machine Cellebrite simplement en incluant un fichier spécialement formaté sur un téléphone scanné. Marlinspike suggère qu’en corrompant le matériel de Cellebrite, on pourrait manipuler les données sans laisser de traces, ce qui jetterait une ombre sur les rapports médico-légaux de l’entreprise à l’avenir.

C’était déjà la version courte, mais la version encore plus courte, c’est que Signal a trouvé le moyen de s’en prendre à l’une des sociétés de piratage téléphonique les plus utilisées, et a suggéré, de manière pas si subtile, qu’elle pourrait effectivement le faire. C’était le bon temps !

La sécurité de l’App Store iOS d’Apple a occupé le devant de la scène au cours des derniers mois. Epic remet en cause le modèle économique de l’entreprise et Le Congrès continue de sonder toutes les implications antitrust. Une chose pour laquelle il est manifestement moins doué ? Identifier et arrêter les arnaques évidentes. Un développeur du nom de Kosta Eleftheriou s’est chargé de ce travail, en signalant plusieurs arnaques d’un million de dollars au cours des derniers mois. The Verge a fait sa propre enquête et a découvert que démêler les arnaques était aussi simple que de parcourir les applications les plus lucratives de l’App Store. Les arnaques se cachent à la vue de tous.

Il est sain de traiter les demandes sur LinkedIn avec méfiance en général, juste à titre personnel. Mais le MI5 a averti cette semaine que les ressortissants britanniques devraient également se méfier des espions étrangers se faisant passer pour des connexions amicales. Le MI5 évoque 10 000 cas au cours des dernières années où de faux profils ont ciblé des personnes au sein du gouvernement et dans des secteurs sensibles, en utilisant des techniques d’ingénierie sociale pour leur soutirer des informations privilégiées. Cette activité ne se limite pas non plus au Royaume-Uni ; les États-Unis, le Canada, l’Australie et la Nouvelle-Zélande ont tous connu une version de ce phénomène. Développez votre réseau, bien sûr, mais avec toute la prudence requise.

La mesure dans laquelle la technologie de reconnaissance faciale comme celle de Clearview AI et données de localisation produites par les applications sur votre smartphone ont alimenté les efforts des forces de l’ordre ces dernières années est devenue incontrôlable. Un nouveau projet de loi introduit cette semaine avec un large soutien bipartisan veut remédier à cela. La loi sur le quatrième amendement n’est pas à vendre s’attaquerait à ces deux problèmes, en exigeant une ordonnance du tribunal pour obtenir les données de localisation des courtiers et en interdisant aux agences de passer des contrats avec des entreprises qui ont obtenu leurs données de manière illicite. (Clearview AI, par exemple, a construit sa base de données d’images en raclant les entreprises de médias sociaux, une violation évidente des conditions de service). Et oui, le plus surprenant est peut-être que ces pratiques sont non seulement actuellement légales, mais aussi courantes.