MEGANews. Cамые важные события в мире инфосека за август

Содержание статьи

Усложнение sideloading’а
20+ опасных VPN
Max и использование камеры
Windows ломает SSD и HDD
У Google утекли данные
Девять признаков мошенничества
Сбой «Великого китайского файрвола»
Ограничение звонков
Flipper и автоугоны
Исчезнуть из поиска

В этом месяце: всех разработчиков приложений для Android обяжут проходить верификацию, Роскомнадзор ограничил звонки в WhatsApp и Telegram, обновления Windows вызвали проблемы в работе SSD и HDD, Flipper Zero снова попытались связать с автоугонами, разработчики Max заверили, что мессенджер не использует камеру в фоновом режиме, а также другие события ушедшего августа.

Усложнение sideloading’а

Представители Google сообщили, что с 2026 года на сертифицированные Android-устройства можно будет устанавливать только приложения от верифицированных разработчиков. Эта мера направлена на борьбу с вредоносным ПО и финансовым мошенничеством и затронет приложения, которые устанавливаются из сторонних источников.

Требование будет касаться всех «сертифицированных Android-устройств», то есть девайсов, на которых работает Play Protect и предустановлены приложения Google.

Еще в 2023 году в магазине Google Play Store появились похожие требования, и в компании заявляют, что это привело к резкому снижению количества вредоносных программ и случаев мошенничества. Поэтому теперь требования станут обязательными для любых приложений, включая те, что распространяются через сторонние магазины приложений и sideloading, то есть установку из сторонних источников (когда пользователь сам загружает на устройство APK-файл).

В Google сравнивают новые требования с проверкой документов в аэропорту.

«Представьте, что это как проверка документов в аэропорту — она подтверждает личность путешественника, но отделена от досмотра его багажа. Мы будем подтверждать личность разработчика, но не проверять содержимое и происхождение его приложения», — пишут в компании.

Таким способом Google хочет бороться с «убедительными фейковыми приложениями» и усложнить задачу злоумышленникам, которые нередко начинают распространять очередную малварь вскоре после того, как Google удалила предыдущую.

Сообщается, что проведенный недавно анализ показал, что в сторонних источниках, приложения из которых устанавливаются с помощью sideloading’а, найдено в 50 раз больше малвари, чем в приложениях, доступных в магазине Google Play.

При этом в Google подчеркивают, что «у разработчиков сохранится та же свобода распространять свои приложения напрямую среди пользователей через сторонние источники или использовать любой магазин приложений, который они предпочитают».

Для реализации новой инициативы будет создана отдельная упрощенная консоль Android Developer Console, предназначенная для разработчиков, которые распространяют свои приложения за пределами Google Play Store. После подтверждения личности разработчикам будет необходимо зарегистрировать имя пакета и ключи подписи своих приложений.

Те, кто распространяет приложения через магазин Google Play, «вероятно, уже соответствуют требованиям верификации через существующий процесс Play Console», где организациям требуется указать номер D-U-N-S (Data Universal Numbering System — уникальный девятизначный идентификационный номер для юридических лиц).

Тестирование новой системы верификации начнется в октябре текущего года, и к ней получат доступ первые Android-разработчики. Для всех этот механизм заработает в марте 2026 года.

Сначала требование о верификации вступит в силу в сентябре 2026 года в Бразилии, Индонезии, Сингапуре и Таиланде. В Google объясняют, что эти страны «особенно затронуты такими формами мошеннических приложений». Затем в 2027 году верификация разработчиков начнет применяться по всему миру.

Аккаунты Telegram угоняют на 51% чаще

Количество угонов учетных записей в Telegram за первое полугодие 2025 года увеличилось на 51% по сравнению с первым полугодием 2024 года, а по сравнению со вторым полугодием 2024 года — на 20%, сообщили аналитики компании F6.
По данным исследователей, только одна из русскоязычных хакгрупп за январь — июнь 2025 года похитила 1 496 034 аккаунта пользователей из России и других стран. В среднем эта группа угоняла ежедневно 8175 учетных записей.
При этом средняя цена продажи аккаунтов, зарегистрированных на российские номера, на теневом рынке составила 128 рублей — на 20% меньше, чем во втором полугодии 2024 года.

20+ опасных VPN

Аналитики Citizen Lab предупредили, что более 20 VPN-приложений из магазина Google Play имеют серьезные проблемы с безопасностью, которые угрожают приватности пользователей и позволяют расшифровывать передаваемые данные. Суммарно эти приложения насчитывают 972 миллиона скачиваний.

Специалисты рассказали, что VPN-провайдеры, которые распространяют проблемные приложения, тесно связаны друг с другом. При этом они заявляют, что являются отдельными компаниями, а также используют различные способы, чтобы скрыть настоящее положение дел.

Отчет Citizen Lab отталкивается от предыдущих исследований, которые выявили взаимосвязь между тремя поставщиками VPN, якобы базирующимися в Сингапуре, — Innovative Connecting, Autumn Breeze и Lemon Clove. Все эти компании ранее удалось связать с гражданином Китая, а теперь аналитики выявили дополнительные пересечения между приложениями, а также нашли связь с другими VPN-приложениями и их разработчиками.

Согласно отчету, восемь VPN-приложений, созданных Innovative Connecting, Autumn Breeze и Lemon Clove, используют общий код, зависимости и жестко закодированные пароли, что потенциально позволяет атакующим расшифровывать весь трафик пользователей. Суммарно эти приложения насчитывают более 330 миллионов установок в Google Play Store.

Все три компании, которые ранее были связаны с Qihoo 360 (китайской ИБ‑компанией, попавшей под санкции США в 2020 году), предлагают VPN-сервисы и полагаются на протокол Shadowsocks, который исходно создавался для обхода «Великого китайского файрвола».

Исследователи отмечают, что протокол использует симметричное шифрование и уязвим для различных атак из‑за применения устаревших шифров и жестко закодированных паролей. Кроме того, его взаимодействие с системой отслеживания соединений в ОС позволяет атакующим захватывать контроль над соединениями жертв.

Восемь приложений (Turbo VPN, Turbo VPN Lite, VPN Monster, VPN Proxy Master, VPN Proxy Master Lite, Snap VPN, Robot VPN и SuperNet VPN) поддерживают протоколы IPsec и Shadowsocks, тоже демонстрируют значительные пересечения в коде, а также используют различные механизмы для антианализа и обхода автоматических проверок безопасности.

Все изученные специалистами приложения оказались уязвимы перед атаками на вмешательство в соединения и инъекциями пакетов. Все они тайно собирают информацию о местоположении пользователей, используют слабое шифрование и содержат один и тот же жестко закодированный пароль для конфигурации Shadowsocks.

Используя этот пароль, в Citizen Lab обнаружили, что все три поставщика VPN, предлагающие эти приложения, полагаются на единую инфраструктуру, что еще раз подтверждает связь между ними.

При этом отмечается, что другая группа провайдеров — Matrix Mobile Pte Ltd, ForeRaya Technology Limited, Wildlook Tech Pte Ltd, Hong Kong Silence Technology Limited и Yolo Mobile Technology Limited — также может быть связана с упомянутой тройкой, учитывая использование одинаковых протоколов, похожесть кода и обфускации.

Их VPN-решения, суммарно насчитывающие более 380 миллионов скачиваний, тоже оказались уязвимы для атак на вмешательство в соединения, содержат обфусцированные пароли и подключаются к одному и тому же набору IP-адресов.

Два других поставщика — Fast Potato Pte Ltd и Free Connected Limited — предлагают VPN-клиенты, которые полагаются на одну и ту же проприетарную реализацию протокола.

По данным Citizen Lab, выявленные проблемы безопасности и приватности в изученных приложениях по‑разному влияют на пользователей. Например, они могут нарушать доверие и приватность за счет скрытого сбора данных о местоположении, а также могут подвергать людей риску перехвата и модификации трафика.

«Обнаруженные нами проблемы затрагивают пользователей, провайдеров и магазины приложений. Пользователям VPN, которые ценят свою приватность, как минимум рекомендуется избегать использования Shadowsocks, включая приложения от этих разработчиков, поскольку Shadowsocks был создан не для обеспечения приватности, а для обхода цензуры», — заключили в Citizen Lab.

Стоит отметить, что о другом небезопасном VPN в этом месяце предупредили исследователи из компании Koi Security. По их данным, недавно изменилось поведение популярного Chrome-расширения FreeVPN.One. Оно начало тайно делать скриншоты любой активности пользователей и передавать их на удаленный сервер.

До 60% трафика СМИ теряют из-за ИИ

По данным аналитиков Kokoc Performance, с начала 2025 года СМИ потеряли от 15% до 60% (в среднем 30%) органического трафика из‑за внедрения нейроответов в «Яндексе» и Google. При этом показатель CTR для некоторых категорий снизился более чем вдвое.
Статистика LiveInternet также свидетельствует о том, что просмотры новостных сайтов упали на 12–15%.

Представители РБК сообщают о падении трафика на отдельных проектах до 50%. А в «Коммерсанте» говорят, что за январь — июль показы в «Яндексе» снизились с 86,3 миллиона до 78 миллионов, а в Google — с 62,5 миллиона до 51,7 миллиона.
В результате эксперты прогнозируют снижение доходов от рекламы на 30–50% к концу года, пропорционально потере трафика.

Max и использование камеры

В середине августа в социальных сетях появилась жалоба пользователя, который писал, что десктопная версия мессенджера Max вызывает срабатывания антивируса «Лаборатории Касперского». Защитное ПО предупреждало, что Max использует камеру даже в неактивном состоянии.

О том, что о подозрительной активности мессенджера Max то и дело предупреждает защитное ПО «Лаборатории Касперского», рассказал пользователь «Пикабу» под ником maxandrey. Он уточнял, что, даже когда мессенджер неактивен, «Max сидит в трее и зачем‑то постоянно дергает камеру».

При этом maxandrey отметил, что не нашел никакого способа сообщить о проблеме разработчикам.

Я не нашел в приложении Max (десктоп) даже контактов, чтобы связаться с разработчиками и дать им фидбэк по этой теме. Никакой отладочной информации, нет возможности собрать и отправить им. В приложении такой функционал отсутствует. В разделе «О приложении» есть возможность только проверить обновления, в разделе «Помощь» есть возможность пообщаться с роботом, — говорит maxandrey. — Возможность настроить доступы к камере и микрофону в функционале самого приложения тоже отсутствует.

В 2024 году пользователи продуктов «Лаборатории Касперского» (в частности Kaspersky Internet Security) уже сталкивались с постоянными уведомлениями о том, что то или иное приложение использует камеру. Эти уведомления «появлялись на пару секунд, когда запускался софт, использующий камеру».

В начале 2025 года сообщалось, что разработчики устранили эту проблему в версии 21.20.

Публикация пользователя «Пикабу» вызвала широкий резонанс и привлекла внимание многих СМИ и Telegram-каналов. В результате разработчики Max заверили, что мессенджер не запрашивает доступ к камере в фоновом режиме и не использует ее без активных действий со стороны пользователя.

«Пользователь активирует камеру компьютера в Max, только когда самостоятельно инициирует эту функцию, например во время видеозвонка. Без активного действия пользователя приложение не запрашивает доступа к камере и не использует ее», — заявили в пресс‑службе Max.

Дуров о своем аресте

В конце августа 2024 года Павла Дурова арестовали во Франции, где ему предъявили шесть обвинений, связанных с различными преступлениями, выявленными в Telegram (включая педофилию, отмывание денег и незаконный оборот наркотиков).

К годовщине этой даты Дуров опубликовал в своем Telegram-канале сообщение, в котором заявил, что Франция лишь нанесла ущерб своей репутации:

Год назад французская полиция задержала меня на четыре дня, поскольку несколько человек, о которых я никогда не слышал, использовали Telegram для координации преступлений. Арест генерального директора крупной платформы из‑за действий ее пользователей был не только беспрецедентным — он был юридически и логически абсурдным.

Год спустя «уголовное расследование» все еще пытается обнаружить хоть что‑то, что я или Telegram сделали неправильно. Наши методы модерации соответствуют отраслевым стандартам, и Telegram всегда отвечал на каждый имеющий юридическую силу запрос из Франции.

По иронии судьбы меня арестовали из‑за ошибки самой французской полиции: до августа 2024 года они игнорировали законы Франции и ЕС и не отправляли запросы в Telegram в соответствии с установленной юридической процедурой. Они могли бы узнать о правильном порядке действий, просто погуглив или спросив.

Спустя год после этого странного ареста я все еще вынужден возвращаться во Францию каждые 14 дней, и дата подачи апелляции по‑прежнему неизвестна. К сожалению, единственным результатом моего ареста на данный момент является огромный ущерб, нанесенный имиджу Франции как свободной страны.

Мы будем продолжать бороться и победим.

Windows ломает SSD и HDD

Недавние обновления для Windows 11 24H2 могут вызывать повреждение данных и сбои в работе некоторых моделей SSD и HDD. Microsoft пока не удалось воспроизвести проблему, и в компании просят людей присылать информацию о выявленных неисправностях.

Впервые о возможной проблеме предупредил японский исследователь, который заметил, что ОС перестает видеть накопители с NAND-контроллерами Phison во время интенсивных операций записи (например, запись больших файлов или множества файлов одновременно, установка больших обновлений в играх). Он писал, что проблема возникает после установки августовского обновления безопасности KB5063878 и preview-обновления KB5062660.

Хотя некоторые из пострадавших накопителей восстанавливались после перезагрузки системы, другие все равно оставались недоступны. Исследователь предположил, что проблема может быть связана с ошибкой кеша накопителя и утечкой памяти в буферизуемой ОС области.

Тесты показывают, что симптомы появляются на SSD с заполненностью свыше 60% после примерно 50 Гбайт непрерывной записи. Сообщения указывают на похожие симптомы и на HDD, — писал специалист. — Также тесты показывают, что NAND-контроллеры Phison более склонны к проблемам, причем модели без DRAM этой же компании, как правило, демонстрируют проблемы даже при меньших объемах записи.

Другие пользователи сообщали, что столкнулись с такой же проблемой, работая с накопителями SanDisk Extreme Pro, Corsair Force MP600, Maxio SSD, KIOXIA EXCERIA PLUS G4, KIOXIA M.2 SSD и другими устройствами, оснащенными контроллерами Phison PS5012-E12 и InnoGrit.

Вскоре представители Microsoft сообщили СМИ, что им известно о проблеме и они уже занимаются ее изучением совместно с партнерами.

Пока специалистам компании не удалось воспроизвести проблему. В Microsoft утверждают, что «ни внутреннее тестирование, ни телеметрия не выявили увеличения количества сбоев в работе дисков или повреждений файлов».

Кроме того, утверждается, что служба поддержки клиентов не получала сообщений от людей, которые столкнулись с этой проблемой. Поэтому в настоящее время Microsoft пытается собрать отчеты пользователей с дополнительной информацией об этих сбоях и просит всех пострадавших использовать Support for Business или Feedback Hub для уведомления о проблемах.

Представители компании Phison также сообщили СМИ, что последствия от обновлений KB5063878 и KB5062660 для Windows 11 потенциально могли затронуть ряд устройств хранения данных, в том числе некоторые из поддерживаемых Phison.

«Мы понимаем, какие неудобства это могло вызвать, и оперативно связались с заинтересованными участниками отрасли. В настоящее время проводится проверка контроллеров, которые могли быть затронуты, и мы работаем с нашими партнерами», — заявили в Phison.

Пока проблема не будет решена, пользователям Windows рекомендуется избегать записи больших файлов (на десятки гигабайт) или множества крупных файлов подряд и вместо этого записывать их небольшими партиями. Также распаковку больших архивов со множеством элементов (например, 200 файлов по 200 Мбайт каждый) рекомендуется проводить в несколько этапов.

250 000 долларов за баг в Chrome

Исследователь под ником Micky получил рекордное вознаграждение от компании Google: 250 тысяч долларов США за уязвимость в Chrome (CVE-2025-4609), которая позволяла обойти песочницу браузера. Это максимальная сумма, которую Google готова выплатить за уязвимости, связанные с побегом из песочницы Chrome.
Это вознаграждение является одной из самых крупных выплат по программе bug bounty Google за все время ее существования, уступая лишь награде в размере 605 тысяч долларов, выплаченной в 2022 году ИБ‑исследователю под ником gzobqq за серию из пяти уязвимостей в Android.

У Google утекли данные

Компания Google проинформировала, что пострадала от утечки данных. Этот инцидент стал очередной атакой хакгруппы ShinyHunters, которая в последние месяцы нацелена на Salesforce CRM.

В июне 2025 года специалисты Google предупреждали, что группировки, которые они отслеживают под кодовыми названиями UNC6040 и UNC6240 (они же ShinyHunters), атакуют компании с помощью социальной инженерии и вишинга (голосового фишинга). Целью хакеров при этом является компрометация Salesforce и получение доступа к данным клиентов.

Похитив данные, злоумышленники вымогают у пострадавших компаний деньги, угрожая опубликовать украденную информацию.

В этом месяце компания обновила свою июньскую публикацию и опубликовала заявление, в котором сообщила, что в июне и сама Google стала жертвой аналогичной атаки: хакеры сумели взломать один из инстансов Salesforce CRM и украли данные клиентов.

В июне один из корпоративных инстансов Salesforce компании Google пострадал от аналогичной активности UNC6040. Google отреагировала на случившееся, провела анализ последствий и приняла меры по их устранению, — гласит заявление. — Этот инстанс использовался для хранения контактной информации и связанных с ней заметок о предприятиях малого и среднего бизнеса. Анализ показал, что данные были извлечены злоумышленниками за короткий промежуток времени до закрытия доступа. Полученная атакующими информация в основном ограничивалась базовыми и общедоступными данными, например названиями компаний и контактными данными.

Как выяснилось позже, утечка затронула клиентов Google Ads. Скомпрометированные данные содержали названия компаний, номера телефонов и «связанные заметки», которые используются менеджерами для повторной связи с клиентами.

Однако инцидент не коснулся платежной информации, а также данных аккаунтов Google Ads, Merchant Center, Google Analytics и других рекламных продуктов компании.

«Наши записи показывают, что в результате были скомпрометированы базовые контактные данные и связанные с ними заметки», — заявили в Google.

Хотя в Google не сообщили о количестве пострадавших, хакеры, взявшие на себя ответственность за эту атаку, заявили, что похитили у компании примерно 2,55 миллиона записей, а после потребовали выкуп в размере 20 биткоинов (около 2,3 миллиона долларов США по курсу на момент атаки).

По информации издания Bleeping Computer, за этой атакой стоит существующая много лет хакерская группа ShinyHunters. В прошлом эта группировка была известна взломами Oracle Cloud, Snowflake, AT&T, NitroPDF, Wattpad, MathWay и так далее.

За последние месяцы от практически аналогичных утечек, связанных с компрометацией Salesforce, уже пострадали: Adidas, авиакомпания Qantas, страховая компания Allianz Life, ряд брендов LVMH (Louis Vuitton, Dior и Tiffany & Co), сайт Cisco.com, а также модный дом Chanel и датская ювелирная компания Pandora.

Представители ShinyHunters заявляют, что теперь работают совместно с группировкой Scattered Spider, которая отвечает за получение первоначального доступа к целевым системам. В настоящее время атакующие называют себя Sp1d3rHunters, объединив названия обеих хакгрупп.

Самые распространенные вредоносы в РФ

Специалисты Positive Technologies подсчитали, что чаще всего среди малвари в России встречались шпионские программы из семейств FormBook, Agent Tesla и Snake Keylogger.
Также в этом году в топ-10 вредоносов попали малварь для удаленного доступа DarkWatchman и модульный ботнет Prometei.

В целом доля атак с использованием малвари продолжает расти: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022 году.

В атаках на организации по‑прежнему преобладает использование шифровальщиков, хотя их доля заметно снизилась: с 57% в 2023 году до 44% в 2024 году.
В качестве основного метода доставки малвари по‑прежнему доминирует электронная почта (47%), выросла доля атак, связанных с компрометацией компьютеров, серверов и сетевого оборудования (с 31% до 38%).
Чаще всего жертвами атак малвари становятся государственные учреждения (14% от общего числа атак), промышленные (11%) и IT-компании (8%).

Рекомендуем почитать:

Хакер #315. Positive Hack Days Fest 3

Девять признаков мошенничества

Банк России определил девять признаков мошеннических операций при снятии наличных через банкоматы. С 1 сентября 2025 года кредитные организации будут руководствоваться этими признаками, а в случае их обнаружения вводить временный лимит на выдачу наличных денег в банкомате на 48 ч.

Так, банки, которые оформили клиенту платежную карту, при выдаче наличных через банкоматы будут проверять, не находится ли человек под воздействием мошенников, а также не совершает ли эту операцию злоумышленник.

Если операция соответствует хотя бы одному из критериев ЦБ РФ, банк уведомит об этом клиента и на 48 ч введет временный лимит на выдачу наличных денег в банкомате — до 50 тысяч рублей в сутки. Снять более крупную сумму в этот период можно будет только в отделении банка.

Регулятор сообщил, что среди признаков возможного мошенничества — нехарактерное для человека поведение при снятии денег.

Так, банки будут учитывать непривычное время суток, нетипичную сумму или местонахождение банкомата, а также запрос на выдачу средств нехарактерным для клиента способом, например не с карты, а по QR-коду или цифровой (виртуальной) карте.

Еще один признак — наличие у кредитной организации информации, что как минимум за шесть часов до операции у человека изменилась активность телефонных разговоров, выросло количество SMS-сообщений с новых номеров, в том числе в мессенджерах.

Банк может решить, что клиент находится под влиянием злоумышленников, если снимает деньги в течение 24 ч после оформления кредита (займа) или увеличивает лимит на выдачу наличных, в том числе по кредитной карте, а также переводит на свой счет более 200 тысяч рублей по СБП со своего счета в другом банке либо досрочно закрывает вклад на аналогичную сумму.

Среди подозрительных признаков также перечислены: смена номера телефона для авторизации в интернет‑банке, получение информации (в том числе от операторов связи) о том, что изменились характеристики телефона, с помощью которого клиент снимает деньги, или наличие на его устройстве вредоносных программ.

Кроме того, в документе отмечается, что отдельные критерии предусмотрены для снятия денег с использованием токенизированных карт.

Экс-глава GitHub о работе с ИИ

В середине августа 2025 года генеральный директор GitHub Томас Домке (Thomas Dohmke) ушел в отставку, и должность CEO в компании будет упразднена, так как Microsoft реконструирует руководство своей дочерней компании. Фактически теперь GitHub станет частью Microsoft CoreAI, которую возглавляет Джей Парих (Jay Parikh).

Однако незадолго до своей отставки Домке написал большой пост, посвященный работе программистов в текущих реалиях. По его словам, у разработчиков нет выбора и им либо нужно смириться с повсеместным внедрением ИИ и продолжать карьеру сообразно этому, либо менять работу. По прогнозу Домке, через 2–5 лет ИИ будет писать 90% кода:

Это не гипотетическая трансформация. Она происходит прямо сейчас. Разработчики проходят через четко выраженные фазы: от скептически настроенных новичков до стратегических коллабораторов ИИ. Те, кто достигает последней стадии, говорят, что их представление о себе как о разработчиках изменилось. Теперь их внимание сосредоточено не на создании кода, а на проектировании систем, управлении агентами и проверке результатов. Как сказал нам один разработчик, его следующей должностью может стать должность креативного директора по коду. Это не гипербола — это реальность. Вот что мы наблюдаем.

В ближайшие 2–5 лет 90% кода будет писать искусственный интеллект.

Разработчики не беспокоятся. Они оптимистично и реалистично смотрят на грядущие перемены.

Сейчас важны новые навыки, например оркестровка агентов, итеративное сотрудничество и критические проверки.

Экономия времени? Безусловно. Но реальный сдвиг — это амбиции. Разработчики поднимают потолок, а не просто снижают стоимость.

Кроме того, это имеет серьезные последствия для образования. Преподавание одного лишь синтаксиса устарело. Теперь студенты должны учиться управлять ИИ, критиковать его работу и мыслить в рамках разных дисциплин. Должно оцениваться сотрудничество с ИИ, а не изолированность от него.

Это уже не вопрос производительности. Речь идет о переосмыслении. Работа разработчика программного обеспечения не исчезает. Она возрождается.

Сбой «Великого китайского файрвола»

Исследователи из команды Great Firewall Report заметили, что в ночь на 20 августа в работе «Великого китайского файрвола» произошел сбой или проводился некий тест. Весь трафик на TCP-порте 443 был заблокирован на 74 мин, из‑за чего Китай оказался отрезан практически от всего глобального интернета.

«Примерно с 00:34 до 01:48 (по пекинскому времени, UTC+8) 20 августа 2025 года «Великий китайский файрвол» демонстрировал аномальное поведение, безусловно внедряя поддельные пакеты TCP RST + ACK для разрыва любых соединений на TCP-порте 443 (как в Китай, так и из Китая)», — писали исследователи.

Из‑за этого китайские пользователи не могли получить доступ к большинству сайтов, размещенных за пределами страны. Также инцидент заблокировал работу сервисов, которые полагаются на порт 443, стандартный для HTTPS-соединений. Например, Apple и Tesla используют этот порт для подключения к зарубежным серверам, которые обеспечивают работу ряда их базовых служб.

Фингерпринтинг устройства, которое реализовало эту блокировку, не совпал ни с одним известным узлом или компонентом «Великого китайского файрвола».

Исследователи полагают, что этот инцидент был вызван либо новым устройством, подключенным к «Великому китайскому файрволу», либо уже известным устройством, «которое работало в новом или неправильно настроенном состоянии».

Таким образом, основные теории специалистов гласят, что Китай мог тестировать возможность блокировки соединений на порте 443 или кто‑то попросту допустил ошибку, которую быстро исправили. Однако расследование случившегося затруднено из‑за короткой продолжительности инцидента.

680 DDoS-атак

Роскомнадзор сообщил, что за июль 2025 года специалисты Центра мониторинга и управления сетью связи общего пользования отразили 680 DDoS-атак, направленных на системы защищаемых субъектов государственного управления, транспортного сектора и операторов связи.
Максимальная мощность атак достигала 750 Гбит/с, скорость — 138 миллионов пакетов в секунду. Максимальная продолжительность DDoS-атаки составила 5 дней 37 минут.
В основном атаки были нацелены на телекоммуникационную отрасль. Наибольшее количество инцидентов зафиксировано в СЗФО: Санкт‑Петербурге, Ленинградской области и Калининградской области.

Ограничение звонков

13 августа представители Роскомнадзора (РКН) сообщили о частичном ограничении звонков в мессенджерах Telegram и WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ) в соответствии с материалами правоохранительных органов для противодействия преступникам.

За несколько дней до этого российские пользователи мессенджеров стали массово жаловаться на проблемы со звонками. Кроме того, незадолго до этого СМИ писали, что российские операторы связи вообще предложили заблокировать звонки в зарубежных мессенджерах.

Как объяснили в РКН, «по данным правоохранительных органов и многочисленных обращений граждан», мессенджеры стали «основными голосовыми сервисами, используемыми для обмана и вымогательства денег, вовлечения в диверсионную и террористическую деятельность российских граждан».

«Информируем, что для противодействия преступникам в соответствии с материалами правоохранительных органов принимаются меры по частичному ограничению звонков в данных иностранных мессенджерах. Никаких иных ограничений их функционала не вводится», — заявили в ведомстве.

По словам представителей ведомства, неоднократные требования о принятии мер противодействия были проигнорированы владельцами мессенджеров. Также в РКН добавили, что «борьба со звонками преступников ведется последовательно».

«С 2024 года работает система «Антифрод», обеспечивающая блокировку звонков с подменой номера в традиционных телефонных сетях российских операторов связи. В результате подобные звонки практически все перешли в иностранные мессенджеры, отказывающиеся обеспечивать безопасность российских пользователей и общества», — отмечает Роскомнадзор.

В свою очередь, представители Минцифры сообщили, что решение Роскомнадзора продиктовано тем, что мессенджеры не выполняют требования российского законодательства.

«Решение Роскомнадзора ограничить голосовые вызовы в иностранных мессенджерах сможет положительно повлиять на снижение количества мошеннических вызовов. Частичное ограничение касается только голосовых вызовов, речи о блокировке других функций не идет.

В России последовательно ведется работа по борьбе с кибермошенничеством. Благодаря системе «Антифрод», к которой уже подключились все операторы связи, своевременно блокируется 90% мошеннических вызовов, совершаемых с подменных номеров.

Эффективное противодействие со стороны государства и операторов заставляет мошенников искать другие способы обмана. Большая часть опасных звонков перешла в иностранные мессенджеры — у телеком‑компаний нет возможности блокировать такие вызовы.

При этом иностранные мессенджеры, среди которых Telegram и WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ), несмотря на неоднократные предупреждения со стороны российских властей, отказываются соблюдать требования российского законодательства. В частности, не предоставляют информацию по запросам правоохранительных органов не только по массовым случаям мошенничества, но и по факту планирования и совершения террористических актов на территории Российской Федерации. При этом все требования о предоставлении такой информации по запросу зарубежных спецслужб оперативно выполняются.

Доступ к услугам звонков в иностранных мессенджерах будет восстановлен в случае выполнения ими требований по соблюдению российского законодательства.

Решение Роскомнадзора поможет эффективнее противостоять злоумышленникам, сделать общение в интернете безопаснее и снизить риск финансовой ответственности для операторов связи, которую они могут нести в случае действий мошенников. Для пользователей при этом доступны отечественные аналоги иностранных сервисов с защищенной инфраструктурой», — гласит заявление Минцифры.

Представители Telegram сообщили СМИ, что самостоятельно борются с мошенниками на своей платформе.

«Telegram борется с вредоносным использованием своей платформы, включая призывы к диверсии, насилию и мошенничеству. Модераторы, использующие специальные инструменты ИИ, активно отслеживают общедоступные разделы платформы и принимают жалобы, чтобы ежедневно удалять миллионы вредоносных сообщений. Кроме того, Telegram первым внедрил детальные настройки конфиденциальности для звонков, чтобы каждый пользователь мог самостоятельно определить, от кого принимать звонки, или полностью отключать их», — говорят в пресс‑службе компании.

Представители WhatsApp также опубликовали заявление на официальной странице WhatsApp в Instagram (принадлежит компании Meta, признанной экстремистской и запрещенной в РФ). В нем компания напомнила, что WhatsApp конфиденциален и по умолчанию защищен сквозным шифрованием.

«WhatsApp конфиденциален, по умолчанию защищен сквозным шифрованием и противостоит попыткам правительств нарушить право людей на безопасное общение — именно поэтому российские власти пытаются блокировать WhatsApp для более 100 миллионов наших пользователей в стране. Мы продолжим делать все возможное, чтобы общение, защищенное сквозным шифрованием, оставалось доступным для людей по всему миру, включая Россию», — написали представители мессенджера.

Stack Overflow собрал статистику за 2025 год

Ресурс Stack Overflow провел традиционный ежегодный опрос среди своих пользователей. В общей сложности в голосовании приняли участие более 49 тысяч разработчиков со всего мира, которые рассказали, как они учатся и повышают свой уровень, а также какие инструменты используют и какие хотели бы использовать.
Три самые популярные технологии остались почти такими же, как и в прошлом году: лидируют JavaScript (66%), HTML/CSS (61%), а третье место занимает SQL (58%), в этом году потеснивший Python (57%).

Самыми популярными облачными платформами респонденты назвали Docker (71%), npm (56%), AWS (43%), pip (40%) и Kubernetes (28%).
Наиболее популярные IDE и редакторы кода в этом году VS Code (75%), Visual Studio (29%), Notepad++ (27%), IntelliJ IDEA (27%), Vim (24%), Cursor (17%), PyCharm (15%) и Android Studio (15%).
Интересно, что 47% респондентов сообщили, что ежедневно используют ИИ‑инструменты. Еще 17% и 13% говорят, что используют их несколько раз в неделю и месяц.

Свыше половины опрошенных (66%) заявили, что тратят больше времени на отладку ИИ‑кода, чем на его написание.
Самыми популярными LLM были названы OpenAI GPT (81%), Claude Sonnet (42%), Gemini Flash (35%), OpenAI Reasoning (34%) и OpenAI Image (26%).

Flipper и автоугоны

Тема взлома и угона автомобилей при помощи Flipper Zero снова попала в заголовки мировых СМИ. На этот раз хакеры заявили, что продают «секретные прошивки» для гаджета, которые якобы можно использовать против автомобилей Ford, Audi, Volkswagen, Subaru, Hyundai, Kia и ряда других марок.

Все началось с публикации издания 404 Media, в которой рассказывалось о подпольной торговле модифицированными прошивками для Flipper Zero, которые якобы позволяют взламывать и угонять автомобили.

Журналисты пообщались с хакером по имени Дэниел (Daniel), который якобы живет в России, а также его партнером Дерроу (Derrow), которые разработали и продают в даркнете специальные прошивки для Flipper Zero.

Дэниел сообщил, что купил и получил различные фрагменты исходного кода, необходимые для создания прошивки, у других людей. По его словам, прошивки, возможно, действительно используются для автоугонов, но также они популярны среди специалистов в автосервисах.

Хакеры утверждают, что модифицированное устройство может перехватывать сигналы брелоков и вычислять следующий код для разблокировки автомобиля, создавая «теневую копию оригинального ключа». Согласно предоставленной изданию документации, такие атаки работают против почти 200 моделей авто, включая версии 2025 года от Ford, Audi, Volkswagen, Subaru, Hyundai, Kia, Fiat, Mitsubishi, Suzuki, Peugeot, Citroën и Skoda.

В продаже представлены две версии прошивок: базовая за 600 долларов (только текущая версия) и расширенная за 1000 долларов (с будущими обновлениями и поддержкой), оплата принимается в криптовалюте. При этом прошивки якобы привязываются к конкретному устройству через серийный номер для предотвращения несанкционированного распространения. Для этого у покупателей требуют фотографии с коробки Flipper Zero, на которой видно серийный номер устройства, и фотографию определенной части настроек гаджета.

Дэниел заявил журналистам, что за два года продал эту технологию примерно 150 покупателям. Дерроу же утверждает, что «продажи зашкаливают».

В статье журналисты высказали опасения, что, если эта технология получит широкое распространение, это может привести к всплеску автоугонов. Издание писало, что к 2026 году «Kia Boys могут превратиться во Flipper Boys», имея в виду известный тренд, связанный с угонами автомобилей Kia и Hyundai молодежью.

В ответ на многочисленные публикации в СМИ один из авторов Flipper Zero Павел Жовнер написал большое сообщение в официальном блоге.

«В некоторых магазинах даркнета начали продавать так называемые «приватные» прошивки для Flipper Zero, утверждая, что с их помощью можно взломать бесчисленное количество автомобилей. Якобы в сеть просочилась информация о новых уязвимостях, позволяющих взламывать динамические протоколы, такие как KeeLoq.

На самом деле все эти методы были опубликованы более десяти лет назад. Ничего нового. Авторы таких прошивок просто перерабатывают известные уязвимости, выдавая их за «новые хаки». И, что важно, эти уязвимости не имеют никакого отношения к реальным угонам автомобилей, поскольку не позволяют завести двигатель», — пишет Жовнер.

Разработчик объясняет, что KeeLoq был разработан в 1980-х годах и в основном использовался в старых системах доступа (например, гаражные ворота и ранние автомобильные сигнализации). Это система со скользящим кодом (rolling code или hopping code), где каждая передача использует новый уникальный сигнал, зашифрованный 64-битным ключом производителя.

По словам Жовнера, именно ключ производителя — слабое место KeeLoq. Проблема в том, что автопроизводители часто использовали один и тот же ключ для всего модельного ряда. В случае утечки этого ключа злоумышленники получали возможность перехватывать сигналы с любого брелока дистанционного управления этой марки.

Авторы «хакерских» прошивок просто распространяют старые, украденные у разных автопроизводителей ключи. В этом нет ничего нового, такие уязвимости были подробно описаны еще в 2006 году, — объяснил создатель Flipper. — С тех пор автопроизводители перешли на более современные радиопротоколы с двусторонней аутентификацией, где автомобиль и ключ обмениваются сообщениями для проверки подлинности.

После этого Жовнер повторил тезисы, которые авторы Flipper Zero подробно объясняли в 2024 году, когда правительство Канады сообщило, что намерено запретить продажу Flipper Zero и аналогичных устройств в стране, так как с их помощью якобы можно угонять автомобили.

В частности, он напомнил, что настоящие автоугонщики обычно нацелены на системы бесключевого доступа и запуска двигателя. Они используют ретрансляторы и передатчики, которые передают сигнал с настоящего ключа, вынуждая автомобиль считать, будто настоящий ключ находится где‑то рядом.

«Если вашу машину можно атаковать с помощью Flipper Zero, ее с тем же успехом можно взломать при помощи куска провода», — резюмировал Жовнер.

20 000 000 долларов за эксплоиты

Появившаяся в этом месяце компания Advanced Security Solutions из ОАЭ предложила до 20 миллионов долларов США за 0-day-уязвимости и эксплоиты, которые позволят взломать любой смартфон через текстовое сообщение.
Также компания предлагает крупные вознаграждения за уязвимости нулевого дня в другом софте:
до 15 миллионов долларов за 0-day, приводящие к полной компрометации Android и iPhone;
до 10 миллионов долларов за аналогичные эксплоиты для Windows и Linux;
до 2 миллионов долларов за RCE-уязвимости в Telegram, Signal, WhatsApp и Threema;
до 1 миллиона долларов за аналогичные эксплоиты для браузеров Chrome, Safari и Microsoft Edge.
Как отмечают эксперты, расценки Advanced Security Solutions примерно соответствуют средним по рынку. К примеру, в начале текущего года российский брокер уязвимостей компания Operation Zero предложила до 20 миллионов долларов за те же типы эксплоитов, которые теперь ищет Advanced Security Solutions.

Исчезнуть из поиска

Инструмент Refresh Outdated Content («Обновить устаревший контент») позволял любому желающему удалять конкретные страницы из результатов поиска Google. С его помощью из поиска пропали негативные статьи о генеральном директоре крупной технологической компании из Сан‑Франциско.

Эта история берет начало в 2023 году, когда независимый журналист Джек Поулсон (Jack Poulson) в своей публикации рассказал об аресте в 2021 году Мори Блэкмана (Maury Blackman), связанном с обвинениями в домашнем насилии.

Тогда Блэкман возглавлял компанию Premise Data Corp, занимающуюся разработкой систем наблюдения, и крайне негативно отнесся к публикации о своих юридических проблемах. Хотя дело не дошло до выдвижения обвинений (25-летняя девушка Блэкмана отозвала свое заявление против 53-летнего CEO), в своей статье Поулсон опубликовал неприятные подробности из публичного полицейского рапорта.

Но если раньше Блэкман боролся с негативными публикациями о себе с помощью судебных исков и жалоб на нарушение DMCA, на этот раз он использовал инструмент Google — Refresh Outdated Content.

В конце прошлого года некоммерческая организация Freedom of the Press Foundation, занимающаяся защитой прав журналистов, уже рассказывала о расследовании Поулсона и ответных действиях Блэкмана. Но в июне 2025 года журналист вновь обратился в организацию за помощью, так как его статья внезапно вообще исчезла из поисковой выдачи Google.

НКО провела собственное расследование, которое в итоге привело к малоизвестной функции Google под названием Refresh Outdated Content. Изначально Google создала этот инструмент, чтобы пользователи могли самостоятельно сообщать о неактуальных или приводящих к ошибкам страницах, чтобы поисковую выдачу можно было очищать от мусора. При этом Refresh Outdated Content не фиксирует, кто именно отправляет такие запросы.

Хуже того, выяснилось, что баг в этом инструменте позволял любому желающему удалять из поисковой выдачи конкретные страницы. В данном случае — упоминания об аресте Блэкмана.

Так, статья о Блэкмане полностью пропала из поиска и не отображалась в результатах, даже если искать материал по точному заголовку. Кроме того, Поулсон заметил, что из поиска также пропали две другие статьи на Substack.

Хотя Google не удаляет ссылки из поиска просто так, по чьей‑то просьбе, в этом случае баг позволял сделать именно это. При подаче запроса через Refresh Outdated Content можно было указать URL с измененным регистром — например, вместо anatomy написать AnAtomy, а вместо censorship — censorSHip. Из‑за нечувствительности к регистру поисковый краулер Google проверял измененный URL, получал в ответ ошибку 404 («Страница не найдена») и удалял ссылку из индекса.

Исследователи Freedom of the Press Foundation установили, что сам Блэкман или кто‑то, действовавший в его интересах, воспользовались этим багом «десятки раз» в мае и июне 2025 года. При этом отмечается, что после ухода из компании Premise Блэкман возглавил компанию The Transparency Company, специализирующуюся как раз на управлении онлайн‑репутацией.

В итоге исследователи обратились к представителям Google, и в компании подтвердили наличие уязвимости. В настоящее время статьи Поулсона и Freedom of the Press Foundation снова должны отображаться в результатах поиска Google, а Refresh Outdated Content больше нельзя злоупотреблять для исключения страниц из поиска.

Однако осталось неясным, было ли известно об этом баге ранее и насколько широко он мог применяться. В Google заверили исследователей, что проблема затронула лишь «незначительную долю сайтов», однако не назвали конкретных цифр.

Другие интересные события месяца

← Ранее Twitch оштрафовали на 61 млн рублей

Далее → Бесконечный тупняк. Колонка главреда