Компания Mozilla собирается повысить интерес к поиску программных уязвимостей в своём браузере Firefox, более чем в два раза увеличивая награду за нахождение опасных ошибок в коде. Тем самым Mozilla следует примеру множества технологических компаний, которые также увеличивают вознаграждения в надежде на то, что свежий взгляд со стороны поможет в нахождении существующих в программах ошибок.
Пять лет назад вознаграждение было увеличено до $3000 и в компании считают, что пришло время повысить ставки. Критические уязвимости отныне будут оцениваться в сумму от $3000 до $7500. Если раньше вознаграждение было фиксированным, то теперь оно стало «плавающим». Итоговая сумма будет рассчитываться в зависимости от качества доклада, степени опасности уязвимости и лёгкости её эксплуатации. Умеренные уязвимости оценили в $500-$2000 в зависимости от степени риска.
Кроме того, Mozilla открывает «Зал славы» (Firefox Security Bug Bounty Hall of Fame), который уже некоторое время работал, но не был анонсирован. На этой страницы будут представлены ранее обнаружившие значительные неисправности приложений компании исследователи. За всю историю программы поиска уязвимостей Microsoft выплатила $1,6 млн.
Пользователи сетевого сервиса Office 365 компании Microsoft получили новый более безопасный вариант входа в приложения Outlook на платформах iOS и Android, обновление было анонсировано в среду. Оно добавит в приложения плитку входа в Office 365, которая позволит войти в связанную с аккаунтом пользователя почту Exchange Online. Эта плитка позволяет входить через Office 365, а не хранить логин и пароль в приложении Outlook. При входе сервис передаёт набор цифр для получения доступа к почте без необходимости использования пароля.
Outlook в iOS и Android уже использует протокол авторизации OAuth для интеграции с такими сервисами, как Outlook.com, OneDrive, Dropbox и Gmail. Использование этой системы на Microsoft Active Directory Authentication Library даёт ряд преимуществ в плане безопасности, среди прочего поддержку многофакторной авторизации. Приложение Outlook никогда не будет сохранять пароль от Office 365. При утрате выданную последовательность цифр можно аннулировать, что не позволит получить доступ к данным без процедуры изменения пароля.
Пользователи Office 365, использующие для входа Exchange, в ближайшие дни будут переведены на вариант с Office 365. Представленная функциональность базируется на прошлогоднем приобретении Microsoft компании Acompli, чьё приложение легло в основу Outlook для Android и iOS.
Портал iFixit заполучил на свой стол очередной продукт высоких технологий, которым на этот раз стал смартфон LG G4. Аппаратные характеристики этой модели были следующие:
IPS-дисплей Quantum с диагональю 5,5 дюймов и разрешением 2560 х 1440 (538 ppi)
3 Гб оперативной памяти, 32 Гб оперативной памяти производства Toshiba, microSD на 2 Тб
задняя камера 16 Мп со светосилой f/1.8, оптической стабилизацией и лазерным автофокусом
передняя камера 8 Мп f/2.0
стандарты связи 802.11 a/b/g/n/ac wi-fi, Bluetooth 4.1 BLE и NFC
операционная система Android 5.1.
Среди плюсов аппарата названы возможность снятия задней крышки и аккумулятора без использования инструментов; модульное независимое расположение компонентов; стандартные винты от Phillips. Минусом является единая сборка дисплея и стекла, которая встречается и у множества других производителей смартфонов. Также некоторые хлопоты доставила задняя камера из-за сложности оптической стабилизации, однако удалось снять и её. Ещё легче оказалось снять неприпаянный разъём для наушников. В итоге G4 получил весьма высокую оценку ремонтопригодности - 8 из 10 возможных.
Социальная сеть Твиттер предпринимает новый шаг в сторону повышения безопасности и удобства работы своих пользователей, позволяя делиться списками заблокированных пользователей. Списки представляют собой доступные для скачивания файлы формата .csv. Таким образом, пользователи будут получать представление о том, какие аккаунты являются надёжными, а какие нет.
Особенно полезна эта функция будет, по мнению разработчиков, для пользователей внутри сообществ или с одинаковыми интересами. Например, при обсуждении политических или социальных вопросов можно будет блокировать оппонентов, если общение выйдет за дозволенные рамки. Если определённые аккаунты будут представлены во множестве чёрных списков, их можно будет заблокировать заблаговременно, в том числе множество одновременно. Для этого нужно будет импортировать списки от других пользователей в свой аккаунт. Эта возможность доступна в расширенных настройках.
В апреле разработчики пообещали блокировать аккаунты за распространение призывов к насилию. В следующих обновлениях Твиттер представит новые меры повышения безопасности, о которых обещано рассказать в ближайшем будущем.
Пользователь сервиса GitHub опубликовал код атаки, позволяющий красть пароли от аккаунтов облачного хранилища iCloud через последнюю версию операционной системы iOS. Код использует уязвимость встроенного в систему приложения Mail, которое после апрельского релиза iOS 8.3 перестало правильно отфильтровывать потенциально вредоносный HTML-код входящих писем. В ходе атаки с сервера скачивается форма, которая внешне не отличается от формы авторизации в iCloud.
Ошибка позволяет менять HTML содержимое реальных писем на вредоносное. В движке iOS UIWebView отключена поддержка JavaScript, но есть возможность написать программу для сбора паролей на HTML и CSS. Чтобы не возникло подозрений, окно для ввода пароля отображается один раз, а не при каждом просмотре вредоносного сообщения. Письмо должно содержать тэг <meta http-equiv=refresh>, затем встроенный в почтовый клиент браузер Apple загрузит изображение окна ввода пароля.
Глава компании Errata Security Роб Грехэм называет уязвимость серьёзной, поскольку отображение окон для ввода паролей в самое неожиданное время не является на iOS редкостью. Лучшим советом является нажать кнопку «Отмена» и не вводить никаких паролей; самое страшное, что может случиться в таком случае - повторное появление окна ввода пароля. Отличить настоящее окно от поддельного нетрудно: в первом случае, если нажать на кнопку Home, ничего не произойдёт и окно останется на своём месте, при поддельном же окне пользователь переместится на домашний экран.
Об уязвимости Apple была уведомлена в январе, однако закрывающего её обновления до сих пор нет.