Исследователь безопасности из Индии обнаружил критическую уязвимость платформы Facebook, благодаря которой из социальной сети можно было удалить любое видео. Новая функция была представлена в Facebook в начале месяца, ей стала возможность добавлять видео в качестве ответа в комментариях.

После работы с запросами некоторых интерфейсов программирования Facebook исследователь смог удалять видео, используя его идентификационный номер. Когда пользователь загружает видео в качестве комментария, видео оказывается в его профиле Facebook, у него есть номер ID, по которому оно прикрепляется к определённому посту.

Можно создать комментарий при помощи Facebook API, затем можно послать другой запрос API для прикрепления любого ID от любого пользователя в качестве комментария, и далее следующий запрос API можно использовать для удаления комментария. Вместе с ID удаляется и само видео. Разработчики Facebook забыли добавить проверку разрешений, чтобы знать, является ли удаляющий видео пользователь его владельцем.

О наличии проблемы было сообщено в Facebook 11 июня через программу поиска багов Bug Bounty, спустя два дня после введения функции. Через 23 минуты Facebook представил временное решение, а через 11 часов выпустил полноценный патч. Исследователь за такой критический баг получил в награду сумму с пятью знаками.

Компания Google удалила из своего магазина шесть приложений, в которых было зафиксировано вредоносное поведение, о чём сообщает российская компания Dr.Web. Все они были инфицированы трояном под названием Android.Valeriy. Этими приложениями были Battery Booster, Power Booster, Blue Color Puzzle, Blue And White, Battery Checker и Hard Jump - Reborn 3D.

До их удаления скачать программы, судя по статистике магазина, успели около 15500 пользователей. Исследователи сумели обнаружить командный сервер трояна и установили, что на самом деле скачали приложения более 55000 тысяч пользователей.

После установки приложений Android.Valeriy связывается с сервером и получает список адресов URL, открывая их в компоненте WebView. Такое поведение присуще adware-приложениям и является достаточным основанием для бана в Play Store. Однако этим действия трояна не исчерпываются. Android.Valeriy подписывает пользователей на премиальные телефонные номера в разных маркетинговых программах для генерации прибыли для своих авторов. За несколько дней троян может стать причиной получения внушительного счёта за телефон. Также троян умеет перехватывать подтверждения по СМС и прятать от пользователей.

Ещё троян умеет заниматься «кликфродом», открывая адреса URL в другом компоненте WebView и нажимая по рекламе или скачивая другие приложения. Пользователям рекомендуется устанавливать мобильные антивирусы, которые способны обнаружить вредоносный код.

Российские хакеры нашли очередной способ доставить неприятности предприятиям и организациям, используя весьма популярное приложение 1С. В частности, речь идёт о программе 1C:Предприятие.

Используя язык программирования 1C, злоумышленники создали троян под именем 1C.Drop.1, который работает в 1C:Предприятие. Для распространения вредоносного кода используется спам-рассылка по электронной почте. Письма для привлечения внимания содержат заголовок вроде «Ваш БИК был изменён» (БИК - банковский идентификационный код). Получатели могут подумать, что это письмо от деловых партнёров и что необходимо обновить БИК. В письма вложен файл ПроверкаАктуальностиКлассификатораБанков.epf. EPF является одним из расширений программы 1C:Предприятие, что также призвано придать вложению большую достоверность.

При запуске файла появляется диалоговое окно, однако разницы между кнопками «Да» и «Нет» не существует -  вредоносный код начинает свою работу и показывает экран загрузки, как на изображении выше. К моменту, когда пользователь что-то заподозрит, будет установлено приложение-вымогатель Trojan.Encoder.567. Компания Dr.Web говорит, что расшифровать зашифрованные им файлы без выплаты выкупа в настоящее время невозможно.

Приложение способно получить доступ к адресной книге и начать рассылку спама с приложением-вымогателем пользователям из неё. 1C.Drop.1 работает с базами данных Управление торговлей 11.1, Управление торговлей (базовая версия) 11.1, Управление торговлей 11.2, Управление торговлей (базовая версия) 11.2, Бухгалтерия 3.0, Бухгалтерия (базовая версия) 3.0 и 1C:Комплексная автоматизация 2.0.

Компания Apple, как и конкуренты сопоставимого с ней масштаба, любят повторять, что безопасность её клиентов является их важнейшей заботой. После скандалов с ФБР и требованиями дать доступ к смартфонам правонарушителей слова о важности безопасности звучат чаще обычного, так что большим сюрпризом стало открытие, что в новой системе iOS 10 ядро не зашифровано. Это выяснили при анализе первой предварительной версии системы для разработчиков.

Обычно Apple закрывает своё программное обеспечение от всех посторонних, чтобы эксплоиты и вредоносные приложения не смогли воспользоваться уязвимостями кода, но в iOS 10 выбран другой подход. Разработчики говорят, что незашифрованное ядро iOS 10 никак не влияет на безопасность пользователей, зато позволяет экспертам по информационной безопасности искать уязвимости и сообщать о них для оперативного исправления.

Ранее существовали группы хакеров, предположительно знавшие об уязвимостях ядра, неизвестных другим. Именно с их помощью ФБР удалось взломать смартфон стрелка из Сан-Бернардино, доступ к которому отказалась предоставлять сама Apple. Никто не знает, какая уязвимость при этом была использована, в том числе и сама Apple, которую такая ситуация явно не радует.

Использование нового открытого подхода с iOS 10 может быть палкой о двух концах, поскольку если на код смогут посмотреть эксперты по безопасности, ничего не мешает сделать то же самое злоумышленникам.

Компания Dropbox на этой неделе анонсировала ряд новых функций своего сервиса облачного хранения файлов. Среди них - сканер в приложении на операционной системе iOS, который различает и запоминает печатный текст. Мобильное приложение Dropbox даст возможность сфотографировать документ с текстом и превратить его в хранящийся в облаке файл. Используя оптическое распознавание символов, можно будет искать слова в этих файлах. В будущем такая возможность придёт и в приложение Dropbox на Android.

Dropbox станет местом, где можно создавать файлы, а не только хранить. Число пользователей сервиса достигло 500 млн., но лишь небольшая их часть оформила платную подписку на Dropbox Pro. Около 150 тысяч предприятий и организаций пользуются платными возможностями Dropbox.

Dropbox постарается дать пользователям причину хранить у себя большие по размерам файлы и платить за дополнительное место. Организациям Dropbox предложит более сложную функциональность, которая позволит конкурировать с похожими сервисами Google и других компаний. Сканирование позволит вести поиск текста только пользователям Dropbox Business.

Большая кнопка «Плюс» в приложении на iOS позволит создавать в Dropbox файлы форматов Microsoft Word, PowerPoint и Excel. На настольных ПК также есть новшества. Менять опции обмена файлами можно будет прямо в папках на компьютере без необходимости заходить в Dropbox в браузере. Можно будет делиться с другими людьми отдельными файлами и комментировать отдельные части файлов. Можно будет узнать, кто просматривал файл, комментировать и работать над файлами совместно с другими пользователями в приложениях Word и PowerPoint.