На протяжении многих лет вредоносное программное обеспечение попадает на компьютеры пользователей через рекламные баннеры на веб-сайтах. Однако прогресс не стоит на месте, и в наши дни злоумышленники умеют использовать для распространения вирусов видеорекламу.
Примерно две недели назад была зафиксирована атака, затронувшая несколько сайтов из рейтинга Alexa с большой посещаемостью. Находку сделала компания The Media Trust, занимающаяся выпуском инструментов и сервисов для обнаружения вредоносной рекламы. Примерно на протяжении 12 часов 29 октября около 3000 сайтов отображали вредоносную видеорекламу со всплывающим окном под названием Tripbox. Окно предупреждает о необходимости обновления браузера, и если согласиться на него, на компьютер устанавливается бэкдор.
Видеореклама зачастую предлагается при помощи стандарта Digital Video Ad Serving Template (VAST). В него могут быть внедрены многочисленные дополнительные элементы, такие как теги слежения. Это затрудняет обнаружение содержащегося внутри вредоносного кода.
Видеореклама стоит дороже обычных баннеров, что сдерживает её распространение. Однако постепенно её стоимость снижается, а угроза от использования её киберпреступниками растёт.
Компания Valve несколько дней назад начала официальные массовые продажи устройств семейства игровых платформ Steam Machines. Издание Ars Technica решило провести сравнение эффективности операционной системы SteamOS на базе Linux в некоторых играх по сравнению с Windows 10, а также оценить результаты систем в бенчмарке Geekbench.
Для тестирования производительности Кайл Орланд из Ars Technica выбрал конфигурацию, близкую по характеристикам к игровым консолям текущего поколения — двухъядерный процессор Intel Pentium G3220 @ 3,2 ГГц; 8 ГБ оперативной памяти класса DDR3-1600, видеокарту Zotac GeForce GTX660 с 2 ГБ GDDR5-памяти, и оснащенную двумя жесткими дисками Western Digital WD Blue со скоростью вращения 7200 оборотов в минуту. Системы Windows 10 Pro и SteamOS 2.0 4.1.0-0 были установлены на разных накопителях в режиме двойной загрузки. На обеих системах были установлены драйверы GeForce Game Ready Driver версии 358.91, поэтому в целом условия для запуска игр оказались идентичными, позволяя оценить готовность систем и их связующего программного обеспечения к игровым нагрузкам. Для оценки общей базовой производительности были проведены несколько замеров в Geekbench 3, где средние результаты Windows во всех подтестах и режимах бенчмарка оказались выше, чем у SteamOS.
Обозреватель издания перед игровым тестированием посетовал, что для SteamOS пока недоступны наиболее свежие требовательные к ресурсам игры, такие как Fallout 4 и Call of Duty: Black Ops III, поэтому ему пришлось выбирать из имеющихся в каталоге SteamOS графически насыщенных игр. Выбор пал на экшен с элементами ролевой игры Middle-Earth: Shadow of Mordor, а также на Metro: Last Light Redux. Кроме того, в Ars Technica решили проверить, как работают игры самой Valve на её собственной системе по сравнению с Windows 10. Таким образом, в сравнение попали все распространённые на данный момент игры на основе графического движка Source — Portal, Team Fortress 2, Left for Dead 2 и Dota 2. Как показало тестирование, во всех играх частота кадров в Windows-версиях игр значительно выше, чем в версиях для SteamOS, кроме Left for Dead 2, где частота кадров была на одном уровне. Кайл Орланд по итогам тестирования пришёл к выводу, что выбор потребителем Steam Machines под управлением SteamOS в качестве игровой платформы потребует больших вложений, так как придётся подбирать более мощную аппаратную конфигурацию для того, чтобы сгладить программные недостатки.
В Ars Technica отметили, что, согласно их опросам, разработчики игр считают, что SteamOS пока не очень готова в качестве игровой платформы. По словам представителей Aspyr Media (занимались портированием игр Civilization и Star Wars: Knights of the Old Republic II — The Sith Lords) и Croteam (известны играми серии Serious Sam и головоломкой Talos Principle), в переносе игр под Linux-платформу есть множество проблем. К таковым разработчики отнесли общее плохое качество драйверов в целом, а в частности — не самую качественную реализацию спецификаций стандарта OpenGL и его шейдерного языка GLSL в драйверах, особенно в сравнении с HLSL в DirectX под Windows. Ещё одной причиной является фактическое отсутствие выбора утилит для отладки и профилировки кода, специфичного для игр, но данная проблема стоит не так остро, так как Valve с самого начала принялась разрабатывать собственные решения, которые сделала общедоступными, но «арсенал» таких решений под Windows всё же оказался шире. Серьёзной проблемой для небольших студий является низкое качество версий кроссплатформенных движков для Linux, таких как Unreal Engine или Unity, так как их перенос на открытую платформу начался относительно недавно. Всё становится ещё хуже, если игра изначально не планировалась как кроссплатформенная, и в этом случае перенос с Direct3D-кода на OpenGL требует огромных усилий по оптимизации, которые издателям, финансирующим портирование под Linux, абсолютно не интересны из-за больших затрат.
Таким образом, по мнению журналистов Ars Technica и разработчиков продвинутых игр под Linux, схожие по качеству версии игр для разных систем могут появиться только после того, как разработка игр изначально будет учитывать существование GNU/Linux, а разработчики связующего программного обеспечения, такого как драйверы, средства разработки и игровые движки, станут уделять Linux-версиям своих продуктов больше времени. Впрочем, с нашей стороны отметим, что ещё одной значительной проблемой для Valve и SteamOS может стать отказ Apple от реализации OpenGL-стандарта в OS X в пользу собственной реализации графических интерфейсов программирования — Metal API. Таким образом, OS X навечно осталась на уровне поддержки версии OpenGL 4.1, принятой в качестве стандартной спецификации в 2010 году. Согласно публичным заявлениям менеджеров Aspyr, перенос Civilization V, Civilization: Beyond Earth и других игр на Linux был относительно простым благодаря существованию порта на OS X — Aspyr удавалось использовать около 90% кода из Mac-версии в Linux-версии. Таким образом, даже если разработчики в дальнейшем будут использовать OpenGL для переноса игр на OS X с Windows, то графические возможности останутся на уровне начала десятилетия, а использование современного Metal API значительно усложнит перенос игр на Linux, так как OpenGL и Vulkan используют иной синтаксис и «философию», отличные от разработки Apple. Впрочем, в одной лодке с Valve находится и корпорация Google, которая также использует стандарт OpenGL в качестве основного интерфейса программирования игр в ОС Android, и также столкнётся с проблемами портирования, так как главный «поставщик» игр для Android — Apple iOS — также перешёл на развитие Metal API, тогда как OpenGL ES перестал обновляться для этой системы, что вызовет похожие проблемы с трансляцией и оптимизацией программного кода.
В Valve никак не отреагировали на публикацию в Ars Technica и интервью некоторых разработчиков. Напомним, что Гейб Ньюэлл, возглавляющий Valve, ранее назвал новый курс Microsoft, взятый с выпуском Windows 8, катастрофой для индустрии цифровой дистрибуции игр.
Недавно открытая уязвимость в браузере Chrome на мобильной операционной системе Android открывает перед хакерами возможность получения полного контроля над устройствами. Исследователь из компании Quihoo 360 Гуанг Гонг продемонстрировал работу эксплоита на основе этой уязвимости на мероприятии MobilePwn2Own, бывшем частью конференции PacSec в Токио. На создание эксплоита ушло три месяца, он работает на всех версиях Android с последней версией Chrome.
Уязвимость нацелена на движок JavaScript v8. При помощи беспроводного сервиса Project Fi на смартфоне Nexus 6 Гонг посетил вредоносный веб-сайт. Через сайт на аппарат было установлено первое попавшееся приложение (игра BMX bike).
Особенностью этого эксплоита является использование всего одной уязвимости, в отличие от большинства других нацеленных на повышение привилегий и получение контроля над устройствами, где задействуются сразу несколько. Поскольку Гонг является исследователем безопасности, он не собирается публично раскрывать подробности относительно природы уязвимости и механизма работы эксплоита. Он передал собранную информацию в компанию Google, где будет проведено тестирование эксплоита.
За своё открытие Гонг может получить денежную премию в рамках программы поиска уязвимостей Bug Bounty.
Компания Blackberry, выпустив свой первый Android-смартфон Priv, сделала особенный упор на то, что он является наиболее защищённым устройством в экосистеме Google, поэтому потребителям, которым важны приватность и безопасность, стоит обратить внимание именно на Priv. Подобная рекламная кампания вызвала недоумение у сообщества Android- и Linux-разработчиков, один из которых, Дэниэл Майкэй, раскритиковал канадскую компанию.
Господин Майкэй является старшим техническим директором компании Copperhead (также канадской, как и Blackberry), занимающейся разработкой CopperheadOS — Android-совместимого дистрибутива на базе CyanogenMod с многочисленными улучшениями безопасности на уровне ядра и пользовательского окружения. В интервью изданию Tom’s Hardware он заявил, что большинство изменений от Blackberry, внесённые в Android, не позволяют помешать злоумышленникам эксплуатировать многочисленные уязвимости системы. По его мнению, несмотря на то, что система Android 6.0 Marshmallow далека от стандартов безопасности, которые приняты в некоторых GNU/Linux-дистрибутивах, даже она надёжнее, чем модифицированный дистрибутив Android Lollipop, установленный на Blackberry Priv. Господин Майкэй заявил, что пользователям, беспокоящимся о своей безопасности, стоит смотреть в сторону смартфонов Nexus, а не Priv.
Раскрывая свою позицию, разработчик пояснил, что Blackberry зачем-то внедрила функцию PAX_PAGEEXEC, которая бессмысленна для большинства Android-смартфонов, так как она некорректно поддерживается ARM-архитектурой процессоров. Кроме того, по его словам, в опубликованных исходных кодах ядра Linux для Blackberry Priv была обнаружена реализация мандатного управления доступом, хотя в этом нет никакой необходимости, так как согласно архитектуре Android эти меры безопасности обеспечиваются на уровне пользовательского окружения политиками SELinux, и таким образом в Blackberry просто увеличили размер ядра, проделав лишнюю работу. Кроме того, в Blackberry не озаботились значительными улучшениями в среде исполнения Android, поэтому у системы нет никакой возможности противостоять попыткам использовать удалённое выполнение кода (RCE-эксплойты), которое возможно во многих уязвимостях Android, опубликованных Google. Сама Blackberry обещала ежемесячно исправлять уязвимости по образу Microsoft в Windows, минуя даже стадию верификации операторами, но отказалась называть какие-либо сроки обновления до Android 6.0.
По мнению господина Майкэя, стремление Blackberry к выпуску безопасных устройств похвально, но текущая реализация создаст у потребителей, в том числе корпоративных и государственных, лишь ложное чувство защищённости. По его словам, Google за год с выпуска Lollipop не сидела сложа руки, и Marshmallow значительно крепче к атакам, чем дистрибутив, установленный на смартфон Priv. Впрочем, как утверждает специалист, Android 6.0 далеко не та система, которая создаст значительные проблемы квалифицированным злоумышленникам. Господин Майкэй утверждает, что корпорации необходимо значительно улучшить ASLR, который в нынешней конфигурации присутствует лишь номинально, и уже опубликованные эксплойты для Stagefright обходят её без особых проблем, поэтому будущие уязвимости всегда будут создавать угрозу выполнения хакером произвольного кода с повышением привилегий. Кроме того, разработчик CopperheadOS рекомендует Google как можно скорее обеспечить переход Android на более современные версии ядра Linux, так как версия текущая под номером 3.10 слишком устарела, и к ней невозможно применить патчи GrSecurity, которые способны помочь Android противостоять эксплуатации уязвимостей нулевого дня, особенно в условиях проблемы обновлений, где многие смартфоны не получат никогда никаких обновлений по разным причинам. Тем не менее, господин Майкэй считает, что реализация мандатного управления доступом в Android значительно надёжнее, чем аналогичная технология в Apple iOS*.
Что касается CopperheadOS, то она находится в стадии альфа-тестирования, и её образы доступны для смартфонов LG Nexus 5, Samsung Galaxy S4 и планшета HTC Nexus 9. Исходный код системы доступен на GitHub, а ознакомиться с патчами Дэниэла Майкэя для Android можно в официальном репозитории Android Open Source Project.
* — реализацией SELinux в Android занимаются Google, Intel, Агентство Национальной Безопасности США (US NSA) и Департамент Обороны США (US DoD) под руковдством Стивена Смолли из NSA.
Желающие опробовать возможности мобильной операционной системы Firefox OS отныне не должны искать редкие смартфоны на ней. Разработчики представили Android-приложение Firefox OS 2.5 Developer Preview, так что достаточно скачать и установить файл формата APK размером около 90 Мб, для чего следует разрешить аппарату устанавливать приложения из-за пределов магазина Google Play Store. Приложение заменяет собой стандартный загрузчик приложений Android. Поддержка процессоров Intel пока отсутствует.
В системе появились аддоны, частный доступ (private browsing) с защитой от слежения со стороны сайтов, возможность прикреплять к домашнему экрану любой сайт или веб-страницу. Однако речь идёт о предварительной версии операционной системы поверх другой системы, так что багов здесь хватает. Другими способами знакомства с Firefox OS является эмулятор для ПК или установка на Android-аппарат на постоянной основе.
Тем временем, после долгого отсутствия на платформе Apple iOS был представлен браузер Firefox. В 2010 году было выпущено приложение Firefox Home for iOS, не являвшееся браузером, а выполнявшее синхронизацию; в 2012 году оно было убрано из магазина Apple. Новый браузер был анонсированный год назад. Тут также есть частный доступ, предиктивный поиск в стиле Chrome, поддержка аккаунтов Firefox с синхронизацией закладок, истории, паролей и открытых вкладок. Естественно, используется движок WebKit вместо собственного движка Firefox Gecko - такое требование выдвигает Apple к разработчикам браузеров для iOS.