Исследователи нашли в магазине Google Play десятки приложений, которые или не используют зашифрованное соединение HTTPS, или используют его неправильно, что открывает доступ к аутентификационным данным пользователей. В сумме эти приложения были скачаны более 200 млн. раз и уязвимости не были убраны даже после уведомления их создателей. Открытие было сделано при помощи бесплатного приложения AppBugs, целью которого как раз является поиск установленных на устройстве уязвимых приложений.

В сервисе свиданий Match.com, например, приложение использует незашифрованный протокол HTTP при отправке паролей, так что в той же сети Wi-Fi или через взломанный маршрутизатор их можно перехватить и прочитать. Приложения NBA Game Time, Safeway и PizzaHut используют HTTPS некорректно, что позволяет при атаке «человек посередине» использовать поддельный цифровой сертификат для чтения пользовательских данных.

Приложение NBA требует аккаунта NBA League Pass стоимостью $199. Об уязвимости в ней разработчики были поставлены в известность в феврале, но ответа не последовало, как и от авторов ещё примерно 50 приложений. Всего было обнаружено около 100 уязвимых приложений и только 28 были исправлены.

Google могла бы самостоятельно обнаруживать уязвимые приложения в своём магазине, однако не похоже, что компания занимается этим. Нынешнее открытие сделано пару месяцев спустя после того, как студенты из Сан-Франциско нашли приложения с похожей ошибкой HTTPS, которые были скачаны 350 млн. раз. На iOS ошибка в популярной библиотеке также вызвала сбой HTTPS в полутора тысячах приложений на iPhone и iPad.

Запись и отправка видео игр с компьютеров и приставок давно освоены и распространены среди геймеров, однако относительно мобильных игр этого сказать нельзя. Хотя запись и возможна, зачастую сначала требуется провести рут системы, приложения бывают не самого высокого качества или приводят к «тормозам» в играх.

Решение для своих устройств предлагает Samsung в виде приложения Game Recorder+. Оно позволяет записывать видео в формате Full HD с комментариями через фронтальную камеру. В моделях Galaxy S6 и S6 Edge поддерживается запись звука в играх.

В приложении есть функция Game Boost, которая оптимизирует использование памяти для оптимальной работы игр и записи. Записывать можно даже сенсорные касания к экрану, чтобы зрители знали, как именно была пройдена игра.

После завершения записи ролик можно отредактировать и отправить на YouTube или же сохранить на устройстве и потом вручную выложить на любой похожий сайт. К сожалению, приложение работает только с аппаратами Samsung Galaxy S4 и новее и Galaxy Note 2 и новее, с операционными системами от Android 4.1. Скачать его можно в магазинах Google Play и Samsung Galaxy App.

Группа исследователей обнаружила в операционных системах Apple iOS и OS X уязвимости нулевого дня, относящиеся к большей части работающих на них приложений. Представители университета Индианы, университета Пекинга и технологического института Джорджии опубликовали свои открытия в статье под заголовком Unauthorized Cross-App Resource Access on Mac OS X and iOS («Неавторизованный кросс-программный доступ к ресурсам на платформах OS X и iOS»).

В описании рассказывается, как можно загрузить вредоносные приложения в магазины App Store и Mac App Store, обойдя системы модерации. Далее это ПО может получать доступ к данным менеджера управления паролями Apple Keychain, других установленных приложений и браузера Google Chrome.

Apple была поставлена в известность о проблеме в октябре 2014 года; в тот момент компания заявила, что на закрытие уязвимостей потребуется полгода. Спустя восемь месяцев уязвимости по-прежнему присутствуют в последних версиях OS X и iOS.

Тем временем, команда разработчиков Google Chromium убрала интеграцию своего браузера с Keychain, считая, что проблема не может быть решена на программному уровне. По данным исследователей, перед атаками уязвимы 88% протестированных ими приложений. На данный момент лучшим советом пользователям является скачивание приложений только из надёжных источников.

Ранее в этом месяце была открыта уязвимость Mac BIOS/EFI, позволяющая взять контроль над компьютерами Mac даже после форматирования жёсткого диска; в приложении Почта на iOS была найдена уязвимость, облегчающая фишинговые атаки, а другая уязвимость iOS позволяет красть пароли в iCloud.

Программа Vulnerability Reward от Google призвана мотивировать пользователей на поиск уязвимостей в системе безопасности веб-сервисов, приложений, расширений, браузере Chrome и одноимённой операционной системе. В среду Google объявила, что расширяет действие программы и на мобильную операционную систему Android.

Вполне закономерно, что программа не относится ко всем многочисленным Android-устройствам, а только к тем, которые полностью контролирует сама Google. Это означает смартфоны и планшеты Nexus, причём уже снятые с производства в программу тоже не входят (так что на Nexus 5 уязвимости можно не искать). Сейчас актуальны две модели: Nexus 6 и Nexus 9, они станут первыми мобильными устройствами с программой поиска уязвимостей.

Награда будет даваться не только за открытие уязвимостей, но и за выпуск закрывающих их обновлений и создание находящих уязвимости и несовместимости тестов для пакета Compatibility Test Suite. Нахождение уязвимости стоит до $2000, в зависимости от её уровня. Максимум можно заработать $30000 за удалённый взлом технологий TrustZone или Verified Boot.

За прошлый год Google выплатила исследователям в рамках этой программы более $1,5 млн., а также является спонсором ежегодного соревнования pwn2own.

Компания Google собирается вступить в конкурентное сражение с сервисом вещания игрового контента Twitch: анонсировано приложение и сайт YouTube Gaming, где будет доступно вещание видео игрового процесса как в прямом эфире, так и просмотр по запросу уже записанных роликов. Релиз ожидается летом в США и Великобритании.

Google описывает YouTube Gaming как сервис, отличный от основного сайта YouTube. Это означает, что при вводе слов в поисковую строку будут выдаваться варианты ответов, связанные исключительно с играми, а не музыкой или чем либо ещё. Около 25 тысяч игр получат посвящённые им страницы, плюс будут каналы игровых издателей и обычные каналы от энтузиастов.

YouTube является главным видеохостингом мира, однако в деле трансляции игр намного популярнее Twitch, где в прошлом году число просмотров в месяц достигало 100 млрд. Google намеревалась купить сервис, однако компания Amazon оказалась проворнее, заплатив $970 млн.

Google ранее в этом году представила возможность воспроизведения видео с частотой 60 кадров/с, что для записи и просмотра игр весьма актуально, а трансляция игр в прямом эфире появилась несколько недель назад в виде предварительной версии. В новом сервисе можно будет зарабатывать на трансляции своих игр за счёт рекламы и пожертвований со стороны зрителей.