3 марта исследователи сообщили о наличии уязвимости под названием FREAK в криптографическом пакете OpenSSL, предназначенном для работы с протоколами SSL/TLS (Secure Sockets Layer/Transport Security Layer). Эта уязвимость целенаправленно создавалась в 90-х годах американскими производителями программного обеспечения, поставляющими свои продукты за границу. Благодаря ей можно вынудить приложения использовать 512-битные ключи шифрования вместо применяемых сейчас 2048-битных. В результате такие ключи можно взломать, запустив специальное ПО на публичных облачных сервисах.

Apple и Google уже выпустили закрывающие уязвимость обновления своих мобильных операционных систем, однако обновления требуются также отдельным приложениям. Компания FireEye проанализировала магазин приложений Google и установила, что из рассмотренных приложений уязвимы 1228. Из них 664 используют стандартную библиотеку OpenSSL, остальные - собственные версии. Что касается iOS, здесь из 14079 рассмотренных приложений уязвимость найдена в 771, и только в семи на операционной системе iOS 8.2.

По мнению исследователей, использование уязвимости FREAK несёт угрозу безопасности и приватности пользователей мобильных приложений. Уязвимость существует в приложениях множества категорий, включая финансы, коммуникации, покупки, бизнес, медицину. К сожалению, для OpenSSL только за последний год это не первая найденная масштабная уязвимость: до неё были Heartbleed и POODLE.

На прошлой неделе компания Google официально представила обновление мобильной операционной системы Android 5.1. Оно было призвано закрыть ряд неисправностей версии 5.0, однако и само, как оказалось, обладает рядом изъянов.

Как обычно, первыми обновление начали получать обладатели устройств серии Nexus. После этого стали появляться сообщения о проблемах. На смартфонах Nexus 5 периодически происходит непреднамеренная перезагрузка (эта проблема здесь уже не нова), есть проблемы со связью, экраном и микрофоном.

Планшет Nexus 7 2012 года также не избежал неполадок. Пользователи жаловались на медленную работу устройства и быстрое истощение аккумулятора. Что касается нового смартфона Nexus 6, его производительность выросла, однако есть проблемы с перезагрузкой и подключением по Bluetooth. На смартфонах Nexus 4 также зафиксированы проблемы - ошибки при попытке установки обновления. В результате невозможность возврата к прежней версии системы делает смартфон неработоспособным. Во всех случаях речь идёт лишь о небольшой части пользователей.

Есть и более позитивные отклики. Ряд пользователей говорит о росте продолжительности автономной работы аппаратов Nexus 5 и уменьшении времени отклика при работе с приложениями на Nexus 6.

Сегодня корпорация Google заявила о том, что в платформе Play Store, являющейся основным поставщиком контента в экосистеме Android, вводятся ряд нововведений, которые, по мнению компании, должны пойти на пользу и потребителям, и издателям. Начиная с сегодняшнего дня, в каталоге вводится возрастное разграничение доступности контента согласно различным стандартам, а также создаётся отдел Google за контролем качества приложений, который будет проверять все программы и их обновления перед публикацией.

Первое новшество приводит каталог Play Store в соответствие различным международным и национальным нормативам по возрастному контролю за фильтрацией контента. Раньше в магазине Google были собственные градации, позволявшие, например, родителям ограничить выдачу различных приложений своим детям. Теперь Google начинается использовать такие стандарты как ESRB (Entertainment Software Rating Board), PEGI (Pan-European Game Information) и другие. Оценка данных на основе этих стандартов начинается с сегодняшнего дня, издателям будет предоставлен специальный опрос, на основе которого и будет формироваться оценка. В случае, если издатель не пройдёт это анкетирование, то его контент может быть скрыт в некоторых регионах, либо от некоторых категорий пользователей. Начиная с мая, этот опрос станет обязателен для всех новых приложений и игр, поэтому возможность его проигнорировать будет только для уже опубликованных данных. Контроль за точностью ответов будет проверяться при модерации, о которой ниже.

Увеличить рисунок

Другим значительным нововведением стала обязательная предварительная модерация приложений и игр на соответствие правилам публикации в Play Store. По словам представителей Google, модерация уже действует некоторое время, но она была непрозрачной, и издатель мог быть вообще не в курсе того, что его продукт находится в процессе модерации, или не получить никакой информации о том, почему его приложение было отвергнуто или заблокировано. Теперь этот процесс получил расширенную документацию, и издатель может работать с модератором для разрешения найденных проблем. Если обратиться к правилам публикации, то можно понять, что модераторы не проверяют визуальное качество приложения или его функциональность, а проверяют контент на попытки ввести потребителя в заблуждение, на способы проведения покупок внутри приложения, на расположение и качество рекламы и некоторые другие аспекты, которые могут быть использованы для мошенничества с помощью социальной инженерии. Таким образом, Google намерена решить фундаментальную проблему автоматизированного анализа Bouncer, который был способен опознать только откровенно вредоносный код, тогда как вредоносное ПО для Android полагалось в первую очередь на неопытность пользователя, а не на системные дефекты безопасности. Предварительная модерация обязательна для всех новых приложений и игр, а также для обновлений текущих данных, начиная с сегодняшнего дня. Для основных конкурирующих систем, Apple iOS и Microsoft Windows Phone, предварительная модерация уже действует несколько лет.

Google также заявила о том, что в 2014 году было выплачено более $7 млрд. USD разработчикам приложений и игр для Google Android.

Компания Microsoft сообщает, что ей и ряду её партнёров удалось совместными усилиями справиться с распространением adware-приложения Superfish, которые предустановлено на множестве моделей ПК производства компании Lenovo. Чтобы добиться этого, вскоре после появления сведений о Superfish Microsoft добавила инструменты его автоматического обнаружения в свои продукты защиты в режиме реального времени - Windows Defender и Microsoft Security Essentials.

Теперь компания представила данные по уровню обнаружения приложения Superfish. Она не опубликовала, сколько именно компьютеров сумела избавить от него, однако представила график, где отображается, на скольких ПК ежедневно программа обнаруживалась. Пик пришёлся на 21 февраля, через два дня после появления новости о Superfish, когда от программы были избавлены 600 тысяч компьютеров. 4 марта это значение исчислялось лишь сотнями.

Инструменты Microsoft не были единственными, свои варианты выпустили сама Lenovo и McAfee, а при наличии навыков избавиться от программы можно вручную. В свете недовольства пользователей и потенциальной угрозы безопасности систем Lenovo пообещала к моменту релиза Windows 10 избавить свои компьютеры от подобных приложений.

В понедельник организация Heterogeneous System Architecture Foundation представила спецификацию HSA 1.0. Это фреймворк, посредством которого разработчики получают возможность, один раз написав приложение, запускать его на мобильных устройствах, игровых консолях, серверах, бытовых устройствах и компьютерах на разных процессорах.

HSA 1.0 предлагает описание путей совместного использования приложениями всех доступных в компьютерной системе вычислительных мощностей. Данная спецификация стала первой для организации, основанной в 2012 году.

Ещё одной задачей HSA 1.0 является повышение энергоэффективности работы приложений. Правильное распределение нагрузки между центральным процессором, графическим процессором и специализированными чипами позволяет продлить продолжительность автономной работы устройств.

Преимущества получают только приложения, написанные с использованием требований HSA 1.0, и запускаемые на оборудовании с аппаратной поддержкой спецификации. Также требуется поддержка со стороны операционных систем и драйверов. В результате можно будет создавать приложения, работающие одновременно на архитектурах х86 и ARM. HSA 1.0 автоматически распределяет потоки команд по соответствующим вычислительным ядрам; например, обработкой графики и воспроизведением видео занимаются GPU, цифровые сигнальные процессоры ответственны за распознавание голоса, воспроизведение аудио и т.д.

Новый стандарт поддерживают ряд крупных компаний, таких как AMD, Qualcomm, ARM, Imagination Technologies, MediaTek, Oracle, Sony, LG Electronics, Marvell, Toshiba, Broadcom, Texas Instruments и Samsung. Однако в этом перечне отсутствуют такие важные игроки компьютерного рынка, как Intel и Nvidia, что может замедлить распространение стандарта. У Nvidia для графических чипов Tesla в суперкомпьютерных чипах и мобильных Tegra есть стандарт CUDA, у Intel также есть собственный инструмент параллельного программирования.

HSA 1.0 поддерживает Java, C++, OpenMP, Python и ряд других языков программирования. Qualcomm обещает совместимость с HSA 1.0 в своих CPU-ядрах, графике Adreno и цифровых сигнальных процессорах, также поддержка будет в чипах от Imagination Technologies, MediaTek и самой ARM.