Борьба с фальшивыми обзорами и поддельными оценками является важным занятием для каждого сетевого магазина. Несмотря на все усилия, не избавлена от этой проблемы и компания Google на платформе Android.

Боты наводнили самые популярные приложения Google Play положительными отзывами, сообщает издание The Next Web. Проблема появилась в середине марта, когда приложение WhatsApp стало получать множество подозрительных хвалебных отзывов с рекомендациями игр в нём. Все отзывы были написаны не слишком грамотно и ссылались на игры и на устройство Amazon Kindle Fire. Подобный спам наблюдается и в других популярных приложениях.

Next Web ссылается на фирму App Annie, которая зафиксировала рост обзоров в Facebook Messenger, Google Chrome, Gmail и Firefox со словами «игры» и «Kindle». Все эти обзоры идут с оценкой в пять звёзд и большинство появились в последний месяц. В последнее время боты научились лучше скрывать свои действия, иногда ставя четыре звезды.

Возможно, целью этих действий является повышение доверия к ботам, которые затем будут заниматься распространением платных отзывов для не столь популярных приложений. App Annie говорит о равной периодичности подозрительных обзоров за авторством «A Google User» или без автора вовсе.

Google пока хранит молчание по этому вопросу. В октябре она начала наказывать приложения и их разработчиков за использование платных обзоров, ограничивая видимость приложений и угрожая за многочисленные нарушения убрать их полностью.

Компания Mozilla в браузере Firefox 57 работает над новым пользовательском интерфейсом под названием Photon. Среди прочего будут представлены прямоугольные вкладки вместо скруглённых, изменится страница новых вкладок, будет обновлена адресная строка. Последняя получит меню с несколькими командами в нём, такими как:

• Копировать URL
• Ссылка на Email
• Сохранить в Pocket
• Установить напоминание
• Отправить на устройство
• Скриншот
• Расширение X
• Поделиться

Новая вкладка содержит Activity Stream, тестируемую в программе Test Pilot функцию. Там же тестируется команда Скриншот из вышеописанного меню.

Это изменение дизайна станет первым с 2014 года, когда Mozilla представила интерфейс Australis с плавными вкладками. Firefox 57 ожидается в ноябре. В августе Photon и Firefox 57 станут доступны тестерам в канале обновления Aurora. Firefox 57 также принесёт поддержку веб-расширений вместо классических, многие из которых перестанут функционировать.

Операционная система Samsung Tizen с открытым исходным кодом используется в некоторых устройствах интернета вещей и иногда позиционируется как конкурент Android. Израильский специалист по информационной безопасности Амихай Нидерман уверен, что для повышения конкурентоспособности ей нужно значительно усилить безопасность.

Samsung работает над этой системой уже много лет. Начали этот проект компании Intel и Nokia, а Samsung включила сюда код своей операционной системы под названием Bada в 2013 году. Как и Android, система создана на основе ядра Linux, поверх которого работает открытое программное обеспечение. Разработка Tizen ведётся с применением языка C++ и HTML5.

Нидерман был участником саммита лаборатории Касперского по информационной безопасности и высказался относительно состояния кода Tizen. По его словам, система может обладать худшим когда-либо виденным им кодом, разработчики допустили в нём все возможные ошибки.

Значительная часть кода взята из предыдущих проектов Intel и Samsung, однако большая часть ошибок была найдена в новом коде. Часто встречается проблема переполнения буфера из-за неправильного использования функции strcry(), опасности которые хорошо известны программистам на С и С++. Эти опасности вынуждают многих разработчиков использовать альтернативные функции, но не в случае с Tizen, где она встречается повсюду. Кроме того, сказано о непостоянном использовании шифрования SSL, что подвергает пользовательские данные риску.

Сейчас Tizen чаще всего используют в смарт-устройствах, хотя Samsung не отказалась от идеи создавать на ней смартфоны. Недавно WikiLeaks опубликовала данные о взломах телевизоров южнокорейского производителя со стороны ЦРУ посредством эксплоита на флешке. На прошлой неделе было рассказано о другой атаке на Smart TV Samsung, где использовались вредоносные команды в телесигнале. Нидерман также является обладателем телевизора под управлением Tizen, почему и начал исследовать её.

Если в описанной атаке ЦРУ нужен личный доступ к устройству, то исследователь нашел возможность дистанционных атак посредством примерно 40 уязвимостей нулевого дня. В частности, уязвимым оказался магазин приложений TizenStore. Здесь он нашёл уязвимость в приложении, использование которой компрометирует всё устройство, не только телевизоры, но и смартфоны и смарт-часы.

Попытавшись связаться с представителями Samsung, Нидерман не добрался дальше автоответчика. После публичного описания уязвимостей Samsung заявила, что готова сотрудничать с исследователем в деле закрытия этих уязвимости. Для таких ситуаций у компании есть программа поиска багов SmartTV Bug Bounty.

У владельцев мобильных устройств на платформе Android появился ещё один повод для беспокойства. Специалисты по безопасности из компаний Google и Lookout предупреждают о новом вредоносном приложении, которое виновно в одной из самых сложных и целенаправленных мобильных атак среди всех зафиксированных к настоящему моменту. Приложение носит название Chrysaor и первоначально было разработано как эксплоит Pegasus для уязвимости нулевого дня на платформе iOS. Он использовался для шпионажа за правозащитником из Объединённых Арабских Эмиратов, а теперь появилась версия для Android.

После установки на устройство программа позволяет злоумышленникам отслеживать телефонные звонки и текстовые сообщения, письма по электронной почте, следить за камерой и даже за нажатиями клавиш на экранной клавиатуре. Между версиями  на Android и iOS имеются различия. Приложение на iPhone было разработано для взлома устройств с применением трёх уязвимостей нулевого дня. Ещё в августе прошлого года Apple закрыла эти уязвимости, после чего программа стала бесполезной.

На Android используется другой подход. Если программа не может выполнить рут устройства, она требует разрешений от пользователя, после получения которых может красть данные. Приложение запрограммировано уничтожать себя, если имеется угроза обнаружения, поэтому увидеть его непросто.

Chrysaor не является распространённой программой, но её жертвам от этого вряд ли будет легче. Исследователи не нашли приложений с Chrysaor в магазине Play Store, поэтому рекомендуют не скачивать программ из сторонних магазинов.

На этой неделе состоялся релиз обновления мобильной операционной системы iOS 10.3.1. В списке изменений не сказано, чем данная версия отличается от версии iOS 10.3, появившейся неделей ранее, однако известно об исправлении багов и усилении безопасности на устройствах iPhone и iPad. Страница безопасности Apple рассказывает, что 10.3.1 исправляет проблему с переполнением буфера, которая может быть задействована для выполнения кода на чипе Wi-Fi смартфона или планшета.

Баг был обнаружен усилиями предназначенного как раз для этого проекта Google Zero, который даёт разработчикам 90 дней на выпуск патча, после чего публикует информацию для всех желающих.

Apple выпустила бета-версию iOS 10.3.2 на прошлой неделе вскоре после появления обновления iOS 10.3. Наверняка будет выпущено ещё несколько бета-версий, прежде чем через месяц-другой выйдет финальный вариант. Больших изменений в нём ждать не приходится, уже в июне ожидается публичный анонс iOS 11.

Версия iOS 10.3 не была доступна как обновление по воздуху на моделях iPhone 5 и 5C, а также на iPad 4-го поколения, последних оставшихся 32-разрядных устройствах Apple (можно было выполнить установку через iTunes). Версия iOS 10.3.1 исправляет этот баг.