Новая уязвимость системы безопасности была обнаружена на платформе iOS. Она позволяет получить доступ даже при установленном на экране блокировки пин-коде (или отпечатке пальцев в сканере Touch ID), давая доступ к фотографиям и текстовой переписке.
Метод использует ассистент Siri для проникновения на устройство при помощи нескольких простых шагов. Эта уязвимость есть в версиях от iOS 8 и новее, включая 10.2 beta 3, в следующей бета-версии она может быть закрыта.
Сначала нужно узнать номер телефона жертвы и нужно иметь физический доступ к аппарату. Спросить номер можно у Siri. Далее на этот номер следует позвонить, можно использовать звонок по FaceTime. Необходимо открыть окно набора нового сообщения.
Активируется Siri при помощи кнопки Home и даётся команда включения Voice Over, ассистент подтверждает включение и происходит возврат на экран сообщения. Следующий шаг может не получиться с первого раза: двойное нажатие на панель ввода имени звонящего и удержание с одновременным нажатием на клавиатуру. После удачной попытки нужно дать команду отключить VoiceOver.
Затем нужно ввести первую букву имени контакта в панель сверху, нажать круглую иконку i рядом с именем и создать новый контакт. Выбирается добавление фото и при выборе доступна вся галерея смартфона, хотя iPhone заблокирован.
Просмотр сообщений доступен при выборе контакта, можно видеть все разговоры этого контакта. До выхода патча рекомендуется отключить работу Siri на экране блокировки.
Евгений Касперский обратился к российским и европейским властям с обращением расследовать действия компании Microsoft при работе с операционной системой Windows 10. По его словам, разработчики поощряют (и иногда заставляют) применять вместо сторонних антивирусов встроенный Защитник Windows. Лабораторию Касперского в этой борьбе решили поддержать выпускающие антивирусы компании по всему миру.
Сайт SecurityWeek пишет, что в число этих компаний вошли Panda Labs, F-Secure и Avira. Все они считают, что Microsoft должна изменить свою политику по отношению к сторонним антивирусам в Windows 10.
Технический директор Panda Labs Луис Корронс рассказывает, что ряд европейских компаний недовольны политикой продвижения Защитника Windows. Технический директор компании F-Secure Мика Сталберг высказывается более осторожно, говоря о действиях Microsoft как о не обеспечивающих максимальную защиту пользователей, глава Avira Тревис Уитивин также поддерживает Касперского. «Мы ведём активный диалог с Microsoft, поскольку не все сделанные и готовящиеся изменения выглядят как выгодные пользователям».
Microsoft не проявляет особого беспокойства и говорит об открытости для общения с российскими властями и стремлении соблюдать местные законы. Никаких официальных уведомлений о начале расследования компания пока не получала. Не подтвердила пока сведений о расследовании и Европейская Комиссия, однако с учётом единодушия многих компаний его проведение весьма вероятно.
Судя по имеющейся информации, минимум один продающий в США смартфоны производитель имеет серьёзные проблемы с безопасностью своих устройств. Компания BLU Products выпускает смартфоны на операционной системе Android и продаёт их в США и ряде стран Южной Америки. Около 120 тысяч устройств этой компании затронуты уязвимостью, из-за которой все текстовые сообщения отправляются на серверы в Китае.
Специалисты недавно обнаружили бэкдор в предустановленной программе, которая отслеживает местоположение пользователей, с кем они общаются и что пишут. Каждые 72 часа программа отправляет собранные сведения в Китай. Программа разработана китайской компанией Shangai Adups Technology, продукты которой установлены на более чем 700 млн. смартфонов по всему миру.
Таким образом, проблема далеко не ограничивается 120 тысячами смартфонов BLU Products из США. Исследователи нашли бэкдор Kryptowire, который позволяет программе производства Adups целиком передавать текстовые сообщения, списки контактов, логи звонков, локационные и прочие данные.
По словам представителей Adups, её приложение призвано позволить китайским производителям смартфонов вести мониторинг действий пользователей для улучшения своих продуктов. Кроме того, утверждается, что версия программы из аппаратов BLU не предназначалась для США.
BLU Products уже удалила приложение со своих смартфонов, сообщив, что не знала о наличии бэкдора. Компания Adups выпускает приложения и для более крупных производителей, таких как ZTE и Huawei, которые продаются по всему миру.
Браузер Mozilla Firefox во вторник отмечает своего рода юбилей, поскольку в этот день состоялся релиз финальной версии Firefox 50. Она приносит с собой заметное повышение скорости запуска и ряд функций для пользователей.
Новая версия начала распространяться на операционных системах Windows, Linux и macOS. Первоначально Firefox 50 должен был выйти раньше в ноябре, но релиз был отложен. Эта отсрочка позволила разработчикам закрыть серьёзный баг в комплекте средств разработки расширений. Баг вызывал заминку при запуске браузера, особенно если в нём установлено много расширений.
Теперь эта проблема исправлена и тесты показывают уменьшение времени открытия браузера до 35% без расширений и до 65% с расширениями. В абсолютных значениях это около трёх секунд.
Остальные изменения Firefox 50 включают в себя новые смайлы, даже если их не поддерживает операционная система, улучшенную функциональность поиска на странице, возможность прокручивать список вкладок сочетанием клавиш Ctrl + Tab, новые настройки и ряд других.
Скачать последнюю версию браузера для вашей операционной системы можно на сайте разработчика Mozilla.org.
Очередная страница вписана в историю безопасности смартфонов, не слишком приятная для операционных систем Android и iOS. В первую очередь для Google и Android, так как последний смартфон компании, поступивший в продажу этой осенью (не в России), оказался взломанным менее чем за минуту.
Во время соревнования PwnFest команда из Китая сумела быстро расправиться с защитой Google Pixel. Всё та же группа Qihoo 360, ранее неуважительно обошедшаяся с браузером Edge, задействовала уязвимость нулевого дня для дистанционной установки кода на смартфон. После установки кода магазин Google Play и Chrome для Android стали отображать сообщение «Pwned by 360 Alpha Team».
Google наградила команду Qihoo 360 за взлом смартфона Pixel денежным призом в размере $120000. Владельцам этой модели можно не беспокоиться, поскольку разработчики пообещали закрыть уязвимость в течение 24 часов, так что браузер Chrome уже мог получить нужный патч.
Китайская команда в сумме получила не менее $520000, ранее показав уязвимости в Edge на Windows 10 и в Adobe Flash.
Платформа iOS пострадала от другой китайской команды, хакеры Pangu Team и JH смогли взломать браузер Apple Safari за 20 секунд, за что получили $80000. Использовалась уязвимость нулевого дня с повышением привилегий, в ближайшем обновлении она должна быть закрыта.