https://bugtraq.ru/review/archive/2020/10-08-20.html

Яндекс неуклюже оправдался за установку Теледиска; Infosec-сообщество не поддержало отказ от термина black hat; Расово верная чистка IT-терминологии; ГПБ vs TV; 400 уязвимостей в процессорах Snapdragon.

#399, 10.08.2020

Яндекс неуклюже оправдался за установку Теледиска
dl // 29.07.20 17:09
На днях пользователи Яндекс.Диска внезапно увидели на своих рабочих столах новую иконку с ещё одним творением Яндекса — перепиленным из опенсорсного Jitsi сервисом видеоконференций Яндекс.Телемост. Такая вот попытка компенсировать безнадёжное опоздание запущенного месяц назад Теледиска к дележу столь вкусного по нынешним временам всеобщей удалёнки пирога видеоконференций.

На резонное недоумение последовал ответ, путающий причину со следствием — Телемост активно использует функции Диска, поэтому ставится с Диском без возможности удаления. Заодно в Яндексе открыли для себя новое правило — нельзя добавлять на рабочий стол новые иконки без ведома пользователя.
Источник: Блог Яндекса

Infosec-сообщество не поддержало отказ от термина black hat
dl // 04.07.20 18:50
Вице-президент Google Дэвид Клейдермахер (David Kleidermacher), отвечающий за безопасность Android и Google Play Store, отозвал своё выступление на августовской конференции Black Hat 2020 и призвал индустрию заменить термины «black hat», «white hat» и «man-in-the-middle» нейтральными альтернативами.

К счастью, большая часть сообщества пока высказалась резко против этой инициативы. Клейдермахеру хором рассказали, что black/white hat не имеют ничего общего с расизмом и скорее восходят к классическим вестернам, после чего посоветовали пересмотреть хотя бы WestWorld. Не говоря уж о том, что соответствие дуализма чёрный/белый злу/добру восходит к самым ранним цивилизациям и возникло задолго до выяснения существования расовых различий.
Источник: ZDNet

Расово верная чистка IT-терминологии
dl // 16.06.20 18:03
GitHub присоединился к волне переименований в IT, направленных на избавление от следов тяжёлых дополиткорректных времён. Master repository теперь переименован в Main repository, на очереди избавление от whitelist и blacklist. Раздаются голоса и о том, что пора бы избавиться от понятий «white hat» и «black hat».

Шахматистами вот давно пора заняться, мало того, что там фигуры чёрные, так ещё и белые всегда начинают. И совсем уж всё понятно со Стругацкими и их «там, где торжествует серость, к власти всегда приходят чёрные».
Источник: Lifehacker

ГПБ vs TV
dl // 06.06.20 21:47
Газпромбанк на днях обновил своё приложение, после чего словил кучу единиц в AppStore и Google Play за попытку принудить к удалению TeamViewer, поскольку «с его помощью мошенники могут получить доступ к банковским картам». Выдав при запуске это сообщение, приложение сразу же гордо завершается. Я бы ещё понял наезд на TV Quick Support, там хоть экран посмотреть можно, но TV Remote Control в принципе не позволяет получить доступ к телефону, это исключительно средство доступа к другим устройствам.

Теперь ребята разродились попыткой объяснения с совершенно фантастическим и высосанным из пальца сценарием взлома, при котором вы спокойно сообщаете злоумышленникам id/пароль для доступа к TV на домашнем компьютере. Как справедливо замечают в комментариях, логичным шагом был бы полный запрет приёма звонков, ведь можно столько всего выболтать злобным хакерам.

Что забавно, в случае описанного сценария снос TV на телефоне никак не спасает от выбалтывания id/пароля к домашнему компьютеру, так что это лишь лихорадочная попытка «одних из лучших специалистов по информационной безопасности на рынке» на ходу придумать оправдание. Я сходу могу сочинить и чуть менее смехотворный вариант: попросить зайти через TV на компьютер «саппорта», где уже заботливо открыта фишинговая страница. Но и этот сценарий из серии ирландского вируса.

Конечно, с паранойей и заботливым обереганием меня от использования моих денег в ГПБ зашкаливает — не далее как в мае мне приходилось проходить квест с разблокировкой карты после перекидывания денег на ВТБшный счёт через ВТБшный сервис, когда внезапно потребовалось снять наличные (просто ВТБшный банкомат физически ближе).

Девушка с мучительной настойчивостью (и для себя, думаю, но отойти от скрипта не могла) требовала назвать три последние операции по карте, которой я практически не пользовался, поэтому не мог набрать нужное количество операций с пин-кодом. Это был зарплатный «Мир», с которого я обычно сразу скидывал деньги на нормальную Visa — в тот момент уже просроченную, но разрешённую к использованию из-за карантина. Но как раз операции перевода на просроченную, пусть и работающую карту уже не засчитывались.

Усугубляло всё то, что даже использовать эту карту для оплаты чего-нибудь из этого гениального приложения (чтоб получить подтверждаемую, пусть и отвергнутую операцию) уже было нельзя, в списке возможных источников средств её уже тупо не было.

Пришлось тащиться к банкомату и в качестве новых подтверждаемых операций запросить там три раза баланс — при том, что именно этого похода тогда и хотелось избежать.

Update: Приятно, но ребята сломались и выпустили обновлённую версию, ничего не имеющую против TV.
Источник: vc.ru

400 уязвимостей в процессорах Snapdragon
dl // 08.08.08 08:08
Исследователи из Check Point Research сообщают о найденных 400+ уязвимостях в коде цифрового сигнального процессора (DSP) производства Qualcomm Technologies, позволяющих как превратить использующий его смартфон в идеальное подслушивающее устройство, так и просто вывести его из строя. С учётом того, что процессоры Qualcomm используются в 40% мобильных устройств, уязвимости потенциально затрагивают 3 миллиарда пользователей.
Источник: Check Point 400