Формально несуществующая уязвимость в Facebook для iOS и Android
dl // 06.04.12 03:55
Британский разработчик Гарет Райт (Gareth Wright) обнаружил, что приложения, работающие с Facebook как под iOS, так и под Android, без должного трепета относятся к защите пользовательских данных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/04/02.html]
Началось с того, что он нашел в папке одного из приложений файл, в котором открытым текстом лежал выданный токен для доступа к Facebook (хэш, который используется приложениями после успешной авторизации, чтобы не терзать пользователя каждый раз вводом логина/пароля). Имея этот хэш, уже можно вытащить из Facebook некую интересную информацию, доступную приложению, с помощью запросов на FQL (Facebook Query Language).

Дальше все стало еще веселее - в каталоге родного приложения Facebook нашелся файл com.Facebook.plist, в котором лежал не просто токен, а целый OAuth-ключ с временем жизни аж до 1 января 4001 года. Копирования информации из этого файла уже достаточно для полного доступа к Facebook-аккаунту.

В Facebook отчасти признали проблему, уточнив, что от шифрования этих данных все равно не было бы толку, поскольку ключ для дешифровки все равно пришлось бы хранить на этой же системе. Кроме того, для успешной атаки нужно либо приложение, способное получить доступ к чужому каталогу (что возможно лишь в джейлбрейкнутой iOS либо рутованном андроиде), либо подключение устройства по USB.

По поводу первого сценария в Facebook с чистой совестью заявили, что ломающие свои системы сами себе злобные Буратины, ну а по поводу второго - что нельзя ожидать чудес от авторов прикладного софта, если злоумышленник получил физический доступ к вашему телефону или компьютеру.

То, что ситуация вполне стандартная, подтверждает обнаруженный на следующей же день аналогичный файл com.getdropbox.Dropbox.plist, обнаруженный в каталоге понятно какого приложения.

Источник: ZDNet теги: android, ios, facebook, dropbox  |  обсудить  |  все отзывы (2)

Неделя Java
dl // 04.04.12 17:03
Java на этой неделе неплохо напомнила о себе.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/04/01.html]
В понедельник стало известно о тихо устанавливающемся под MacOS трояне, который использует исправленную еще в феврале уязвимость, залатать которую в Apple традиционно не торопились. В результате пользователи "ОС, на которой нет вирусов", сразу получили целый ботнет из полумиллиона участников, а Apple наконец-то выпустила патчи для Mac OS X 10.6.8 Snow Leopard и 10.7.3 Lion.

Практически синхронно Mozilla объявила о блокировке в FireFox Java-плагинов старых версий (вплоть до версий 1.6.0.30 и 1.7.0.2), окончательно перестав надеяться на пользовательские обновления.

Честно говоря, самое разумное, что сейчас можно сделать с Java - заблокировать полностью в постоянно используемом браузере. И если никак без этого не обойтись - выделить под всякие клиент-банки и прочие корпоративные системы, до сих пор остающиеся основным рассадником заповедником java-апплетов на десктопах, какой-нибудь очень отдельный и редко используемый IE x64 (или любой другой столь же нелюбимый браузер). Других причин ее держать я просто не вижу, на вебе этот поезд давно ушел.

Источник: MacWorld, InfoWorld теги: java  |  обсудить  |  все отзывы (1)

В Flash появилось автообновление
dl // 31.03.12 14:28
Adobe выпустила очередную версию Flash Player, которая включает исправления двух критичных уязвимостей и функцию "тихого" автообновления.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/12.html]
Проверка наличия обновлений происходит ежечасно, но установка некоторых из них по-прежнему будет требовать вмешательства пользователей.

Источник: InfoWorld теги: adobe, flash  |  обсудить  |  все отзывы (0)

Возможная утечка информации о десятке миллионов кредиток
dl // 30.03.12 19:09
Американские банке получили предупреждение от Visa и MasterCard о потенциальной утечке, предположительно случившейся в результате взлома одного из американских процессинговых центров.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/11.html]
В предупреждении говорится о полной утечке информации с треков 1 и 2, что дает злоумышленникам возможность создания новых поддельных карт.

Утечка произошла между 21 января и 25 февраля этого года и может затронуть более 10 миллионов пользователей, хотя пока счет выявленных пострадавших идет на десятки тысяч.

Источник: ZDNet теги: leak  |  обсудить  |  все отзывы (0)

Странный подарок Samsung Galaxy S/S2 от МТС (обновлено)
dl // 27.03.12 04:38
Пользователи Galaxy S/S2 стали обнаруживать у себя в Google Play Market среди приложений, доступных для обновления, нечто под названием МТС Мобильная Почта.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2012/03/10.html]

Что интересно, приложение появляется у пользователей, которые отродясь его не ставили и зачастую вообще не слышали про МТС, но удалить его стандартными средствами уже не удается. Причем началось все аж с лета прошлого года, и за это время страница приложения набрала уже четыре тысячи отрицательных отзывов.

С учетом того, что возникает приложение как на официальных, так и на кастомных прошивках лишь двух аппаратов, первое, что приходит в голову в подобной ситуации - приложение от МТС засветило некий бэкдор, закопанный, например, в драйверах, общих для всех прошивок.

Но выяснилось, что все проще - у МТСовского приложения и у самсунговской родной почты совпало уникальное имя приложения (com.seven.Z7), а заодно и уникальный ключ разработчика (поскольку и разработчик оказался одним и тем же - Seven), что и свело S/S2 с ума.

Так что мало пользователям проблем с помоечным маркетом. В нем, оказывается, еще бывает так, что обновляешь одну программу и получаешь обновление от другой - только потому, что кто-то зевнул при их регистрации.

Источник: The Verge теги: android  |  обсудить  |  все отзывы (0)

««    «   121  |  122  |  123  |  124  |  125  |  126  |  127  |  128  |  129  |  130   »    »»

Предложить свою новость