Cybersecus дайджест #74

Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!

Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com

Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
Continue reading

Cybersecus дайджест #64

Компания GearBest, китайский онлайн-ритейлер, как оказалось, хранит данные своих клиентов совсем не так, как обещает. Исследователи компании vpnMentor опубликовали материал расследования, в котором обнаружилось, что:
– политика компании о конфиденциальности пользовательских данных не соответствует действительности
– в базе хранятся личные данные покупателей, включая имейл и пароли, которые никак не шифруются. Кроме этого, магазин хранит информацию, которая необязательна для хранения, как, например, IP-адрес
– в базе также хранятся платежные данные, в том числе и о виртуальных картах платежной системы из Бразилии, а также банковские данные пользователей.
Как это часто бывает, сервер Elasticsearch без пароля.
https://www.vpnmentor.com/blog/gearbest-hack/
https://techcrunch.com/2019/03/14/gearbest-orders-exposed/
https://vc.ru/trade/61307-hakery-nashli-uyazvimost-na-serverah-gearbest-vse-dannye-klientov-onlayn-magazina-hranyatsya-v-otkrytom-vide
PS Спасибо всем читателям, которые прислали мне ссылки на эту историю

2/3 антивирусных приложений для Android — обман
https://www.zdnet.com/article/two-thirds-of-all-android-antivirus-apps-are-frauds/

Adware (рекламное ПО) в сотнях приложений для Android, с общей суммой установок более 150 млн. Там все хорошо: вредоносное ПО, маскирующееся под рекламную сеть, закачивало через бэкдор дополнительный модуль, который прятал свою иконку и работал в фоне, загружаясь на старте приложения. А дальше показ рекламы в фоне с целью генерации фейковых просмотров.
https://www.documentcloud.org/documents/5766854-SimBad-AppList-Package.html

Я писал ранее на этой неделе о том, как недавно обнаружилась неприятная лажа с плохо настроенным сервером Box для общего доступа к файлам, из-за чего некоторые компании случайно сделали доступными свои файлы, в том числе и конфиденциальные. Так вот, Box выкатил тут полезные изменения, которые должны будут в будущем предотвратить подобные лажи:
https://blog.box.com/blog/improvements-sharing-securely-box

Google Play

1. Недавно я писал о том, что была раскрыта целая сеть по рекламному обману — когда с помощью накруток и зараженных бот-сетей формировались огромные показы рекламы, в результате чего организаторы получали миллионы долларов рекламных платежей. Вот еще на эту же тему — Google выперла из App Store несколько приложений от китайских разработчиков Cheetah Mobile и Kika Tech, которые были участниками этой схемы с помощью скрытых механизмов click injection и/или click flooding (даже не знаю, стоит ли это переводить на русский). Одно из приложений — Kika Keyboard — было самой популярной клавиатурой в Google Play и установлено более 200 млн раз!

https://www.buzzfeednews.com/article/craigsilverman/google-removes-cheetah-kika-apps
Continue reading

Тупиковый Android

Мне тут вчера попалась на глаза интересная заметка, и поскольку она совпадает с некоторыми моими мыслями, которые крутятся у меня в голове уже какое-то время, я решил её перевести, тем более, что она не очень длинная. Правда, эта заметка не даёт ответов на вопросы, которые у меня есть, поэтому, возможно, удастся их пообсуждать в комментариях к заметке.
————
Android – это тупик.
Я бы очень хотел написать более детальную и развёрнутую статью с пояснением, почему я думаю, что Android – это тупик, но я пока не могу толком аргументировать свои мысли почему я так думаю уже несколько месяцев. Это не означает, что Google завтра покинет рынок мобильных операционных систем, и не означает, что название «Android» куда-то исчезнет. Это означает, что то, что мы сегодня воспринимаем как «Android» – ядро Linux, Android Runtime, и все, что там поверх этого – отслужило свою службу с задачей «нам нужен продукт для конкуренции», и уйдёт в прошлое.
Continue reading

Миллиарды устройств

На этой неделе во время открытия конференции Google I/O со сцены прозвучал интересный показатель: в мире теперь насчитывается 2 миллиарда активных устройств с операционной системой Android. Серьезно, ничего не скажешь — действительно массовая платформа.

Хотя насчет “ничего не скажешь” это я поспешил; сложно не прокомментировать тот факт, что из этих 2 миллиардов устройств почти 5 часть — это KitKat, операционная система, которой уже 4 года, что в современном технологическом мире — практически ископаемое. Еще 30% — Lollipop (3 года), еще 30% — Marshmallow (2 года). Это, конечно, все равно Android, но почему бы не пнуть в рамках пятницы за это отставание, со всеми “вытекающими” в виде отсутствующих апдейтов, проблем с безопасностью, вредоносным ПО, которое пользуется известными уязвимостями, и тд?
Continue reading

Android и медленное выкатывание апдейтов

Давненько не было хорошего розжига по поводу Android, хотя, конечно, бить в больное место не очень честно. Так что про апдейты!
———–
Вчера Google выпустила Android 7 под кодовым названием Nougat. Для владельцев последних моделей Nexus это означает, что они могут скачать и установить новую версию немедленно, в то время как большинство владельцев устройств с Android должны терпеливо ожидать, когда же обновление станет доступным для их устройств. Так что самое время пересмотреть некоторую статистику по поводу перехода пользователей Android на новые версии, чтобы лучше воспринимать контекст, потому что реальность такова, что пройдет почти два года, прежде чем 50% пользовательской базы получат доступ к возможностям Nougat, в то время как Nougat, скорей всего, не достигнет уровня проникновения выше 40% пользовательской базы.
В этот раз я хочу сфокусироваться немного больше на последствиях для пользователей.
Обзор внедрения версий Android
Если вы читаете это, вы, скорей всего, знакомы с тем, как работает выкатывание версий Android, но вот вкратце описание процесса:

  • Google готовит и выпускает новую версию
  • Производители устройств, у которых есть доступ к бета-версиям, дорабатывают эту финальную версию для различных своих устройств, встраивая свои собственные оболочки, изменения, и тд.
  • В большинстве случаев, это обновленное ПО отправляется мобильным операторам, которые также тестируют и утверждают обновление
  • После того, как версия под конкретное устройство согласована с мобильным оператором, она становится доступной пользователям этого оператора.

Continue reading

Немножко про Nexus 6P

Я тут обзавелся Nexus 6P — в основном потому, что мне нужно смотреть кое-какие программы, ну и раз там Android, то хочется получать обновления сразу, а не как с другими производителями, когда апдейты приходят сначала в лучшем случае через полгода, а потом никогда. Для разнообразия я решил взять устройство, которым можно что-нибудь компенсировать при необходимости, а если что — то и грядку вскопать.
Если вы вдруг рассчитывали, что тут я буду рвать на части Android, то я буду вынужден вас расстроить. Во-первых, здесь я хочу просто отметить несколько вещей именно про устройство и его аппаратную часть, а во-вторых, как это ни прискорбно будет слышать фанатам Apple/iPhone, Android в чистом виде нынче весьма неплох. Есть какие-то моменты, где все-таки видно, что эту систему делали гики для гиков, есть моменты, где неудобно или недодумано, но это есть и в iOS. Так что для большинства пользователей Android сегодня — это то, что определяется выражением “good enough” — достаточно хорош для того, чтобы большинство людей могли этим вполне комфортно пользоваться. Теперь можете поплакать над своим айфоном.
Continue reading

Google I/O 2016: провал в инновациях Android развязывает Apple руки на WWDC

На прошлой неделе известный разработчик приложений для iOS Марко Армент опубликовал статью, в которой допустил, что если (и этих “если” в статье очень много) Apple прохлопает направление искусственного интеллекта, в котором так хорошо, казалось бы, выступает Google, то компанию может ждать судьба Blackberry.
Как я и предсказывал, эту статью бросились направо-налево цитировать любители дешевых кликов, а за ними потянулись всевозможные “последователи”, решившие сравнить Apple вместо Blackberry с, например, Microsoft. Не обошлось, конечно, и без “рерайтеров” и прочего интернет-мусора – любителей писать статьи “по материалам blah-blah”, стеснительно не ставя ссылку на оригинал. Я за более чем 20 лет в сфере Apple подобных статей и сравнений начитался достаточно, чтобы не придавать им слишком большого значения, но меня все еще немного расстраивает тот факт, что публика в интернете так до сих пор и не научилась отфильтровывать шелуху от информации.
alexmak_2016-May-20
Так или иначе, почти что ответом на статью Марко Армента стала статья другого известного автора в Apple-сфере — Дэниеля Эрана Дилджера, который многобуквенными опусами заполняет сайт Appleinsider.com (тот, который настоящий, в отличие от). Дэниель, однако, пошел даже дальше и сравнил Google с Apple, хотя и не с той, что вы думаете. Он, конечно большой любитель передергивать факты и манипулировать ими, поэтому статью нужно читать с соответствующим подходом, но вообще получилось довольно интересно и занимательно. Рекомендую налить себе кофе или чай, а фанатам Google или Android можно еще налить чего-то успокоительного. Не забудьте потом отправить эту статью любителям рассказывать “ваш эпол уже не торт”. (это не самый мой лучший перевод, но, наверно, самый длинный. надо сказать, что длинные, сложноподчиненные предложения — это фирменный стиль автора оригинала, так что я заранее прошу прощения за сложные конструкции в переводе)
Continue reading

Писать или не писать, вот в чем вопрос (мобильное приложение)

Если вы вдруг прочитали не с ударением на “писАть”, то рискну предположить, что вы ошиблись ресурсом. Для всех же остальных, в рамках потенциального пятничного “розжыга”, небольшая заметка, которую я недавно по просьбе нашего PR написал для одного журнала. Изначально вопрос звучал так:

Business Fun (русский) нужен комментарий на тему, с какой версии лучше начинать мобильное приложение, с iOS или с Android. Там нужно расписать плюсы-минусы, сложности и подводные камни для каждой платформы.

И тут почему-то я решил подумать “outside of the box”, поэтому в итоге комментарий получился слишком развернутый, и не только в том плане, что слишком большой, но и в том плане, что немного развернулся не в ту сторону. В общем, вы почитайте и скажите, что вы думаете по этому поводу.
——————
Я хотел начать с какой-нибудь наверняка уже набившей оскомину шутки про Android, но это было бы слишком предсказуемо. В этот раз все серьезно.
Continue reading

Смартфонно-платформенные сражения будущего

Учитывая резкий скачок Apple с продажами iPhone в последнем квартале (тут и тот факт, что Apple продала больше iPhone, чем было продано смартфонов с Android в США, и тот факт, что Apple, по данным некоторых компаний, продала больше смартфонов, чем Samsung, и тот факт, что Apple очень существенно нарастила продажи iPhone в Китае), я думаю, что в течение ближайшего 1 года (возможно, 1-2 лет), можно предположить, что ситуация с распределением мобильных платформ далека от своего фиксированного окончания.
Например, аудитория, которая потенциально заинтересована в смартфонах, еще явно не “доокучена” — в мире проживает более 7 миллиардов человек, смартфонов за последние несколько лет было продано кумулятивно даже меньше 2 млрд. Значит, из оставшихся 5 млрд мы получаем потенциально еще хотя бы парочку миллиардов людей, которые вполне могут в течение ближайших нескольких лет купить смартфон. Конечно, вряд ли это будет iPhone — яблочный гаджет рассчитан на аудиторию с высоким доходом, а таких в мире, к сожалению, меньшинство. Для многих людей в странах третьего мира компьютер был непозволительной роскошью, а вот смартфон стоимостью 50-100 долларов, учитывая разнообразные инициативы типа Android One или даже просто подход компаний, для которых более важно количество проданных устройств, чем маржа, вполне может стать доступным для многих и многих людей.
Continue reading