Поиск

Не так давно инвестиционная компания Rosenblatt Securities сообщила, что будущие смартфоны Apple получат поддержку некоего цифрового пера iPen. Подобные предположения звучат время от времени с 2015 года, когда Apple впервые представила стилус Apple Pencil для своих планшетов. Теперь появилось новое сообщение, в котором сделаны те же утверждения. Издание Economic Daily News, сообщает, что поддержка Apple Pencil действительно появится, но только в старших моделях семейства, оснащённых OLED-дисплеями. Младший же 6,1-дюймовый аппарат с ЖК-экраном (пресловутый «удешевлённый» смартфон) не будет поддерживать эту функциональность. В статье говорится, что тайваньский производитель чипов для стилусов Elan, вероятно, выступает основным поставщиком для новых аппаратов Apple. Кстати, компания Elan также поставляет чипы, используемые в цифровых перьях Wacom. Economic Daily News сообщает, что в настоящее время цифровые перья преимущественно используются в ноутбуках, а смартфоны и планшеты составляют лишь порядка 10 % рынка. Но это соотношение в ближайшие годы может измениться, потому что львиная доля Android-компаний, как правило, следуют Apple даже в сомнительных вопросах вроде добавления выреза в верхней части дисплея. Samsung уже давно делала ставку на смартфоны Galaxy Note, поставляемые в комплекте со стилусом. В этом году активное цифровое перо S Pen для смартфона Galaxy Note 9 получило поддержку Bluetooth и кнопку для дистанционного управления презентациями или другими функциями смартфона вроде спуска затвора на камере. Слухи о поддержке Apple Pencil в смартфонах iPhone ходят давно, особенно после слов исполнительного директора Тима Кука (Tim Cook), произнесённых в сентябре 2016 года: «Вы бы видели, что можно создать с помощью этого цифрового пера на iPad или iPhone, — это действительно невероятно...». Также недавно появились сообщения, что максимальный объём встроенной памяти в новом семействе смартфонов Apple составит 512 Гбайт — посмотрим, какая информация подтвердится 12 сентября.

В одном из самых популярных приложений для обмена сообщениями WhatsApp было обнаружено множество уязвимостей, позволяющих злоумышленникам перехватывать и изменять содержимое сообщений, отправляемых как в частных, так и в групповых чатах. Об этом сообщили исследователи безопасности из компании Check Point. Уязвимости заключаются в том, как мобильное приложение подключается к сети WhatsApp и расшифровывает зашифрованные с помощью сквозного шифрования сообщения, используя протокол protobuf2. Данные проблемы могут позволить хакерам злоупотреблять функцией «цитата» в групповых чатах WhatsApp. Таким образом злоумышленники могут изменить идентификатор отправителя или содержимое чужого ответа в групповом чате или даже отправить личные сообщения одному из участников группы, замаскированные под групповые сообщения для всех. Для эксплуатации уязвимостей исследователи создали новое расширение для популярного программного обеспечения Burp Suite, позволяющее легко перехватывать и изменять отправленные и полученные зашифрованные сообщения на web-странице WhatsApp. Инструмент, который исследователи назвали WhatsApp Protocol Decryption Burp Tool, доступен бесплатно на портале Github. Эксперты уведомили команду безопасности WhatsApp, однако, по словам представителей компании, поскольку данные сообщения не нарушают фундаментальную функциональность сквозного шифрования, пользователи «всегда имеют возможность сообщить нам о проблемном содержании и заблокировать отправителя, который пытается изменять сообщения».

Пересланные сообщения в WhatsApp теперь помечаются специальным маркером. Так разработчики хотят решить некоторые проблемы, связанные с распространением дезинформации через мессенджер. Компания написала в официальном блоге, что теперь в WhatsApp есть пометка, которая указывает на то, что сообщение было переслано от другого пользователя. Нововведение распространяется на текстовые и аудиосообщения, а также на изображения и видеоролики. «Эта дополнительная информация поможет вам лучше ориентироваться в индивидуальных и групповых чатах, — заявила компания. — Благодаря этой пометке вы сможете понять, было ли отправленное вам сообщение действительно написано вашим другом или родственником, или они переслали вам сообщение, написанное кем-то другим». До глобального запуска функции WhatsApp тестировала её в Индии, которая является для компании крупнейшим рынком, и Бразилии. В этих двух странах мессенджером пользуется более 300 млн человек, и в обеих через него не раз рассылали опасные слухи. В Индии фальшивые сообщения о похищении и торговле детьми в WhatsApp стали причиной примерно дюжины смертей. В Бразилии, предположительно, распространение дезинформации о вакцине от жёлтой лихорадки привело к росту заболевания. Это обновление — уже не первая попытка WhatsApp пресечь распространение фальшивых новостей. Компания, например, предлагает денежные награды исследователям, изучающим феномен распространения дезинформации через приложение.

Правительство России вынесло постановление, которое утверждает правила хранения всех сообщений пользователей интернет-компаниями. Документ опубликован на официальном портале правовой информации. Согласно новым правилам, организаторы распространения информации в интернете обязаны хранить на территории страны текстовые сообщения, голосовую информацию, изображения, звуки, видео и иные электронные сообщения пользователей в течение шести месяцев. Эти данные они также обязаны предоставлять "в установленном порядке" госорганам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности страны. Речь идет обо всех пользователях, зарегистрировавшихся или авторизовавшихся с использованием сетевых адресов на территории России, и пользователях, которые указали при регистрации российский документ или российский телефонный номер в качестве контактной информации. Также правила распространяются на тех, кто использует программы с геолокацией, определяющей их местоположение на территории России - или если правоохранительные органы проинформируют компанию, что пользователь находится в стране. Постановление, вышедшее 26 июня 2018 года, вступает в силу 1 июля - в этот же день вступают в силу требования "закона Яровой". Они предусматривают, что операторы связи должны будут в течение полугода хранить информацию о звонках и SMS абонентов. С 1 октября требование распространится и на интернет-провайдеров, которым предстоит хранить трафик в течение 30 дней, наращивая емкость хранилищ на 15% ежегодно в течение пяти лет.

Авторы мессенджера Snapchat стараются обеспечить максимальный уровень конфиденциальности пользователей, для чего используются не только продвинутые алгоритмы шифрования данных, но и функции наподобие автоудаления сообщения после его прочтения. При этом возможность стирать отправленные сообщения вручную, а не по таймеру, как это реализовано в том же Telegram или Viber, для Snapchat пока не предусмотрена. Однако её появление, согласно последним данным от разработчиков, кажется лишь делом времени. Механизм удаления сообщений, будь то текстовые послания, видеозаписи, изображения или голосовые заметки, станет доступным в одном из следующих обновлений мессенджера. Релиз апдейта состоится в ближайшие несколько недель. Длительное нажатие на сообщение приведёт к вызову контекстного меню с предложением удалить сообщение из диалогового окна всех участников переписки. Воспользоваться данной функцией получится как в индивидуальных, так и групповых чатах. Собеседник(и) будут уведомлены о вашем действии, так что незаметно стереть сообщение пользователям Snapchat не выйдет. Для корректной работы упомянутой функции необходимо, чтобы все участники беседы использовали самую актуальную версию мессенджера. Процедура удаления, само собой, не потребует согласия от собеседника.

На некоторых Android-смартфонах был найден странный баг, который показывает недавние текстовые сообщения, если ввести определённый веб-адрес. При вводе в приложении Google запроса the1975..com отобразится вовсе не сайт британской рок-группы The 1975, а сводка переписок. Пользователь Reddit под псевдонимом Krizastro обнаружил баг в оболочке Pixel Launcher. Сводку СМС-сообщений можно было просматривать на Android и раньше, используя англоязычную команду «покажи мне мои сообщения» в приложении Google. Функция показывает на компактной карточке содержимое и время отправления сообщений, а также имена отправителей. Но никто не знал, что того же результата можно добиться с помощью запроса the1975..com. Другие пользователи Reddit быстро выяснили, что команды Vizel viagens, Izela viagens и Zela viagens имеют тот же эффект. Баг распространяется не только на смартфоны Google Pixel, но и на Samsung Galaxy S7, S8+ и S9+, а также на HTC U11. Ошибка не несёт никакой угрозы и распространяется только на тех, кто предоставил приложению Google доступ к контактам. Без последнего упомянутый запрос срабатывает как нужно. Google ситуацию никак не прокомментировала, но, вероятно, в скором времени устранит баг.

Несколько недель назад Google представила систему Duplex, которая позволяет Ассистенту совершать звонки от имени пользователя. Создатели Siri — первого персонального ассистента для смартфонов — работают над технологией, с помощью которой iPhone сможет рассылать текстовые сообщения от имени владельца. Согласно одному из патентов Apple, если пользователь не отвечает на входящий звонок, Siri может проанализировать несколько факторов и объяснить, почему владелец телефона проигнорировал звонящего. Например, если пользователь находится на рабочем месте, а телефон переключен в режим «не беспокоить», Siri сможет написать от его имени: «Я на совещании, перезвоню, когда освобожусь». На изображениях в патенте показано, как Siri извлекает данные из Apple Maps и составляет умный ответ, в котором говорится, что пользователь находится в дороге, и ориентировочное время прибытия на место. На ещё одном примере Siri составляет сообщение руководителю и объясняет, почему сотрудник опаздывает на совещание. Многие примеры подразумевают, что пользователь сейчас за рулём, при этом в составлении текста участвует система CarPlay. В июне Apple проведет ежегодную конференцию WWDC, на которой можно ждать ряд изменений для Siri. В последние годы компания Тима Кука здорово отстала — на фоне Ассистента Google и Amazon Alexa помощник Siri кажется малофункциональным, особенно учитывая, что он работает только с сервисами Apple.

Одна из главных особенностей защищённого мессенджера Signal — то, что он автоматически удаляет сообщения пользователя. Но несмотря на то, что сам сервис очищает переписки, на macOS их содержимое может сохраняться, пишет Motherboard. О проблеме сообщил исследователь из области безопасности Алек Маффетт (Alec Muffett). Суть её в том, как компьютер управляет оповещениями. При определённых настройках центр уведомлений macOS может показывать ваши недавние сообщения — с именем отправителя и самим текстом. Ещё один исследователь Патрик Уордл (Patrick Wardle) описал уязвимость более подробно. Оказывается, сообщения хранятся ещё и в базе данных SQLite. При минимальных усилиях это позволяет восстановить все сообщения, которые удалил Signal, но которые появлялись в центре уведомлений операционной системы. Это означает, что до сообщений могут добраться посторонние, и это сводит полезность мессенджера на нет. «Это определённо не очень хорошо, — заявил Уордл. — Предполагается, что сообщения должны исчезать полностью. Часто они содержат очень конфиденциальную информацию, попадание которой в чужие руки может быть губительным». Уордл отметил, что проблема не распространяется на iPhone — из центра уведомлений iOS сообщения удаляются нормально. Но он всё равно посоветовал проверить настройки оповещений мобильной операционной системы. Чтобы устранить проблему на macOS, нужно зайти в настройки приложения Signal и найти раздел «Уведомления». Там можно выбрать, какая информация будет отображаться в оповещениях, или вообще их отключить. Ранее полученные сообщения всё равно останутся, так что чтобы избавиться и от них, придётся очистить базу данных.

В приложении WhatsApp обнаружена уязвимость, позволяющая вызвать сбой в работе приложения с помощью специального текстового сообщения. Множество пользователей сообщили о зависании приложения после получения сообщения с текстом "I can hang your WhatsApp for a while just touch below message" ("Твой WhatsApp зависнет на некоторое время, если ты нажмешь на сообщение ниже"), после которого следуют несколько пробелов и надпись "don't-touch-here" ("не-нажимай-сюда"). Если все же нажать на сообщение, приложение перестанет реагировать на команды пользователя. По словам специалистов, сбой вызван большим количеством скрытых символов в кодировке ASCII. В WhatsApp существует ограничение на количество символов в сообщении, однако в данном сообщении он превышен. Пользователь может получить и прочитать сообщение, поскольку изначально специальные символы скрыты. Однако при нажатии на сообщение WhatsApp попытается его обработать, что приведет к сбою программы. Для устранения проблемы достаточно перезагрузить смартфон. Уязвимость затрагивает только версию приложения для Android-устройств и не может быть проэксплуатирована на смартфонах под управлением iOS. Напомним, ранее в операционной системе iOS была обнаружена проблема, позволяющая вызвать неполадки в работе устройства путем отправки специального знака из алфавита индийского языка телугу.

Китайские власти в социальных сетях открыто заявили, что имеют возможность читать с телефонов подозреваемых удалённые сообщения из WeChat. Таким образом, подтвердилась многолетняя теория о том, что правительство может использовать мессенджер для слежки. Tencent, родительская компания WeChat, отрицает какие-либо правонарушения. «WeChat не хранит истории переписок — они хранятся только на телефонах и компьютерах пользователей», — написала она. Аналогичную позицию Tencent занимала и раньше. В январе бизнесмен из автомобильной индустрии Ли Шуфу (Li Shufu) заявил, что генеральный директор китайского гиганта «наверняка наблюдает за нашими действиями в WeChat каждый день». Tencent это отрицала — она сказала, что «WeChat не использует содержимое переписок для анализа больших данных» и «техническая модель WeChat не хранит и не анализирует переписки пользователей». Комиссия по проверке и контролю муниципального образования Чаоху, борющаяся с коррупцией, признала, что использовала возможность читать удалённые переписки в WeChat, чтобы узнать имена всех подозреваемых. Комиссия заявила, что каждый из них, будучи партийным чиновником, признался в нарушениях. Так организации удалось выдвинуть обвинения в общей сложности против 63 человек. К воскресенью публикация комиссии была удалена. Тем не менее, она вызвала бурные споры на тему защищённости данных жителей Китая среди пользователей различных интернет-площадок. В марте Министерство обороны Австралии запретило использовать WeChat в области военных действий, поскольку приложение не соответствует определённым стандартам. Впрочем, каким именно, не уточняется.

Viber для платформ Windows и Mac получил масштабное обновление. В мессенджере появился ряд новых функций, а уже имеющиеся возможности приложения были усовершенствованы. Теперь пользователи Viber на PC смогут закреплять сообщения в групповых чатах не только на мобильных устройствах, но и на компьютерах – это можно сделать в один клик через контекстное меню. Кликнув на выделенный фрагмент текста правой кнопкой мыши, можно мгновенно запустить поиск в интернете. Десктоп-юзеры мессенджера также получили возможность удобнее отфильтровывать нежелательную рекламу, помечая ее новым «флажком». «Мы стремимся предоставлять лучший опыт общения нашим пользователям на всех платформах, в том числе на ПК, поэтому постоянно совершенствуем клиенты Viber и расширяем число доступных на них функций. Наша цель – сделать Viber полноценной платформой для общения с друзьями, чтения новостей, взаимодействия с брендами, шопинга и многого другого не только на мобильных устройствах, но и на стационарных компьютерах», - прокомментировала обновление мессенджера Яна Рожкова, директор по коммуникациям Viber в СНГ, Франции и Германии. Официальный клиент Viber для Windows и Mac был запущен в мае 2013 года. Десктоп-версия мессенджера позволяет общаться в чатах, отправлять и получать файлы, совершать голосовые звонки и обладает множеством других функций, число которых регулярно расширяется. Вся переписка пользователей Viber на ПК, как и на других платформах, надежно защищена сквозным шифрованием. В отличие от основных конкурентов, Viber по умолчанию обеспечивает сквозное шифрование не только «секретных» чатов, но всех чатов на платформе.

Как и в любой другой социальной сети, в Facebook прочно укрепились хулиганство и запугивание. В борьбе с таким поведением компания добавила ряд инструментов, которые предотвратят нежелательные личные сообщения и запросы в друзья. «Мы слышали истории о том, как люди блокировали недоброжелателя, а тот появлялся снова, но с другого аккаунта, — написал глава по глобальной безопасности Facebook Антигон Дэвис (Antigone Davis). — Чтобы помочь предотвратить такие столкновения, мы дополнили существующие функции и тем самым предотвратили появление в Facebook поддельных учётных записей». Представьте, что вы кого-то заблокировали, но этот человек создал другой аккаунт, чтобы продолжить вам писать. С помощью новых инструментов Facebook попытается определить такие действия и не позволить недоброжелателю отправить вам сообщение или запрос в друзья. Для этого компания использует сигналы вроде IP-адреса злоумышленника. Facebook также внедрила функцию, которая позволяет игнорировать переписки. Она отключает уведомления и отправляет диалог в папку с отфильтрованными сообщениями. Оттуда вы можете читать сообщения, а отправитель об этом даже не узнает. Пока это нововведение распространяется только на индивидуальные переписки, но скоро в список попадут и групповые диалоги. Дэвис рассказал, что над перечисленными инструментами Facebook работала с экспертами в разных областях. Среди организаций, с которыми сотрудничала компания — «Национальная сеть по борьбе с домашним насилием» (National Network to End Domestic Violence).

Социальная сеть «ВКонтакте» сообщила о внедрении весьма полезной функции: отныне пользователи смогут удалять свои сообщения из диалогов и бесед для всех собеседников. Ранее при уничтожении посланий переписка удалялась только у самого автора. Другие собеседники при этом могли видеть отправленные сообщения. Теперь же удалять отправленные послания можно для всех пользователей. Для использования новой функции необходимо выбрать сообщение, нажать иконку с корзиной и выбрать пункт «Удалить для всех». На данный момент функция доступна в полной версии сайта и в мессенджере на m.vk.com. Правда, всё же предусмотрено ограничение: стереть отправленные сообщения можно в течение 24 часов. Добавим также, что недавно в новой версии приложения «ВКонтакте» для Android и iOS появилась возможность публично отвечать на истории собственными историями. Миниатюра оригинальной истории в ответе поможет отследить, на какую историю отреагировал пользователь. В оригинале отображается список публичных ответов — все они доступны для просмотра. Автор может скрыть любой ответ и ограничить настройки приватности. Отметим, что каждый месяц «ВКонтакте» посещают свыше 97 млн пользователей, а количество пользователей на мобильных устройствах достигает 80 млн человек.

Ещё в прошлом месяце представители компании Google обещали расширить диапазон свойств своего голосового помощника Google Assistant и выпустить ряд устройств для дома в рамках Google Home. Время пришло, и нам показали первую ласточку: колонку Google, совместимую с голосовым помощником, которая умеет рассказывать прогноз погоды, сообщать ситуацию на дорогах и заголовки из последней сводки новостей. Помимо этого добавили «умные» выключатели, которые гасят свет в доме по команде «Goog night». Но теперь компания Google пошла дальше, и колонки серии Google Home отныне будут транслировать заданные пользователями сообщения в рамках дома или же рабочего офиса. Чтобы это сделать, человеку достаточно дать команду «OK Google, broadcast... (далее следует само объявление)», и это сообщение будет передано на все колонки Google Home, которые подключены к той же учётной записи, что и смартфон автора сообщения. По мнению самих разработчиков, это поможет пользователям взаимодействовать с их семьёй, близкими и сожителями, не напрягать свой голос и если вы желаете что-либо сообщить остальным. Отдельным преимуществом новой функции является возможность транслировать необходимые сообщения на ваши колонки, при этом не находясь дома. Всё, что для этого нужно — по-прежнему держать устройства Google Home и ваш смартфон подключёнными к одной и той же учётной записи Google, и, если данное условие соблюдено, то вы всегда можете сообщить вашим родным о том, когда возвращаетесь с работы, или из другого города, чтобы те были готовы вас встречать. На момент написания новости поддержка трансляции сообщений доступна в рамках США, Австралии, Великобритании и Канады. Как скоро вся эта радость станет доступно русскоязычной аудитории — пока не известно.

МВД и Следственный комитет России опровергли сообщения о заражении своих серверов вирусом WannaCry, поразившим компьютеры в 74 странах мира. «12 мая была зафиксирована вирусная атака на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус». Было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1 процента», — указано в информационном сообщении министерства. В свою очередь, в пресс-службе СК России сообщили, что «никаких хакерских атак на ресурсы Следственного комитета на было, все они работают в штатном режиме». Ранее источник в МВД сообщал, что работа отделений ведомства в нескольких регионах России нарушена из-за вируса, поразившего множество компьютеров и грозящего уничтожить все данные. Ранее в пятницу о массовом распространении вируса сообщили в Великобритании и Испании. Отмечается, что атака хакеров затронула больницы в нескольких британских городах и испанскую телекоммуникационную компанию Telefonica. Речь идет о вирусе-вымогателе WCry, также известном как WannaCry или WannaCryptor. Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 долларов биткоинами за расшифровку. Пользователь «Пикабу» под ником vasa48 опубликовал фотографию, на которой продемонстрировал работу шифровальщика на российских компьютерах. Его интерфейс внешне идентичен вирусу, поразившему британские и испанские устройства.

Google сильно продвинулась в разработке «умных» клавиатур: приложение Gboard, например, умеет предугадывать слова, которые пользователь только собирается напечатать, и предлагает эмодзи по ситуации. Но на этом компания останавливаться не собирается и скоро выпустит клавиатуру, которая читает мысли и сама вводит текст. Приложение выйдет на iOS и Android и получит название Mindkeys. В плане интерфейса оно практически не отличается от Gboard. Для того чтобы пользоваться продуктом, придётся приобрести специальный датчик, который устанавливается за ухом и считывает мозговые импульсы. Google разработала продвинутую систему машинного обучения, которой достаточно десяти минут, чтобы выучить все привычки пользователя и понять, как он мыслит. По словам компании, излучение датчика может быть опасно при долгом использовании. Поэтому ей пришлось создать технологию, которая изучает пользователя за короткий промежуток времени. Mindkeys потребует установить датчик за ухом всего один раз: он перенесёт всю нужную информацию по Bluetooth, после чего устройство можно будет отдать другому человеку. Google осознаёт, что датчик, стоимость которого составляет $50, сможет себе позволить не каждый, поэтому предлагает покупать его «вскладчину». После завершения настройки пользователю нужно будет только указать тематику диалога, чтобы клавиатура сама начала вводить текст. При использовании приложения с поиском Google тематику указывать не нужно: движок определяет её по первому слову запроса. Клавиатура поддерживает и традиционный способ ввода. Но даже при ручном наборе пользователь сможет сразу ощутить силу предиктивных технологий Google.

Телекоммуникационный оператор МТС объявил о реализации проекта по обеспечению информационных рассылок клиентам Extreme Fitness (сеть из семи фитнес-клубов) и Extreme Shop (сеть магазинов спортивного питания и спортивных аксессуаров) в Новосибирске. С помощью услуги «SMS-трафик» сети Extreme Fitness и Extreme Shop будут сообщать клиентам о новостях и специальных предложениях, бонусных баллах на персональной карте клиента, мероприятиях и акциях, сообщили в МТС. До недавнего времени сотрудники сетей контактировали с клиентами только посредством электронной почты и телефонных звонков, что не всегда эффективно. А вот SMS приходит на телефон, который у большинства людей всегда под рукой. Благодаря подключению услуги «SMS-трафик» все коммуникации по обширной клиентской базе теперь происходят за считанные минуты, а значит, клиенты вовремя получат нужную им информацию: об оставшемся количестве посещений по абонементам или о статусе заказа, сделанного в магазине. Услуга «SMS-трафик» позволяет формировать списки абонентов для рассылки, а также проводить рассылки по уже заданным спискам — абонентам любых операторов связи и с подписью отправителя, планировать отправку сообщений заранее, отправлять информацию с веб-сайта одним кликом, а также контролировать статус и время доставки сообщений конечным адресатам. Все SMS-рассылки осуществляются с согласия клиентов компании. При подключении услуги предоставляется сервисный номер с дополнительными возможностями по отправке SMS на номера МТС России с расширенной пропускной способностью канала для большего объема трафика SMS. «Телеком-услуги сегодня — это возможность сделать бизнес наших корпоративных клиентов намного эффективнее и снизить операционные затраты компании. Так, сервис “SMS-трафик” способен не просто заменить работу традиционных SMS-агрегаторов, он обеспечивает полное и самостоятельное управление услугой со стороны наших бизнес-клиентов, что позволяет им напрямую контролировать все этапы коммуникаций с клиентами и, в конечном итоге, повысить их качество. Что особенно важно компаниям, имеющим сеть предприятий с обширной клиентской базой», — подчеркнул директор компании МТС в Новосибирской области Александр Соловенчук.

Пользователи Facebook Messenger, предпочитающие аудиосообщения текстовым, рискуют стать жертвами атаки «человек посередине». Как сообщает издание The Hacker News, египетский исследователь Мохамед А. Басет обнаружил в мессенджере уязвимость, позволяющую похищать с сервера Facebook пересылаемые аудиофайлы и прослушивать голосовые сообщения пользователей.При каждой записи голосовое сообщение сначала загружается на сервер CDN (https:// z-1-cdn.fbsbx.com/...), а уже оттуда по протоколу HTTPS передается как отправителю, так и получателю. Находящийся в той же сети злоумышленник может с помощью инструмента SSL Strip осуществить атаку «человек посередине» и получить абсолютные ссылки (в том числе встроенный в URL секретный токен для аутентификации) на все аудиофайлы, которыми обмениваются отправитель и получатель.Затем атакующий может изменить HTTPS на HTTP и загрузить файлы без аутентификации.Атака возможна, поскольку сервер CDN не использует HSTS – механизм, активирующий форсированное защищенное соединение через протокол HTTPS. Кроме того, компания не позаботилась об обеспечении надлежащего процесса аутентификации. Пересылаемые между двумя пользователями файлы должны быть доступны только им двоим, даже если у кого-то третьего есть абсолютная ссылка на данные файлы с секретным токеном.Исследователь уведомил Facebook об уязвимости, однако компания не спешит исправлять ее. Согласно полученному экспертом ответу, в настоящее время Facebook занимается развертыванием HSTS на своих поддоменах facebook.com.