Поиск

Все, у кого есть дети, скорее всего не раз давали им в руки свои смартфоны или планшеты — например, чтобы поиграть или выполнить домашнее задание. С целью упростить жизнь родителям Google представила новое приложение, которое позволяет с лёгкостью контролировать действия, которые дети совершают с помощью мобильных устройств. Впрочем, приложение Family Link направлено больше на детей со своими собственными устройствами на базе Android. Взрослый должен установить программу на свой телефон, создать через неё аккаунт Google для своего ребёнка и ввести данные на устройстве, которое он собирается контролировать. Пока доступ к приложению можно получить только по приглашению, только в США и только тем, чьим детям ещё не исполнилось 13 лет. К тому же устройство ребёнка должно работать как минимум на Android 7.0, однако родителям достаточно иметь смартфон или планшет на базе Android 4.4. Когда настройка произведена, родители получают возможность блокировать определённые приложениях на устройствах своих детей, а также предотвращать скачивание тех или иных программ. Также можно просматривать список наиболее часто используемых ребёнком приложений за месяц или за неделю. Родители могут выбирать время отхода ребёнка ко сну, в которое телефон полностью блокируется до утра. В качестве альтернативы доступна функция, позволяющая выбрать количество часов, отведённых ребёнку на использование устройства за один день. Family Link сильно напоминает представленную ещё с выходом Android 4.3 функцию Restricted Profiles. Однако она доступна только на планшетах и направлена именно на те устройства, которые даются детям в руки на время. «Мы только начинаем, и мы будем просить родителей, использующих Family Link, делиться отзывами о том, как улучшить проект, прежде чем приложение станет широкодоступно», — сказал вице-президент по разработке Google Павни Диванджи (Pavni Diwanji).

Специалист по информационной безопасности из Израиля Омер Гиль выявил новый метод, позволяющий получить доступ к скрытым персональным данным пользователей. Дело в том, что кэширующие серверы, используемые крупными online-сервисами, часто сохраняют некорректный контент страницы, в том числе персональную информацию, когда пользователь пытается посетить несуществующий ресурс. Как выяснил Гиль, данная проблема, получившая название Web Cache deception attack (примерно переводится как «обманная атака на web-кэш»), затрагивает web-сайты трех крупных компаний, одна из которых PayPal. По словам исследователя, проблема, скорее всего, распространяется и на другие online-сервисы, хотя соответствующее исследование он не проводил. Атака основана на том, как серверы кэшируют страницы. Некоторые из них сохраняют страницы с разным объемом персональных данных. Как правило, эти страницы недоступны неавторизованным пользователям. Специалист пояснил принцип действия метода на примере PayPal. Если пользователь перейдет по ссылке на несуществующий ресурс, сервер PayPal создаст соответствующий кэш URL. Например, при переходе по ссылке https://www.paypal.com/myaccount/home/attack.css будет создан кэш https://www.paypal.com/myaccount/home/. В данном примере кэшированная страница будет содержать такие сведения, как баланс счета, данные транзакций, адрес электронной почты, последние четыре цифры дебетовой\кредитной карты и, возможно, другую информацию. Для того чтобы похитить данные, атакующему потребуется только перейти по тому же специально сформированному URL и получить доступ к кэшированной странице. По словам Гиля, атака не ограничена только определенными типами файлов, такими как JS или CSS. Злоумышленники могут использовать более 40 форматов - от популярных AVI, DOC и JPEG до CCT или AIFF.

Исследователи команды безопасности Google Джейсон Геффнер и Жан Би обнаружили уязвимость в антивирусном продукте ESET Endpoint Antivirus 6 (CVE-2016-9892), позволяющую удаленно выполнить код на Mac с привилегиями ядра. Осуществить атаку очень просто – достаточно лишь перехватить подключение продукта к серверам ESET и проэксплуатировать уязвимость в библиотеке XML. «Уязвимые версии ESET Endpoint Antivirus 6 статически связаны с устаревшей библиотекой синтаксического анализа XML и не проводят надлежащим образом аутентификацию сервера, тем самым позволяя удаленному неавторизованному атакующему выполнить код с привилегиями ядра», - сообщили исследователи. По словам экспертов, esets_daemon использует устаревшую версию библиотеки POCO XML, в которой присутствует уязвимость переполнения буфера (CVE-2016-0718). Помимо прочего, библиотека запрашивает лицензию по адресу https://edf.eset. com/edf:. Злоумышленник может осуществить атаку «человек посередине» и отправить в качестве ответа данные для эксплуатации CVE-2016-0718 с последующим выполнением кода с привилегиями ядра. Демон не проверяет сертификат сервера ESET, что дает возможность атакующему выдать себя за сервер ESET и предоставить клиенту самоподписанный SSL-сертификат. Осуществив MITM-атаку, злоумышленник может отправить на Mac вредоносный контент, взломать уязвимую библиотеку, а затем выполнить код. Уязвимость исправлена в версии 6.4.168.0.

Пользователи Facebook Messenger, предпочитающие аудиосообщения текстовым, рискуют стать жертвами атаки «человек посередине». Как сообщает издание The Hacker News, египетский исследователь Мохамед А. Басет обнаружил в мессенджере уязвимость, позволяющую похищать с сервера Facebook пересылаемые аудиофайлы и прослушивать голосовые сообщения пользователей.При каждой записи голосовое сообщение сначала загружается на сервер CDN (https:// z-1-cdn.fbsbx.com/...), а уже оттуда по протоколу HTTPS передается как отправителю, так и получателю. Находящийся в той же сети злоумышленник может с помощью инструмента SSL Strip осуществить атаку «человек посередине» и получить абсолютные ссылки (в том числе встроенный в URL секретный токен для аутентификации) на все аудиофайлы, которыми обмениваются отправитель и получатель.Затем атакующий может изменить HTTPS на HTTP и загрузить файлы без аутентификации.Атака возможна, поскольку сервер CDN не использует HSTS – механизм, активирующий форсированное защищенное соединение через протокол HTTPS. Кроме того, компания не позаботилась об обеспечении надлежащего процесса аутентификации. Пересылаемые между двумя пользователями файлы должны быть доступны только им двоим, даже если у кого-то третьего есть абсолютная ссылка на данные файлы с секретным токеном.Исследователь уведомил Facebook об уязвимости, однако компания не спешит исправлять ее. Согласно полученному экспертом ответу, в настоящее время Facebook занимается развертыванием HSTS на своих поддоменах facebook.com.