Поиск
Показаны результаты для тегов 'позволяла'.
Найдено: 4 результата
-
Apple исправила малоизвестную уязвимость App Store, которая позволяла разработчикам собирать данные о контактах пользователей iOS. Недавно компания анонсировала новые правила, которые распространяются на собственную информацию пользователей, но не на информацию их контактов. Как объяснил Bloomberg, разработчики приложений для iOS могли запрашивать доступ к адресным книгам и контактам пользователей. Так они получали возможность собирать различные данные о друзьях, родственниках и коллегах «жертв» — имена, телефонные номера, электронные адреса, фотографии, даты рождения, домашние и рабочие адреса, а также информацию о том, как давно тот или иной контакт был создан. Разработчик мог передать эти данные кому угодно, и Apple об этом даже не узнала бы. Суть уязвимости заключалась в том, что человек из списка контактов, о котором хотели собрать информацию, не мог ни отказаться от сбора своих данных, ни изъять их. Разработчики могли продавать эти данные и использовать их в рекламных целях — например, чтобы показывать пользователям продукты, которые просматривали их друзья и близкие. Теперь Apple запретила собирать данные контактов, «за исключением явной инициативы пользователя на индивидуальной основе». Также разработчики больше не могут создавать, делиться и продавать базы данных контактов, а также использовать эту информацию в нераскрытых целях.
-
- уязвимость
- app
- (и ещё 7 )
-
Google исправила уязвимость, позволявшую обходить reCAPTCHA – основанный на тесте Тьюринга способ проверки, кем является пользователь сайта, человеком или ботом. Уязвимость исправлена в новой бета-версии сервиса. Google совершенствует reCAPTCHA в течение многих лет. В частности, в прошлом году компания запустила сервис reCAPTCHA для мобильных версий сайтов, позволяющий проверять пользователей Android-устройств. Сервис работает следующим образом. Зайдя на сайт, где есть reCAPTCHA, пользователь должен доказать, что мыслит как человек, решив несложную задачку (например, кликнуть на все фото с дорожными знаками). После проверки правильности ответов сервис отправляет HTTP-запрос web-приложению. В свою очередь приложение также отправляет запрос Google reCAPTCHA API. Таким образом и reCAPTCHA, и приложение идентифицируют друг друга как доверенный ресурс и сигнализируют о том, что задачка решена правильно. Как сообщил независимый исследователь безопасности Андрес Рианчо, для обхода reCAPTCHA с помощью уязвимости атакующий должен осуществить атаку HTTP parameter pollution. Другими словами, атакующий должен заставить web-приложение отправить Google reCAPTCHA API HTTP-запросы небезопасным способом. HTTP parameter pollution – вид атаки на web-приложение, позволяющий обойти WAF (Web Application Firewall). HTTP parameter pollution вставляет дополнительные ограничители запросов или дополнительные параметры с тем же именем в HTTP запрос для обхода некоторых ограничений безопасности за счет особенностей поведения различного вида платформ.
-
- уязвимость
- recaptcha
-
(и ещё 3 )
C тегом:
-
Пользователи «ВКонтакте» обнаружили в социальной сети уязвимость, позволяющую с помощью поиска по людям просматривать всех, кто использовал то или иное приложение. Для успешной эксплуатации проблемы достаточно подставить числовой идентификатор приложения со знаком минус в ссылку вида «https[://]vk.com/search?c[photo]=0&c[group]=[идентификатор приложения]». Таким образом можно увидеть список всех пользователей, использующих какое-либо приложение. Если сайт поддерживает авторизацию с помощью соцсети, злоумышленник может с помощью идентификатора определить, является ли человек посетителем данного ресурса. По словам представителей «ВКонтакте», уязвимость была оперативно устранена вскоре после обнаружения, однако неизвестно, как долго просуществовала данная проблема.
-
- уязвимость
- «вконтакте»
- (и ещё 5 )
-
Исследователь безопасности Поуя Дараби обнаружил опасную уязвимость в функции создания опросов с изображениями и GIF-анимациями, представленной Facebook в начале ноября текущего года. При создании опроса на серверы Facebook отправлялся запрос, включающий идентификаторы файлов прикрепленных к опросу изображений. Эксперт заметил, что пользователи могут заменить идентификатор изображения в запросе на идентификатор любой фотографии на Facebook, после чего данная фотография появится в опросе. После того, как создатель опроса удаляет сообщение, изображение, чей идентификатор был добавлен в запрос, также удаляется из Facebook. Специалист уведомил Facebook об уязвимости 3 ноября 2017 года. Временное исправление было выпущено в тот же день. 5 ноября 2017 года компания выпустила полноценный патч. По словам Дараби, за его находку Facebook выплатила $10 тыс. по программе вознаграждения за поиск уязвимостей. Данный случай уже не первый, когда Дараби получил вознаграждение от Facebook. В 2015 году компания выплатила ему $15 тыс. за обход систем защиты от межсайтовой подделки запроса (Сross Site Request Forgery, CSRF). В 2016 году он заработал еще $7500 долларов за обнаружение похожей проблемы.
-
- уязвимость
-
(и ещё 4 )
C тегом: