Category: техника

Ющук Евгений Леонидович

Расследование Евгения Ющука. PR-атака на Онкоцентр им. Блохина: Кто? Как? Зачем?

Расследую причины и анатомию PR-атаки против НМИЦ онкологии им. Н.Н. Блохина, а также цели и задачи атакующей стороны.

Collapse )
Ющук Евгений Леонидович

Уязвимость в Android позволяла шпионить через камеру

Уязвимость в Android, выявленная работающей в области кибербезопасности компанией Checkmarx, позволяла злоумышленникам без ведома пользователя получать доступ к камере и микрофону смартфона. Аппарат превращался в "находку для шпиона" — можно было снимать тайком, скачивать фото и видео из галереи и записывать разговоры.

Для демонстрации уязвимости эксперты Checkmarx создали приложение, замаскированное под погодное. Пойдя тем же путём, хакеры могли тайком записывать видео и снимать фото камерой смартфона, отправляя снятое себе. При этом приложение могло выполнять всё это, работая в фоне.

Помимо снятых материалов приложение, в обход встроенной в Android системы управления разрешениями, получало доступ к фото и видео на устройстве, а также встроенные в них координаты съемки. Более того, уязвимость позволяла записывать обоих собеседников во время телефонных разговоров и использовать сенсоры телефона, чтобы определять его положение.

В Checkmarx впервые обнаружили уязвимость этим летом, исследуя приложение "Камера" в Google Pixel 2 XL и Pixel 3. Позже аналогичные уязвимости нашли в приложениях-камерах других производителей Android-смартфонов, включая Samsung. Google закрыла уязвимость через обновление в июле, предоставив "заплатку" партнёрам по экосистеме Android, Samsung — в августе.

Руководитель исследований в области безопасности Checkmarx Эрец Ялон предположил в интервью ArsTechnica, что причиной уязвимости стало предоставление Ассистенту Google доступа к камере.


https://hitech.vesti.ru/article/1242905/
Ющук Евгений Леонидович

Злоумышленники следили за пользователями с помощью умных колонок и электронных книг Amazon

Антивирусная компания ESET сообщила об обнаружении опасных уязвимостей в колонках Amazon Echo первого поколения и электронных книгах Amazon Kindle восьмого поколения.

Данные уязвимости позволяют злоумышленникам осуществлять т.н. KRACK-атаки (атаки с переустановкой ключа) и реализовывать такие киберугрозы, как перехват и расшифровка конфиденциальной информации (например, паролей) и DDoS-атаки и т. д.

Специалистам ESЕT удалось повторить переустановку ключа парного шифрования (PTK-TK) и группового ключа (GTK) при четырехстороннем рукопожатии (four-way handshake — механизм аутентификации пользователя, который создает уникальный ключ шифрования и передачи трафика).

ESET передала информацию службе безопасности Amazon. В настоящее время выпущена новая версия ПО, отвечающего за корректную аутентификацию при подключении к Wi-Fi-сети, поэтому пользователям рекомендуется проверить прошивку на всех устройствах. Можно создать отдельную подсеть в домашней сети для умных девайсов, что в случае их взлома защитит смартфоны и компьютеры.

https://mobile-review.com/news/zloumyshlenniki-sledili-za-polzovatelyami-s-pomoshhyu-umnyx-kolonok-i-elektronnyx-knig-amazon
Ющук Евгений Леонидович

Удаленное отключение света, газа, самолетов и мобильной связи

Еще недавно такие сюжеты воспринимались как фантастические, считалось что до их воплощения в нашей реальности долгие десятилетия. Напомню, что “Газпром” заявил о том, что австрийская компания LMF через спутниковые каналы связи отключила мобильные компрессоры, которые использовались российской корпорацией. Павел Крылов, начальник одного из департаментов "Газпрома", прокомментировал это так: “Дистанционно через спутник отключено, просто в металлолом превратились”. Его слова приводит "Интерфакс". В компании используют мобильные компрессоры для поддержания давления в трубопроводах при их ремонте, это могут быть как плановые работы, так и аварии. Не говорится о том, как много компрессоров было использовано всего, какой ущерб понес из-за действий "Газпром". Но в разных публикациях указывается, что это последствие санкций против компании. В данный момент "Газпром" продолжает использовать старые мобильные компрессоры производства США и Швейцарии, но они уступают по характеристикам компрессорам LMF. В компании планируют закупить отечественные компрессоры, они производятся в Казани.

Это завязка нашего сюжета, так как у любого здравомыслящего человека должен возникнуть вопрос, а что еще в России может быть дистанционно отключено и как этому противостоять. И если раньше можно было сказать с уверенностью, что мы защищены от внешних отключений, то сейчас это уже не так. Тот же закон о суверенном интернете - это попытка защитить страну от таких ситуаций, а вовсе не цензура, как это широко представляют в СМИ. Государство сегодня вкладывает огромные усилия в развитие госуслуг посредством интернета, отказывается от огромных штатов тех, кто руками перекладывает бумажки, становится эффективнее. Не видеть этого процесса, не чувствовать его может только человек, который не живет в России. По всей стране открыты МФЦ ("Мои документы"), где можно в одном окне получить массу разнообразных документов, а главное, нет той беготни, что существовала раньше. Более того, в некоторых местах даже можно получить внутренний российский паспорт за час с небольшим. Жизнь сильно упростилась, и все это благодаря информационным системам.

Стоимость создания таких информационных систем заметна, но выгоды для людей и государства также очевидны. При кризисных ситуациях это слабое место, в которое можно ударить и по которому наверняка попытаются нанести удар. Достаточно разрушить систему тех же МФЦ, чтобы создать неприятности для всех без исключения жителей страны. Это не критически важная система, но даже ее выход из строя может принести очень много проблем. И то, что это вовсе не фантастический сценарий, мы видим на примере "Газпрома".

Всегда нужно искать здравый баланс в том, что вы делаете. Защита информационных систем всегда влетает в копеечку, но тут нужно понимать, насколько велика потенциальная угроза. В России сегодня нет финансирования защиты по остаточному принципу, выделяются бюджеты из расчета того, что угроза существует, но мы пока не достигли красного уровня опасности. Поэтому вся подготовка, которая идет, ориентирована на средне-оптимистичный сценарий. При этом банки организуют защиту самостоятельно, равно как и отдельные госкорпорации, нет единого стандарта для этого. С одной стороны, разрозненность усилий хороша, с другой стороны, всегда есть слабые звенья в силу выбранных схем защиты, квалификации персонала и многих иных факторов. Но важно, что проблема осознается и не пускается на самотек, хотя, как и всегда в этой области, все нужно было сделать еще вчера, а те, кто занимается защитой, говорят, что требуются бюджеты в десятки, а то и сотни раз большие. И это частично правда. Но факт в том, что государство пытается соблюсти компромисс, не тратить излишние суммы на то, что может оказаться мнимой угрозой.

Теперь давайте посмотрим, что в нашей стране можно отключить дистанционно и как это может произойти. Начну с самого простого, а именно авиации. Все самолеты от Boeing, Airbus снабжены штатными средствами для их дистанционного отключения - процедура предполагает, что отключение происходит на земле, во время полета оно невозможно. Учитывая сложность авионики, найти закладки в программном коде, обойти их маловероятно. Поэтому при военном конфликте с блоком НАТО первой потерей для России станет вся гражданская авиация, самолеты просто не будут взлетать. В области транспорта такого же рода проблемы можно создать для целого ряда машин, включая грузовики. Но так как системы намного проще, то обойти их можно будет без особого труда, заблокировать их навечно невозможно. С другой стороны, атакующая сторона, понимая это, может вывести системы из строя таким образом, чтобы двигатель работал в режиме, который приведет к его износу или даже поломке. Вариантов, как навредить, можно придумать массу.

Проблема заключается в том, что мы не осознали до конца, как много важных вещей уже подключены к сети, насколько легко они управляются извне. В моем доме есть Wi-Fi-роутер, и не один, все они стучатся на сервер производителя время от времени. И все они управляются извне, у производителя всегда есть возможность снять с них статистику. Или сделать что-то иное. Ровно такая же ситуация с системами связи уровнем выше, мобильные или проводные операторы имеют разное оборудование, но оно ровно так же зависимо от внешнего воздействия, есть возможность повлиять на него извне. И добиться тут стопроцентной гарантии того, что этого не случится, невозможно.

Смартфоны? Ровно такая же история, их можно превратить в кирпичи в считанные минуты. Если администрация США решит, что нужно отключить все устройства в России, то за сутки это будет сделано. iPhone, Android - не суть важно, останутся только кнопочные телефоны. Не случайно в США на уровне законов прописано, что подобные действия против страны считаются прямой военной агрессией. То есть США задолго до нас озаботились этим вопросом и приравняли такую атаку к военной агрессии. И мне кажется, что это чертовски верно, так как подобный удар означает очень большие проблемы для экономики. И мы ничего этому противопоставить на данный момент не можем. Тот же проект “Аврора” для чиновников, силовиков - это запасной вариант на случай такого плохого сценария, чтобы 6-8 миллионов человек смогли продолжать работать в кризисной ситуации, иметь каналы связи, которые не могут вывести из строя. Это вопрос национальной безопасности.

Увы, появляющиеся угрозы современного мира таковы, что теперь наличие коммуникаций в тех или иных устройствах воспринимается как минус. Уверен, что покупатели компрессоров LMF теперь захотят отказаться от дистанционной диагностики и других приятных мелочей, так как это потенциальная опасность их лишиться вовсе. И то, что потенциально большой плюс неожиданно превращается в минус в долгосрочной перспективе. Буду ли я выбирать газовый котел с дистанционным управлением от производителя? Однозначно нет. Я выберу стороннее решение для его управления, а не родное, - так безопаснее. Считайте меня параноиком, но именно такие решения станут популярны в недалеком будущем. И то, что мы видим сейчас на рынке, это новые ниши, которые будут перекраивать этот рынок целиком и полностью. Например, развитие концепции умных городов будет подразумевать изменение стандартов защиты информации. Текущие варианты того, как можно защищать информацию, нам точно не подходят.

В этой связи хочу рассказать об одном наблюдении. Гулял в выходные по Тверской, увидел на одном из зданий на высоте около 2 метров множество проводов и коммутационных коробочек. На каждой была надпись: “Камеры наблюдения, Тверская, мэрия”, “Тверская, дворы”, “Переулки”. Не поленился, залез на фасад дома, благо гранитная окантовка позволяет это сделать. Открыл коммутационную коробочку, она на обычной защелке. Внутри очень красиво все сделано, подключиться к этим проводам не составит никакого труда, это дело нескольких минут. Информационная гигиена у нас пока в самом зачаточном состоянии, люди зачастую не уделяют этому внимания. И это нормально. Главное, чтобы до больших событий случались такие истории, как у "Газпрома", давали пищу для размышлений и заставляли думать, как защитить себя, свой бизнес, государство.

https://mobile-review.com/articles/2019/birulki-560.shtml
Ющук Евгений Леонидович

Мессенджеры стали для россиян главной функцией в смартфоне и отодвинули голосовую связь при звонках

Мессенджеры стали для россиян главной функцией в смартфоне, при этом абоненты все чаще пользуются звонками через приложения, чем традиционной голосовой связью, следует из данных Deloitte. Быстрее всего аудиторию наращивает Telegram, несмотря на попытки его блокировки. У большинства сотовых операторов выручка от голосовой связи падает или растет медленнее, чем от интернет-трафика, а выпадающие доходы они компенсируют пакетными приложениями.

Мессенджеры занимают первое место по уровню востребованности функций смартфона среди россиян, 53% опрошенных стали пользоваться ими чаще, говорится в исследовании Deloitte (есть у “Ъ”). В среднем у россиян установлено на смартфоне четыре мессенджера: у 83% опрошенных — WhatsApp, у 61% — Viber, у 53% — Skype, у 40% — Telegram. Именно у Telegram, блокируемого Роскомнадзором, за год больше всего выросла доля установок — на 15 процентных пунктов. Онлайн-опрос проводился в июне 2019 года среди 1,6 тыс. россиян старше 16 лет из более 250 населенных пунктов, динамика основана на сравнении с аналогичным опросом в июне 2018 года.

Звонки по интернету в этом году впервые стали более востребованы среди россиян, чем по сотовой связи, указывает Deloitte. Компания применяет собственный «индекс востребованности», который рассчитывается как разница между долями опрошенных, отметивших рост и снижение использования той или иной функции. У звонков через интернет этот индекс вырос за год на 11 пунктов, до 31 пункта, а у звонков по сотовой связи — снизился на 24 пункта, до 6 пунктов. На рост количества звонков через мессенджеры влияют значительно улучшившееся за последние годы качество сетей передачи данных и рост покрытия публичного Wi-Fi, отмечает партнер и руководитель направления по работе с операторами связи в СНГ Deloitte Антон Шульга.

Часть сотовых операторов отмечает в связи с трендом снижение выручки от голосовой связи или ее менее быстрый рост по сравнению с ростом выручки от интернет-трафика. По итогам второго квартала 2019 года показатель MoU (средний объем использованного голосового трафика на абонента в месяц) «Вымпелкома» снизился к аналогичному периоду 2018 года на 5,8%, до 305 минут, подтверждает представитель оператора. Драйвером роста выручки в мобильном сегменте становится выручка от интернет-трафика: на одного пользователя пришлось около 5 ГБ, что на 46,1% больше, чем годом ранее.

.....

По оценке гендиректора Telecom Daily Дениса Кускова, доля звонков через мессенджеры в России составляет пока не больше 35% от всех звонков в целом и не больше 40% в Москве. «Треть россиян до сих пор владеют кнопочными телефонами, то есть не могут звонить через приложения сами и не могут принимать такие звонки»,— поясняет эксперт. При этом позвонить через мессенджер можно только в случае устойчивого соединения 3G, LTE или LTE-A, но «даже в Москве сейчас очень много мест, где внутри здания нет такого уровня связи». По качеству связи мессенджеры не отличаются друг от друга, VPN, через которую у большинства россиян работает заблокированный Telegram, не влияет на качество звонка, ухудшить его качество может только сотовый оператор, говорит господин Кусков. По его мнению, сотовым операторам удается нивелировать риски от падения или стагнации доходов от голосовой связи с помощью пакетных предложений, включающих интернет, а также платных подписок и дополнительных услуг.

https://www.kommersant.ru/doc/4096496
Ющук Евгений Леонидович

Названы приложения-пожиратели времени у россиян

Исследовательская компания Mediascope выяснила, на какие мобильные приложения российские пользователи тратят больше всего времени. Главными их пристрастиями оказались игры, социальные сети, "читалки" и YouTube, пишет Forbes со ссылкой на отчет.

Изучив 100 программ с самой большой аудиторией, исследователи выяснили, что дольше всего россияне зависают в игре Gardenscapes, тратя на неё в среднем 46 минут в день. На втором месте — Homescapes, другая игра от студии Playrix, за день "съедающая" примерно 41 минуту. Ухаживают за виртуальным садом и разгадывают головоломки 1,55 миллиона человек в месяц, обустраивают дом — 1,56 миллиона.

На третьем месте расположилось приложение для чтения электронных книг FBReader — ему посвящают около 40 минут в сутки. Активная ежемесячная аудитория сервиса — 1,48 миллиона человек. Четвертую строчку получил YouTube: в нем пользователи ежедневно сидят ~35 минут. При этом российская аудитория у видеосервиса Google во много раз больше, чем у лидеров рейтинга: 28,92 миллиона человек. Замыкает пятерку "ВКонтакте" — 34 минуты.

Instagram "убивает" у россиян в среднем 27 минут (6-е место), узнали в Mediascope, "Яндекс.Навигатор" и TikTok — по 18 минут (7 и 8 места соответственно). На последних строчках с 15 минутами — WhatsApp и "Читай!"

Рейтинг составлен за I-е полугодие 2019 года. В основу легли данные пользователей в возрасте 12–64 лет, проживающих в городах с населением более 100 тысяч жителей.

https://hitech.vesti.ru/article/1224726/

Ющук Евгений Леонидович

«Huawei пытается украсть будущее у Google». В чем особенность новой операционной системы?

Китайская компания представила собственную ОС, которая будет работать на самых разных устройствах. Станет ли операционная система Huawei альтернативой Android и iOS?

Huawei представила собственную операционную систему. Она должна прийти на смену Android и iOS, заявили на конференции разработчиков в Шанхае.

Операционная система Harmony будет работать на самых разных устройствах — от наручных часов и смартфонов до автомобилей и компьютеров. Она создается по совершенно новому принципу, рассказывает главный редактор портала Droider.Ru Борис Веденский.

Борис Веденский
главный редактор портала Droider.Ru
«Основное ядро операционки существенно сократили, примерно в пять раз они сократили базисную часть. Как они будут это адаптировать под конкретное устройство? Видимо, за счет дополнительных модулей, которые будут подключаться в зависимости от того, что за девайс. Если ты делаешь на этой операционке, например, «умные» домашние весы, ты подключаешь минимальные вещи. Если делаешь более сложные, ставишь, например, на автомобиль, дополнительные компоненты будут к ней подключаться. Смартфон, компьютер — еще более сложный обвес. Тут интересный момент: получается, что немножко Huawei пытается украсть будущее у Google, потому что уже три года как известно, что Google параллельно развивает в порядке эксперимента собственную операционку, которая называется Fuchsia OS, про нее мало что известно, но что про нее известно, так это то, что это тоже вещь с очень крохотным ядром, которая будет заточена под огромный спектр самых разных устройств. И в этом смысле Huawei немножко опережает Google, потому что они это уже сейчас анонсировали, непонятно, насколько это сейчас в рабочем состоянии. Демо операционной системы на конференции, где они это представляют, нет, пока это картинки из слайдов, но анонс уже есть, и в этом плане они задел себе создают».

Huawei разрабатывала операционную систему Harmony восемь лет. Предполагалось, что ее будут использовать только в промышленности. Однако решения американского президента, судя по всему, заставили производителя ускорить процесс и расширить сферу использования. В мае Дональд Трамп запретил сотрудничать с компаниями, которые могут представлять угрозу безопасности страны. После внесения Huawei в черный список Google запретил обновление Android на смартфонах китайского производителя. Решение отложили до 19 августа.

Сейчас руководство Huawei заявляет, что, несмотря на создание своей операционной системы, компания намерена и дальше использовать Android в гаджетах. О безопасности Harmony беспокоиться не стоит, считает генеральный директор аналитического агентства TelecomDaily Денис Кусков.

— На сегодняшний момент ни одно устройство, тем более Android, который стоит на 90% продаваемых смартфонов, не является безукоризненно безопасным устройством. Конечно, компании предстоит вкладываться и осуществлять поддержку этой операционной системы, выявлять дыры, которые необходимо будет исключать, чтобы нивелировать какие-то проблемные моменты для пользователей. Но я думаю, что на начальном этапе все сделано достаточно хорошо.

— Учитывая тот факт, что все-таки разработка китайская, не получится ли так, что какие-то данные могут утекать китайским спецслужбам?

— Все эти разговоры о китайских спецслужбах и так далее, учитывая, что в России вообще ничего нет, то нам без разницы, куда идут: в китайские спецслужбы, в американские спецслужбы. Если считать именно этот вопрос самым главным, то желательно создать свое собственное устройство, которое будет по техническим характеристикам не хуже импортных аналогов. Поэтому я думаю, что это не самая большая проблема, думаю, что в этом вопросе очень много надуманного.

Huawei также собирается использовать в своих смартфонах российскую операционную систему «Аврора». Пилотный образец должен появиться к концу этого года.

Huawei — вторая в мире после Samsung крупная компания, которая производит смартфоны. Ее устройствами пользуется каждый пятый житель планеты.

https://www.bfm.ru/news/421514

Ющук Евгений Леонидович

Как Apple борется с утечками: металлодетекторы для мусора и гигантские штрафы

The Information рассказало о беспрецедентных мерах безопасности, которые вынуждена предпринимать Apple для сохранения секретности своих продуктов. По данным издания, фирма Тима Кука наращивает усилия по предотвращению утечек на протяжении последних пяти лет: дело дошло до того, что металлодетекторами начали сканировать не только личные вещи сборщиков айфонов, но и вывозимый с фабрик мусор.

В статье The Information описывается целый ряд ухищрений, на которые идут контрабандисты в надежде вывезти с завода хотя бы одну деталь от устройства. Стоимость компонента для еще неанонсированного смартфона на черном рынке может во много раз превышать зарплату рабочего.


Один из самых примечательных инцидентов произошел в эпоху iPhone 5c (вышел в 2013-м), когда прямо у ворот был остановлен грузовик, груженый тысячами чехлов. Другой любопытный случай — когда фабричные рабочие пытались вырыть подземный туннель, чтобы тайно вынести комплектующие от айфона.

В связи с этим требования Apple к мерам безопасности стали необычайно строги. В частности, компания обязала проверять металлоискателями не только сборщиков, когда они приходят и уходят с работы, но и любой вывозимый с завода мусор. Помимо этого, купертиновцы оставили за собой право устраивать проверки в любое время, а фабрики — штрафовать на десятки миллионов долларов в случае утечки. Деньгами, говорится в статье, не наказывают только Foxconn — как крупнейшего и наиболее ценного партнера Apple.

Предпринятые меры дали результат: в последние годы количество "сливов" в виде корпусов или плат заметно поубавилось. Так как ситуация улучшилась, компания сокращает численность подразделения New Product Security, в котором работают бывшие сотрудники спецслужб, а борьбу с утечками на китайских фабриках отдает на подряд.

Однако кража или фотографирование CAD-чертежей, по которым можно воссоздать облик будущих новинок, все еще доставляет Apple головную боль. Например, именно на их основе были изготовлены макеты новых айфонов, ставшие достоянием общественности на прошлой неделе.

https://hitech.vesti.ru/article/1220113/

Ющук Евгений Леонидович

«Яндекс» может узнать, сколько зарабатывает владелец смартфона?

IT-гигант запатентовал технологию, которая определяет уровень дохода по профессии пользователя. Зачем «Яндексу» знать, сколько зарабатывает пользователь гаджета, и как это отразится на пользователях?

«Яндекс» запатентовал способ определения доходов пользователей своих сервисов. Из документа, на который ссылаются «Известия», следует, что заработок будут определять по профессии.

В списке профессий, которые способен определить новый алгоритм, указаны таксист, курьер, художник, строитель и официант. В описании указаны три способа определения дохода и профессии. Первый — по наличию на смартфоне сторонних приложений, среди которых «Яндекс.Такси», Google.Maps, «Яндекс.Карты», Uber, «Яндекс.Деньги», Gmail и прочие. Другие способы — по данным GPS и окружающим смартфон звукам.

Можно ли такие способы трактовать как слежку и прослушку и нет ли здесь нарушения закона о персональных данных? Мнение старшего партнера адвокатского бюро Forward Legal Алексея Карпенко.

Алексей Карпенко
адвокат, старший партнер компании Forward Legal
«Закон о персональных данных говорит о том, что персональные данные можно собирать с согласия пользователя. Когда скачиваешь приложение на мобильный телефон или компьютер, появляется специальное окошко: согласен или не согласен с правилами пользования. Этим пользуется не только «Яндекс», но и подавляющее большинство компаний, которые занимаются разработкой мобильных приложений. Проблема заключается в том, что пользователи, как правило, не читают эти соглашения, и я думаю, что в данном случае закон не нарушается. Меня это пугает. Это та же история, что происходит с Google, Facebook. Есть масса историй, когда вдруг неожиданно пользователи начинают получать контекстную рекламу, поговорив об отпуске или покупке нового автомобиля. Каким образом это делается? Конечно, соответствующие поисковые системы, Facebook, различные мобильные приложения, «Яндекс» не исключение, собирают всю эту информацию. Это происходит не только в России, а по всему миру. Мы каждый день в колоссальных объемах используем различные гаджеты, и те компании, которые тем или иным способом имеют доступ к нашим гаджетам, знают о нас очень много».

Если технология «Яндекса» и будет когда-нибудь использоваться, то только для наращивания контекстной рекламы, считает сооснователь «Битрикс 24» Сергей Рыжиков.

Сергей Рыжиков
гендиректор компании «Битрикс 24»
«В «Яндексе» придумали и запатентовали новую технологию определения дохода людей. Мы об этом узнали случайно, и новость ушла в публичную историю. Только по этой причине компании пришлось сказать, что этот патент есть, но им не собираются пользоваться, что, конечно, странно, потому что технологию они разрабатывают исключительно для того, чтобы улучшить характеристики. В каком объеме и как компания будет это использовать? Очевидно, где-то во внутренних механизмах. Вряд ли появится механизм таргетинга по работе, профессии или по доходу. Тем не менее эти данные очень важны для рекламодателей и будут наполнять профиль или использоваться компанией для внутренней проверки других инструментов».

«Яндекс» подал заявку на регистрацию алгоритма два года назад, но Роспатент одобрил ее только в январе этого года. При этом пресс-служба «Яндекса» заверила, что использовать технологию компания не планирует. «Пока она останется на бумаге, это стандартная отраслевая практика», — пояснили в компании.


https://www.bfm.ru/news/419724
Ющук Евгений Леонидович

Более тысячи Android-приложений обходят запрет на отслеживание местоположения

Запрещая в настройках смартфона программе доступ к данным о координатах, пользователь рассчитывает, что решил проблему с отслеживанием местоположения. Однако исследователи выяснили, что это не так: более тысячи приложений научились обходить встроенные в операционную систему Google ограничения.

Проблема в том, что если на смартфоне данные о местоположении доступны хотя бы одной программе, она может при определённых условиях поделиться сведениями либо оставить их в общедоступном хранилище. Таким образом, воспользоваться ими может и вредоносное ПО. О выявленной уязвимости говорится в исследовании, представленном накануне на конференции PrivacyCon.

Произойти такое может, если два приложения созданы с применением одного и того же набора инструментов разработчика (SDK). По информации исследователей, доступ к данным могут иметь и создатели "проблемных" SDK — китайская Baidu и аналитическая компания Salmonads. C помощью этих инструментариев были разработаны тысячи размещённых в Google Play приложений, включая некоторые программы Samsung и Disney.

Команда исследователей выявила ещё ряд уязвимостей, позволяющих приложениям узнавать местоположение пользователя без разрешения: например, по уникальному MAC-адресу роутера или по имени беспроводной сети. А фотоприложение Shutterfly оправляло на серверы координаты устройства, беря их в EXIF-метаданных снимков, сделанных смартфоном.

Google проинформировали о многих из этих уязвимостей ещё в сентябре прошлого года. Некоторые из них пропатчат в очередной версии операционной системы Android, Q, официальный релиз которой ожидается до конца лета. Тем не менее, учитывая в целом печальную ситуацию с оперативностью крупных системных обновлений на Android, получат "заплатки" не все и далеко не сразу.

https://hitech.vesti.ru/article/1217621/