Популярное приложение незаметно активирует камеру Mac

2 комментария

Исследователь безопасности Джонатан Лейтшу нашел уязвимость нулевого дня в приложении для видеосвязи Zoom на компьютерах Mac. Сайты с вредоносным кодом добавляют пользователей в видеоконференции macOS без их ведома.

Такое стало возможно из-за установки локальных серверов Zoom в macOS. Они продолжают работать даже после удаления приложения и могут переустановить его без разрешения пользователя.

Разработчики Zoom объяснили, что локальный сервер нужен для хранения информации о настройках. Обновления в браузере Safari привели к тому, при каждом запуске Zoom пользователям приходилось заново настраивать приложение. Chromium и Mozilla тоже обнаружили уязвимость, но не нашли способ ее закрыть.

Представители компании пообещали выпустить обновление с исправлением ошибки в этом месяце. В более старых версиях Zoom Лейтшу обнаружил уязвимость к DDoS-атакам. Источник

Почему Apple должна запустить собственный VPN

3 комментария

В последнее время Apple просто помешалась на безопасности. Все началось с отказа от раскрытия пользовательских данных правоохранительным органам, плавно перетекло в сокращение объемов собираемой информации и в конечном итоге вылилось в появление новых инструментов защиты пользователей в Сети вроде беспарольного входа на сайты и онлайн-сервисы. Все это, бесспорно, здорово и идет нам с вами только на пользу, однако и Apple есть куда развиваться, а значит, уже совсем скоро мы можем увидеть новые продукты компании, направленные на нашу с вами безопасность.

Следующим продуктом Apple должен стать ее собственный VPN-сервис. Его появление – логичный и естественный шаг, на который компания просто обязана пойти в ближайшем будущем. Это важный и нужный продукт, от появления которого зависит не только сетевая безопасность пользователей, но и их право на свободу слова и получение информации.

Что такое VPN и зачем он нужен

Говоря простым языком, VPN – это онлайн-служба, которая обеспечивает сетевое соединение поверх другой сети. Правильные VPN-сети шифруют трафик пользователей, прогоняя его через свои серверы, и таким образом препятствуют его прочтению посторонними людьми и даже провайдерами связи. Кроме того, VPN может использоваться с целью обхода блокировок сайтов и веб-ресурсов, запрещенных на территории той или иной страны. К сожалению, далеко не все VPN отвечают требованиям пользователей.

Из-за того, что шифрование пользовательского трафика требует работы множества серверов, а они в свою очередь требуют обслуживания, очень сложно найти бесплатный VPN-сервис, который не собирает ваши данные с целью перепродажи. Но даже платная подписка иногда не является гарантией полной безопасности такого сервиса. В конце концов, о какой безопасности может идти речь, если одни могут стоить несколько долларов в месяц, тогда как другие – несколько сотен? Такой разброс цен усложняет выбор и вводит пользователей в заблуждение.

Собственный VPN от Apple

Кроме того, многие VPN-сервисы сложны в эксплуатации. В первую очередь сложность вызывает поддержка только одной, ну, максимум, двух платформ. На рынке то и дело попадаются сервисы, которые работают только на Windows или только на Android, но практически никогда – на всех ОС сразу. Если Apple реализует собственный VPN, он гарантированно получит поддержку как настольной платформы, так и мобильной.

У Apple уже есть облачный сервис iCloud, а значит, скорее всего, проблем с воплощением собственного VPN у нее не будет. При этом даже необязательно делать его бесплатным. Клиенты компании привыкли платить за качественные услуги, а значит, с удовольствием оформят подписку на iCloud VPN, который будет шифровать их трафик и открывать доступ к заблокированным ресурсам. Источник

В системе разрешений Android — серьезный баг, и Google о нем знает

6 комментариев

Система разрешений – это одно из самых полезных нововведений, которые когда-либо появлялись в Android. Благодаря ей пользователи могут самостоятельно контролировать, какую информацию собирают приложения и к каким компонентам операционной системы они имеют доступ. Если вы не хотите, чтобы приложение-фонарик читало ваши сообщения или отслеживало ваши перемещения, просто запретите ему это делать и спите себе спокойно. Но это в теории. На практике все оказалось несколько иначе.

Исследователи Университетов Калгари, Карлоса III Мадридского и Бёркли изучили Google Play на предмет приложений, способных обходить систему разрешений, и насчитали таких более тысячи из 88 тысяч изученных. Большинство из них – это сторонние приложения камеры вроде Shutterfly, которые отслеживают место создания снимка, даже если пользователь запретил им доступ к службам геолокации.

Приложения-шпионы для Android

Как правило, такие приложения получают данные, доступ к которым им запрещен, у других приложений. Сторонним камерам это сделать проще всего. Они по умолчанию связываются со штатным приложением, получая доступ к его API. Однако часть приложений-нарушителей «вытягивают» данные не только у других приложений, но и из карты памяти, которые в большинстве случаев не обладают той же защитой, что и штатное хранилище.

Само по себе то, что приложения могут обойти систему разрешений и прочесть данные, доступ к которым им закрыт, — это грубейший баг операционной системы. Примечательно, что Google знает о его существовании и обещает исправить, но только в Android Q, где появится специальный механизм, который будет отслеживать, какие сведения получают сторонние приложения. А всем остальным, коих большинство, придется мириться с тем, что их конфиденциальность не стоит для Google и выеденного яйца. Источник

Honor Play 8: недорогой смартфон с 5,71″ дисплеем HD+

6 комментариев

Бренд Honor, принадлежащий китайскому телекоммуникационному гиганту Huawei, анонсировал недорогой смартфон Play 8, построенный на программной платформе Android 9.0 Pie с надстройкой EMUI 9.0.

Аппарат оборудован 5,71-дюймовым дисплеем HD+ с разрешением 1520 × 720 точек. В верхней части этой панели предусмотрен небольшой каплевидный вырез для 5-мегапиксельной камеры (f/2,2). Основная камера получила 13-мегапиксельный датчик (f/1,8).

Применён процессор MediaTek MT6761, также известный как Helio A22. Чип содержит четыре вычислительных ядра ARM Cortex-A53 с тактовой частотой до 2,0 ГГц и графический контроллер IMG PowerVR.

В арсенале смартфона — 2 Гбайт оперативной памяти и флеш-накопитель вместимостью 32 Гбайт с возможностью расширения за счёт карты microSD. Есть адаптеры беспроводной связи Wi-Fi 802.11b/g/n и Bluetooth 5.0.

Габариты составляют 147,13 × 70,78 × 8,45 мм, вес — 146 граммов. За питание отвечает аккумуляторная батарея ёмкостью 3020 мА·ч. Упомянуты порт Micro-USB и 3,5-миллиметровое гнездо для наушников. Приобрести смартфон Honor Play 8 можно будет по ориентировочной цене 120 долларов США. 

MSI готовит линейку видеокарт Radeon RX 5700-й серии

5 комментариев

Компания MSI стала первым из AIB-партнёров AMD, подтвердившим подготовку собственных версий видеокарт Radeon RX 5700-й серии. Об этом сообщает ресурс HardwareLuxx, опубликовавший соответствующие слайды тайваньской компании, на которых также значится информация о том, когда кастомные видеокарты на базе Navi появятся в продаже.

Согласно имеющимся данным, компания MSI готовит по меньшей мере семь собственных версий видеокарт на графических процессорах Navi: три модели Radeon RX 5700 и четыре Radeon RX 5700 XT. В продажу они поступят в августе, но конкретная дата не уточняется. Заметим, что ранее август уже назывался как наиболее вероятное время появления неэталонных версий новых видеокарт AMD. Что касается MSI, то она готовит новинки в четырёх сериях. Старшие модели войдут в серию Gaming X, следом за ней идёт новое семейство MSI Evoke (это не отсылка к эвокам из шестого эпизода «Звёздных войн»), а далее идут более доступные модели серий Mech и Air Boost.

Источник опубликовал слайд только с изображением видеокарт Radeon RX 5700/XT Mech, и тут нам хотелось бы обратить внимание на наличие разъёма DVI-D, которого у эталонных версий ускорителей Radeon RX 5700-й нет. А в целом серия Mech является аналогом серии Armor, но с красным, а не белым цветовым оформлением.

Ещё заметим, что на слайде перечислены в основном модели с заводским разгоном, на что указывает приставка «OC». Однако MSI обычно предлагает также и  аналогичные модели но со штатными частотами и без приставки «OC» в названии, и вряд ли в случае ускорителей на базе Navi традиция будет нарушена.

В конце напомним, что 7 июля компания AMD и её AIB-партнёры начали продажи эталонных версий графических ускорителей Radeon RX 5700-й серии. В тестах, в том числе и проведённых нашей лабораторией, новинки компании AMD показали хорошее соотношение цены и производительности, поэтому появление неэталонных версий было лишь делом времени.

Первый бета-тестер раскрыл ключевые особенности Hongmeng

4 комментария

Hongmeng будет отличаться от EMUI на базе Android достаточно ощутимо. Такое заявление сделал первый бета-тестер новой операционки Huawei, с которым удалось пообщаться журналистам издания HuaweiCentral. Несмотря на то что Hongmeng пока находится в стадии бета-тестирования, уже сейчас операционная система отличается плавной работой и наличием доступа к большинству ключевых функций, за исключением тех, которые могут рассекретить ее существование раньше времени.

Из-за того, что Huawei запретила создание и пересылку скриншотов Hongmeng в целях безопасности, придется обойтись текстовым описанием основных возможностей операционки.

Hongmeng — отличия от Android

По словам тестера, интерфейс Hongmeng в целом напоминает EMUI, но при этом отличается видоизмененными иконками, обилием сопроводительной анимации, дополнительными настройками, которых нет в Android, а также выделенной панелью поиска, которая напоминает Spotlight в iOS. Тем не менее, общее утяжеление операционной системы вспомогательными элементами никак не отразилось на ее быстродействии. Напротив, Hongmeng по ощущениям работает даже быстрее Android, уточнил тестер.

Как работает Hongmeng

Уже сейчас Hongmeng поддерживает режим Always-On Display, расширенный конфигуратор уведомлений и более минималистичный интерфейс камеры. На первый взгляд он очень напоминает таковой в Huawei P30, но его компоненты расположены более интуитивно. Это позволяет быстрее разобраться во всех параметрах камеры, многие из которых вынесены прямо под пальцы.

В целом, констатирует испытатель, чувствуется, что Hongmeng – это не форк Android, а самостоятельная операционная система. Она дает ощущение чего-то нового и привлекательного. К сожалению, в докладе ни слова не было сказано о работе приложений на Hongmeng, способах их установки, а также об устройстве, на котором ведется тестирование. Возможно, тестер намеренно скрыл эту информацию, боясь раскрытия своей личности. Источник