Популярное приложение для футбольных болельщиков La Liga использует инструменты для тайной слежки за пользователями. Программа записывает разговоры пользователей и отслеживает их местоположение для борьбы с пиратскими трансляциями матчей, сообщает издание El Pais.   При установке на Android-смартфоны приложение запрашивает разрешение на доступ к микрофону и определению местоположения. Авторы программы подтвердили факт записи разговоров и отслеживания геолокации.   По словам разработчиков La Liga, данная мера призвана помочь в борьбе с различными заведениями, транслирующими футбольные матчи без соответствующей лицензии. Нелегальные трансляции приводят к потерям испанской лигой порядка 150 млн евро ежегодно, добавили они.   Функция записи разговоров включается только в часы проведения матчей чемпионата испанской лиги.   securitylab.ru

В рамках планового «вторника исправлений» компания Microsoft выпустила пакет обновлений безопасности, в том числе добавляющих поддержку функции, призванной предотвратить атаки с эксплуатацией уязвимости Spectre Variant 4 (CVE-2018-3639), так же известной как Speculative Store Bypass (SSB). О четвертом варианте нашумевших уязвимостей Meltdown-Spectre стало известно в мае нынешнего года. Атака Spectre Variant 4 основана на так называемом спекулятивном выполнении – функции, присущей практически всем современным процессорам. Благодаря ей злоумышленник может осуществить атаку по сторонним каналам и похитить конфиденциальные данные.   С целью устранения риска атак Microsoft добавила в платформы Windows (Windows 10, 7, Windows Server 2008, Windows Server 2016, Windows Server 1709 и 1803) и Azure поддержку функции Speculative Store Bypass Disable (SSBD), предотвращающей эксплуатацию SSB. Компания не раскрыла информацию о том, каким образом можно осуществить подобную атаку. В настоящее время поддержка функции реализована только для устройств с процессорами Intel, для ее активации потребуется обновление микрокода Intel. Обновления для компьютеров на базе процессоров AMD будут доступны позже. Для них обновление прошивки не потребуется.   С выпуском июньского пакета обновлений Microsoft устранила более 50 уязвимостей (в том числе 11 критических), затрагивающих Windows, Internet Explorer, Edge, MS Office, MS Office Exchange Server, ChakraCore и Adobe Flash Player. Наиболее опасной является проблема CVE-2018-8225 в Windows Domain Name System (DNS) DNSAPI.dll, которая затрагивает все версии Windows с 7 по 10, а также все редакции Windows Server. Уязвимость связана с процессом обработки Windows DNS-ответов и может быть проэксплуатирована путем отправки специально сформированных DNS-ответов с подконтрольного злоумышленнику DNS-сервера. Проэксплуатировав проблему, атакующий может выполнить произвольный код в контексте локальной системной учетной записи (Local System Account).   В числе прочих исправлены уязвимости CVE-2018-8231 и CVE-2018-8213 в Windows 10 Windows Server, позволяющие выполнить произвольный код и получить контроль над целевой системой, а также уязвимость нулевого дня в Flash Player, патч для которой был выпущен Adobe на минувшей неделе.   securitylab.ru

Исследователь безопасности Кевин Бомон (Kevin Beaumont) сообщил о серьезной проблеме, затрагивающей десятки тысяч Android-устройств. В частности, речь идет об открытом по умолчанию порте отладки позволяющему злоумышленникам удаленно подключиться к аппарату.   Впервые на данную проблему обратила внимание команда специалистов из Qihoo 360 Netlab, обнаружившая вредоносное ПО для ОС Android, которое инфицировало устройства майнером ADB.Miner посредством инструмента Android Debug Bridge (ADB), используемого для устранения неполадок в неисправных устройствах.   Как правило в ОС Android функция ADB отключена, и пользователям необходимо вручную включить ее при подключении через USB-соединение. Кроме того, отладка ADB также поддерживает функцию ADB over WiFi, позволяющую разработчикам подключаться к устройству через Wi-Fi-соединение вместо стандартного USB-кабеля.   Проблема заключается в том, что некоторые производители поставляют аппараты на базе Android с включенной по умолчанию функцией ADB over WiFi. Клиенты, использующие данные устройства, могут не знать, что их гаджет открыт для удаленных подключений через интерфейс ADB, обычно доступный через TCP-порт 5555. Поскольку ADB является утилитой для устранения неполадок, она также предоставляет пользователю доступ к множеству важных инструментов, включая доступ к оболочке Unix. Используя данную функцию, злоумышленники могут без пароля получить удаленный доступ с правами суперпользователя, а затем установить вредоносное программное обеспечение.   По словам исследователя, в настоящее время в Сети доступно более чем 15 600 уязвимых устройств. Пользователям рекомендуется проверить, включен ли данный режим по умолчанию и отключить его, если в нем нет необходимости.   securitylab.ru

Компания Google планирует убрать поддержку установки расширений для браузера Chrome со сторонних сайтов до конца текущего года. Таким образом техногигант намерен защитить пользователей от сомнительных расширений.   Как поясняется в блоге проекта Chromium, данное решение принято из-за огромного количества жалоб от пользователей на нежелательные расширения, которые приводят к неожиданным изменениям в поведении браузера Chrome. Большинство этих жалоб связано со «сбивающим с толку или вводящим в заблуждение использованием встроенной установки расширений на web-сайтах», отметили разработчики.   Отмена поддержки инсталляции расширений будет проходить в три этапа. Начиная с 12 июня 2018 года, в Chrome прекращена поддержка установки свежеопубликованных расширений (программы, опубликованные 12 июня 2018 года или позже этой даты). С 12 сентября компания отключит функцию установки для всех существующих расширений и начнет автоматически перенаправлять пользователей в Chrome Web Store, а с выпуском Chrome 71, запланированным на декабрь 2018 года, Google полностью удалит поддержку установки API.   Как отмечается, пользователи по-прежнему смогут использовать уже установленные расширения вне зависимости от источника загрузки (Chrome Web Store или сторонний ресурс).   securitylab.ru

Создатель криптовалюты Tron (TRX) Джастин Сан (Justin Sun) пообещал выплатить $10 млн за обнаружение уязвимостей в коде своего проекта.   Данный ход был сделан в рамках подготовки к предстоящему выходу криптовалюты на рынок и с учетом количества кибератак на криптовалютные стартапы в последнее время. Таким образом создатель Tron хочет подчеркнуть серьезное отношение к своему проекту.   Изначально фонд программы составлял всего $100 тыс., однако теперь сумма выросла в 100 раз.   Действие программы вознаграждения за поиск уязвимостей, подробное описанние которой содержится в документации проекта на портале GitHub, продлится с 31 мая по 24 июня 2018 года. Программа нацелена на привлечение хакеров и разработчиков из глобального сообщества криптовалютных стартапов.   В настоящее время разработчики Tron заинтересованы в поиске проблем в репозиториях /java-tron и /wallet-cli. Программа по поиску уязвимостей предлагает разные суммы вознаграждения за разные уязвимости. В частности, за проблемы, связанные с узлами java-tron или утечкой секретного ключа, предлагается вознаграждение в размере $50 тыс. и больше. За уязвимости, позволяющие добиться отказа в обслуживании (DoS), можно получить вознаграждение в размере $10 тыс. За проблемы средней серьезности предусмотрены выплаты в размере от $6 тыс.   securitylab.ru

Бывший глава Центра правительственной связи (Government Communications Headquarters, GCHQ) Роберт Ханнинган (Robert Hannigan) в ходе выступления на посвященной кибербезопасности конференции InfoSec Europe заявил, что Россия в настоящее время тестирует потенциальные возможности по проведению кибератак на реальных целях. Об этом сообщает издание The Register.   «Неясно, было ли это ошибкой или экспериментом. Россия, судя по всему, отрабатывает кибератаки на реальных целях [...] однако мы не до конца понимаем данную доктрину», - отметил бывший глава ведомства.   В качестве примера Ханиган привел атаки с использованием вредоносного ПО VPNFilter, затронувшие по меньшей мере 500 тыс. маршрутизаторов и устройств хранения данных по всему миру.   По словам Ханигана, государства ведут себя в киберпространстве так же, как и в реальном мире. Например, Северная Корея атакует банки, которые подключены к сети SWIFT, а также криптовалютные биржи для хищения средств. Помимо этого, в кибератаках на финансовые учреждения был замечен Иран. Отказ администрации Трампа от ядерного договора с Ираном может стать причиной обострения напряженности в киберпространстве.   securitylab.ru

Однажды, не слишком скоро, но и все же раньше, чем вы думаете, смартфон умрет — как какой-нибудь факсимильный аппарат из далекого прошлого. Ближайшие десяток лет человек не сможет полностью оторваться от любимого и столь удобного гаджета, ну а затем он станет просто не нужен. Основу для окончательного уничтожения смартфона уже сегодня закладывают Элон Маск, Microsoft, Facebook, Amazon и бесчисленное количество небольших, но безумно амбициозных стартапов. И поверьте, то, что придет на смену привычному уже техническому чуду в вашем кармане, будет действительно сродни научной фантастике.   Виртуальные помощники
Судя по инсайдерской информации, Samsung Galaxy S8 (доступный уже по предзаказу) будет поставляться с новым виртуальным помощником Bixby, который позволит вам контролировать каждую функцию и приложение только своим голосом. Собственно, компания позиционирует S8 как проводник в целую экосистему устройств, управлять которыми можно просто словом. Это уже не смартфон, а совершенно новая концепция взаимодействия человека с окружающим техномиром.
Экосистема из стали
Следующий iPhone будет также ориентирован на привнесение дополненной реальности в нашу повседневную жизнь. Заметьте, речь идет не о каком-то там отдаленном будущем — все глобальные изменения такого рода грядут в ближайшие пару лет. И поскольку такие устройства, как Amazon Echo, Sony PlayStation VR и Apple Watch, продолжают пользоваться ограниченным, но существенным успехом, эксперты ожидают совмещения всех этих устройств в одну взаимосвязанную экосистему.
Дополненная реальность
Microsoft, Facebook, Google и поддерживаемый Google стартап Magic Leap работают над созданием автономных гарнитур дополненной реальности, которые проецируют подробные 3D-изображения прямо в ваши глаза. По слухам, Apple работает над этим же.
Цифровое зрение
Алекс Кипман из Microsoft в недавнем интервью для Business Insider сказал, что в скором времени дополненная реальность может полностью заменить смартфон, телевизор и все остальные гаджеты с экраном. Это вполне логично: от отдельного устройства в кармане не так уж много толку, если все звонки, чаты, фильмы и игры проецируются прямо в глаза пользователю, органично располагаясь в окружающем мире.
Аудиогиды   В то же время в мире все более важными становятся такие устройства, как Amazon Echo или собственные AirPod от Apple. Поскольку искусственно-интеллектуальные системы, такие как Siri от Apple, Alexa от Amazon, Bixby от Samsung и Cortana от Microsoft, безусловно станут более умными, со временем, пользователь все больше будет полагаться на аудио информацию, дополненную видеоизображением в глазах.
Цифровой мир   Скорее всего, в скором времени нас ожидает постепенное сращивание мира цифрового и мира реального. Крупнейшие технологические компании обещают, что это будущее означает мир с меньшими технологическими отвлечениями и большим балансом, поскольку физический мир просто рухнет под натиском новой цифровой реальности, если его не защищать. Братья (теперь уже сестры) Вачовски в незабвенной «Матрице» предсказывали что-то подобное.
Телепатия   А теперь настало время кое-чего действительно безумного. На этой неделе Элон Маск представил свою новую компанию Neuralink. Совершенно серьезно (и, честно говоря, оснований не верить человеку столь подкованному) Маск заявил, что в ближайшие десять лет будет разработан нейроинтерфейс, позволяющий людям обмениваться мыслями. Другими словами, нам обещана телепатия. Добро пожаловать в будущее, господа!

Исследователи безопасности из компании Group-IB сообщили об обнаружении ряда мошеннических сайтов, замаскированных под страницы с обновлениями браузеров и государственные online-сервисы.   По словам экспертов, в мае им удалось выявить вредоносный ресурс browserupd и еще 9 связанных с ним сайтов.   «Посетителям обещали от 50 долларов до 3 тысяч долларов (от 3 тысяч до 200 тысяч рублей) за использование якобы "обновленных" версий браузеров Google Chrome, Safari, Opera и других браузеров. Для первых 10 тысяч пользователей, обновивших браузер, якобы было выделено 1,5 миллиона долларов. Для того чтобы его «заработать», необходимо выполнить ряд условий, каждое из которых требует от посетителя денежного взноса. Минимальная сумма — 350 рублей, максимальная — 1,7 тысячи рублей… Разумеется, никто никаких денег не получил», - сообщили исследователи.   Злоумышленники копировали бренд, логотипы и цвета браузеров, а также встроили в сайт специальный скрипт, автоматически собирающий информацию о типе браузера посетителя и, исходя из полученных данных, подгружающий определенный контент. Пользователю сообщалось, что после автоматического «обновления» необходимо будет «конвертировать доллары в рубли и оплатить комиссию», после чего он якобы сможет получить выигрыш.   Поддельные порталы госсервисов были устроены схожим образом. Скрипт автоматически определял местоположение пользователя и менял контент и оформление сайта. После того, как жертва отвечала на ряд вопросов, указанных на сайте, ей сообщалось, что ее учетная запись не активирована. За активацию мошенники предлагали заплатить 170 руб.   По данным исследователей, за месяц мошеннические ресурсы посетило порядка 300 тыс. пользователей, в том числе граждане из России, Украины, Белоруссии и Казахстана.   securitylab.ru