Отправляет email-рассылки с помощью сервиса Sendsay

BugTraq: Обозрение

Подписаться Бесплатная «Серебряная» новостная рассылка Подписчиков 13.884 RSS
  Август 2020  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней 1 выпусков (1 раз в 2 месяца)


Сайт рассылки: http://www.bugtraq.ru/review/
Открыта: Давно

Автор
Дмитрий Леонов

Статистика

13.884 подписчиков
-1 за неделю
  Все выпуски  

BugTraq: Обозрение #399, 10.08.2020


BugTraq.Ru


Рассылки Subscribe.Ru
BuqTraq: Обозрение
BuqTraq: RSN
BuqTraq: БСК
Распределенные системы

#399, 10.08.2020

Яндекс неуклюже оправдался за установку Теледиска
dl // 29.07.20 17:09
На днях пользователи Яндекс.Диска внезапно увидели на своих рабочих столах новую иконку с ещ одним творением Яндекса перепиленным из опенсорсного Jitsi сервисом видеоконференций Яндекс.Телемост. Такая вот попытка компенсировать безнаджное опоздание запущенного месяц назад Теледиска к дележу столь вкусного по нынешним временам всеобщей удалнки пирога видеоконференций.

На резонное недоумение последовал ответ, путающий причину со следствием Телемост активно использует функции Диска, поэтому ставится с Диском без возможности удаления. Заодно в Яндексе открыли для себя новое правило нельзя добавлять на рабочий стол новые иконки без ведома пользователя.
Источник: Блог Яндекса

Infosec-сообщество не поддержало отказ от термина black hat
dl // 04.07.20 18:50
Вице-президент Google Дэвид Клейдермахер (David Kleidermacher), отвечающий за безопасность Android и Google Play Store, отозвал сво выступление на августовской конференции Black Hat 2020 и призвал индустрию заменить термины black hat, white hat и man-in-the-middle нейтральными альтернативами.

К счастью, большая часть сообщества пока высказалась резко против этой инициативы. Клейдермахеру хором рассказали, что black/white hat не имеют ничего общего с расизмом и скорее восходят к классическим вестернам, после чего посоветовали пересмотреть хотя бы WestWorld. Не говоря уж о том, что соответствие дуализма чрный/белый злу/добру восходит к самым ранним цивилизациям и возникло задолго до выяснения существования расовых различий.
Источник: ZDNet

Расово верная чистка IT-терминологии
dl // 16.06.20 18:03
GitHub присоединился к волне переименований в IT, направленных на избавление от следов тяжлых дополиткорректных времн. Master repository теперь переименован в Main repository, на очереди избавление от whitelist и blacklist. Раздаются голоса и о том, что пора бы избавиться от понятий white hat и black hat.

Шахматистами вот давно пора заняться, мало того, что там фигуры чрные, так ещ и белые всегда начинают. И совсем уж вс понятно со Стругацкими и их там, где торжествует серость, к власти всегда приходят чрные.
Источник: Lifehacker

ГПБ vs TV
dl // 06.06.20 21:47
Газпромбанк на днях обновил сво приложение, после чего словил кучу единиц в AppStore и Google Play за попытку принудить к удалению TeamViewer, поскольку с его помощью мошенники могут получить доступ к банковским картам. Выдав при запуске это сообщение, приложение сразу же гордо завершается. Я бы ещ понял наезд на TV Quick Support, там хоть экран посмотреть можно, но TV Remote Control в принципе не позволяет получить доступ к телефону, это исключительно средство доступа к другим устройствам.

Теперь ребята разродились попыткой объяснения с совершенно фантастическим и высосанным из пальца сценарием взлома, при котором вы спокойно сообщаете злоумышленникам id/пароль для доступа к TV на домашнем компьютере. Как справедливо замечают в комментариях, логичным шагом был бы полный запрет прима звонков, ведь можно столько всего выболтать злобным хакерам.

Что забавно, в случае описанного сценария снос TV на телефоне никак не спасает от выбалтывания id/пароля к домашнему компьютеру, так что это лишь лихорадочная попытка одних из лучших специалистов по информационной безопасности на рынке на ходу придумать оправдание. Я сходу могу сочинить и чуть менее смехотворный вариант: попросить зайти через TV на компьютер саппорта, где уже заботливо открыта фишинговая страница. Но и этот сценарий из серии ирландского вируса.

Конечно, с паранойей и заботливым обереганием меня от использования моих денег в ГПБ зашкаливает не далее как в мае мне приходилось проходить квест с разблокировкой карты после перекидывания денег на ВТБшный счт через ВТБшный сервис, когда внезапно потребовалось снять наличные (просто ВТБшный банкомат физически ближе).

Девушка с мучительной настойчивостью (и для себя, думаю, но отойти от скрипта не могла) требовала назвать три последние операции по карте, которой я практически не пользовался, поэтому не мог набрать нужное количество операций с пин-кодом. Это был зарплатный Мир, с которого я обычно сразу скидывал деньги на нормальную Visa в тот момент уже просроченную, но разрешнную к использованию из-за карантина. Но как раз операции перевода на просроченную, пусть и работающую карту уже не засчитывались.

Усугубляло вс то, что даже использовать эту карту для оплаты чего-нибудь из этого гениального приложения (чтоб получить подтверждаемую, пусть и отвергнутую операцию) уже было нельзя, в списке возможных источников средств е уже тупо не было.

Пришлось тащиться к банкомату и в качестве новых подтверждаемых операций запросить там три раза баланс при том, что именно этого похода тогда и хотелось избежать.

Update: Приятно, но ребята сломались и выпустили обновлнную версию, ничего не имеющую против TV.
Источник: vc.ru

400 уязвимостей в процессорах Snapdragon
dl // 08.08.08 08:08
Исследователи из Check Point Research сообщают о найденных 400+ уязвимостях в коде цифрового сигнального процессора (DSP) производства Qualcomm Technologies, позволяющих как превратить использующий его смартфон в идеальное подслушивающее устройство, так и просто вывести его из строя. С учтом того, что процессоры Qualcomm используются в 40% мобильных устройств, уязвимости потенциально затрагивают 3 миллиарда пользователей.
Источник: Check Point 400



Ведущий рассылки:
Дмитрий Леонов, https://facebook.com/dmitry.leonov

В избранное