Тот умный момент, когда ты написал пророческий дайджест. Последний выпуск речь шла о о рисках безопасности в Android, в частности об уязвимостях Man-in-the-disk, а также о неспортивном (все за деньги) поведении компании Epic Games, которая отказалась разместить игру Fortnite в магазине Google Play. 25 августа пасьянс совпал: Google со своим магазином, Epic Games со своей бета-версией Fortnite и даже уязвимость man-in-the-disk вступили в интимную связь, породив скандал среднего масштаба.
Изначально речь шла о том, что технически неподкованные игроки Fortnite, не найдя версию Android в официальном Google Play Store, пойдут искать ее где-нибудь еще и установят на свой смартфон не то.
Если вы сейчас зайдете в магазин приложений со своего смартфона и будете искать там Fortnite, Google даже покажет вам специальное сообщение, как на картинке выше, чтобы вы не устанавливали приложения-клоны из магазина.
Но, как оказалось, уязвим сам установщик Fortnite — не совсем ужасный сценарий, но все же.
Уязвимость была обнаружена 15 августа компанией Google, технические подробности были опубликованы ими.
Проблема идентична той, которую обнаружил Check Point (и которая более подробно описана в дайджест номер 31 ).
Применительно к Fortnite это получается так: пользователь скачивает с сайта установщик, единственная задача которого — найти и установить саму игру.
Установщик скачивает и сохраняет файл игры на внешнюю память.
Любое приложение, которое также имеет доступ к внешней памяти, может заменить этот файл.
После этого установщик приступит к установке игры, не подозревая, что запускает что-то не так: подлинность скачанного файла не проверена.
Более того, можно сделать так, чтобы фейковый Fortnite автоматически, без уведомления пользователя, получил доступ к личным данным.
Когда приложение использует определенную версию SDK, телефон даже не запрашивает у пользователя разрешение (которое в любом случае в большинстве случаев одобряется по умолчанию).
Решение проблемы простое: нужно сохранить установщики во внутреннюю память, где доступ к файлам имеет только приложение, их создавшее.
Что, собственно, и сделала Epic Games, устранив уязвимость в течение двух дней.
Исследователи Google уведомили разработчика 15 августа, проблема была решена 17 числа.
Семь дней спустя, 24 числа (вечером пятницы), в полном соответствии с правилами раскрытия уязвимостей Google, информация была обнародована.
Суть скандала проста: произошел конфликт интересов на стороне Google. Компания забирает 30% от любых продаж приложений, размещенных в Google Play. Epic Games не планирует выпускать Fortnite в официальном магазине, чтобы не платить этот сбор.
Игра уже популярна – она не требует дополнительной рекламы, предоставляемой самой платформой Google. Разумеется, разработчик игры объяснил это решение не денежным вопросом, а «желанием развивать альтернативные каналы распространения» или чем-то подобным.
Хотя на сайте Epic Games Android-версия игры представлена как бета-версия, в магазине приложений Samsung она доступна именно так и рекламируется сразу двумя рекламными баннерами, на всякий случай.
В переписке с Google представители Epic Games сообщают, что проблема решена, но просят не публиковать информацию об уязвимости до истечения стандартных девяноста дней для ответственного раскрытия информации.
Google отказывается: если исправление есть и оно доступно широкой публике, то скрывать его нет смысла.
В ответ генеральный директор Epic Games прокомментировал Mashable обвиняет Google безответственен.
Кто прав? Google не нарушила собственные правила работы с опасной информацией об уязвимостях.
В комментариях к баг-трекеру справедливо отмечают, что если бы приложение распространялось через Google Play, проблем бы не было — не нужно было бы возиться с «установщиком установщика».
С другой стороны, Google должен был быть в курсе конфликтной ситуации, а кто доставляет другим компаниям проблемы, публикуя информацию в пятницу в семь вечера? Так ли опасна сама уязвимость? Получается, что у пользователя уже должно быть на смартфоне приложение, имеющее плохие намерения — украсть личные данные через дырявый код Fortnite. Опыт подсказывает, что в информационной безопасности не бывает неважных мелочей.
В любой другой ситуации это был бы обычный обмен информацией: мы нашли проблему, вы ее устранили, все в порядке.
Здесь дискуссия вокруг рутинной уязвимости сразу приобрела политизированный характер.
Эта история, скорее, об отсутствии доверия.
В следующий раз, когда кто-то обнаружит уязвимость в программном обеспечении, сообщит об этом производителю, а производитель намеренно задержит ответы, запросит дополнительную информацию и не признается, что дыра уже давно закрыта.
В такой «здоровой», «дружеской» атмосфере вероятность выстрела в ноги только возрастет. Что еще произошло? «Лаборатория Касперского» расследовала новую кампанию группы Lazarus (той самой, которая якобы атаковала Sony Pictures в 2014 году), и там происходит какое-то сложное действие: впервые атакована система Mac OS X с использованием сложного трояна, доставленного с поддельного сайта поддельной биржи по покупке и продаже поддельных криптовалют. Кратко написано на русском языке Здесь , подробности на английском языке здесь .
OpenSSH закрыл не очень серьезную уязвимость (непреднамеренную утечку имен пользователей), которая присутствовала в коде на протяжении 19 лет, с момента выхода самой первой версии программного комплекса.
В Квалисе требовать , Что закрытие произошло непреднамеренно — проблема обнаружилась не до обновления кода, а после.
В Google подали в суд для отслеживания координат пользователей, когда они этого не хотят, вслед за недавним расследования Ассошиэйтед Пресс.
Выяснилось, что отключение определения местоположения не отключает его полностью.
Дисклеймер: Все очень сложно, и проще не становится.
Будьте осторожны и осторожны.
Теги: #информационная безопасность #Android #уязвимости #бэкдоры #бэкдоры #звенья цепи #звенья цепи #опять скрипит изношенное седло
-
Дэвис, Уильям Моррис
19 Oct, 24 -
Lte В России Стал Медленнее
19 Oct, 24 -
Распараллеливание Длительных Операций
19 Oct, 24 -
Рецепт: Как Сделать Зашифрованную Флешку?
19 Oct, 24
