Apple, Microsoft, PayPal, Shopify, Netflix, Tesla, Uber взломали: эксперт проник в более чем 35 технокомпаний

0

Исследователю кибербезопасности Алексу Бирсану удалось проникнуть во внутренние системы более 35 компаний. Среди них Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Большинство компаний в списке имеют более 1000 сотрудников.

Основным элементом атаки стал подход Dependency Confusion, а сама атака представляла собой популярный в последнее время способ проникновения, атакуя не систему желаемой компании, а систему поставщика сервисов для нее. Подобную атаку еще называют атакой на цепь поставок.

Эксперту удалось загрузить вредоносное программное обеспечение в репозитории с открытым исходным кодом, включая PyPI, npm, RubyGems. Из этих репозиториев вредоносный код автоматически распространился на внутреннее программное обеспечение компаний-жертв. При этом не нужна была социальная инженерия или использование троянцев для загрузки вредоносного кода в их системы.

Бирсану удалось создать фальшивые проекты, которые используют одинаковые названия с легальными репозиториями. При этом приложения автоматически подключают такие репозитории без необходимости действий от разработчика. В некоторых случаях, например с пакетами PyPI, система давала более новой версии больший приоритет независимо от ее места размещения.

Интересно, что когда Бирсан в августе 2020 года проводил подготовку ко взлому, он предупредил Apple о возможном векторе атаки. В Apple посчитали, что последствия такой атаки будут небольшими: «Получить бэкдор в рабочем сервисе требует более сложной цепочки событий и является очень особым условием, которое несет дополнительные коннотации».

Бирсан сообщил о своей находке все компании, в которые ему удалось проникнуть. Некоторые выплатили ему вознаграждение, самый большой чек дала Microsoft на сумму $40 000. Apple, Shopify, PayPal заплатили каждая по $30 000. Бирсан говорит, что компании награждали его по максимуму или даже больше, чем позволяли их программы вознаграждения за найденные баги.

Как в Telegram создавать временную электронную почту для одноразовой регистрации

0

Пользователи мессенджера Telegram могут создавать временную электронную почту для одноразовой регистрации в интернет-сервисах. Для этого необходимо воспользоваться соответствующим чат-ботом.

Найдите в мессенджере бот Temp Mail и начните с ним чат. Нажмите кнопку «Новый email», чтобы получить временную электронную почту. Письма будут поступать непосредственно в Telegram. Также можно просматривать почту через веб-интерфейс. Бот позволяет создать до 10 электронных ящиков.

Мобильные сети потребляют до 3% мировой энергии

0

Мощность генераторов и накопителей энергии в телекоммуникационных сетях в этом десятилетии оценивается на уровне 122 ГВт. На мобильную связь приходится 2-3% мирового потребления электроэнергии, подсчитали аналитики компании Guidehouse Insights и сделали прогноз до 2030 года.

Операторы связи все чаще используют технологии распределенного производства энергии из возобновляемых источников и распределенные системы хранения энергии, чтобы снизить потребление энергии и выбросы углерода. Движущими силами выступают такие факторы, как низкий рост доходов, растущие цены на электроэнергию и большие затраты на модернизацию сетей LTE и 5G. Последние, как ожидается, увеличат потребление электроэнергии более чем в три раза.

Цифра в 2-3% мирового потребления энергии делает мобильных операторов одними из самых энергоемких компаний. Поскольку более 90% текущих расходов расходуется на энергию, заинтересованность операторов в энергосберегающих технологиях растет.

Аналитики ожидают, что операторы телекоммуникационных сетей в период с 2021 по 2030 год установят средства распределенной генерации и распределенного накопления энергии совокупной мощностью 121,9 ГВт.

Кстати, в прошлом году создали уникальный двигатель, открывающий сотовой связи путь в отдаленные районы. В нем нет масла и есть лишь одна подвижная деталь. Он значительно эффективнее любого традиционного двигателя.

Windows 10 облегчит борьбу против шпионажа через веб-камеру

0

Microsoft тестирует функцию, которая должна повысить защиту против несанкционированного использования веб-камеры приложениями в Windows 10. В интерфейсе ОС появится иконка, которая будет информировать о статусе веб-камеры, а также позволит посмотреть, какая программа активировала камеру.

Новую функцию первой может получить специальная модификация ОС Windows 10x, которая является попыткой сделать компьютер похожим на смартфон. Впоследствии эту функцию могут адаптировать к полноценной версии Windows 10, однако сроки этого пока не известны. По слухам, она может появиться в полноценной версии Windows 10 в обновлении под кодовым названием Sun Valley, которое выйдет осенью 2021 года.

Обнаружить приложения, обращающиеся к веб-камере, можно будет, наведя курсор на небольшую пиктограмму с изображением видеокамеры. Эта иконка расположится либо на панели задач, либо в области уведомлений. Информация о подключенных к камере приложениях появится во всплывающей подсказке.

Аналогичная функция, позволяющая держать под контролем доступ к микрофону, уже внедрена в Windows 10X.

У некоторых ноутбуков есть встроенный светодиодный индикатор активности веб-камеры. Однако он не связан напрямую с веб-камерой. Включение этого светодиода происходит через драйвер веб-камеры, поэтому злоумышленники могут включать камеру без вспышки светодиода. О подобном случае в 2016 году сообщала Avast: тогда злоумышленник получил доступ к веб-камерам пользователей и транслировал картинку в интернет.

Кстати, известные люди часто прибегают к примитивному, но наиболее действенному способу борьбы со шпионажем через веб-камеру, а именно – физически ее закрывают. Например, Марк Цукерберг заклеивает камеру своего Macbook липкой лентой.

Для смартфонов разработали режим пьяного использования

0

Под действием алкоголя люди могут делать то, о чем потом сожалеют, и наличие под рукой смартфона с контактами бывшего любимого человека, руководителя по работе и соцсетями повышает такой риск. Чтобы выпивать без проблем, китайский производитель смартфонов Gree Electronics предложил режим пьяного использования.

Согласно полученному патенту, режим пьяного использования блокирует доступ к популярным приложениям. Их перечень устанавливает сам пользователь. Он также должен придумать правила проверки, которые позволят смартфону понять, что владелец трезв.

После активации пьяного режима пользователь получает упрощенный интерфейс, который похож на упрощенные режимы в телефонах Huawei, Samsung, Xiaomi. В нем доступны лишь базовые функции.

Приложение Android с рейтингом 4 + и 10 млн пользователей оказалось вредоносным

0

Приложение Barcode Scanner продемонстрировало, что в магазине Google Play Store стоит быть осторожным даже с приложениями, имеющими хорошую репутацию. Этот сканер штрих-кодов имел рейтинг 4+, свыше 73 тысячи отзывов и 10 млн инсталляций, однако в нем оказался встроенный троянец. Об инфицированности этого популярного приложения сообщили специалисты антивирусной лаборатории Malwarebytes.

Программу Barcode Scanner создали в студии Lavabird Ltd, и она является бесплатным сканером штрих-кодов и QR-кодов. Хотя бесплатные программы часто зарабатывают деньги показом рекламы, но случай Barcode Scanner другой.

В свежем апдейте программы специалисты нашли троянца Android/Trojan.HiddenAds.AdQR. Вредоносный код был сильно изменен, чтобы избежать обнаружения.

Пользователи инфицированной версии Barcode Scanner сталкивались с тем, что у них запускался браузер, в котором открывались различные веб-сайты и появлялись всплывающие окна с предложениями установить вредоносные приложения.

Google уже удалил зараженное приложение из магазина Google Play. Поскольку с названием Barcode Scanner доступно много сканеров штрих-кодов, специалисты рекомендуют проверить наличие пакета com.qrcodescanner.barcodescanner. Если программа с таким названием пакета установлена в смартфоне, ее стоит удалить.

Узнать названия пакетов установленных в смартфоне приложений можно с помощью утилиты App Inspector.

Google Play недавно был признан крупнейшим источником вирусов для Android. Эксперты сравнивали Google Play с инсталляцией из других источников альтернативных маркетов (подборка альтернативных магазинов для Android и iOS), веб-загрузки, восстановление из бекапов и прочее.

Частично повысить защиту своего смартфона можно с помощью антивируса. Но к его выбору нужно подходить очень тщательно, так как почти 60% антивирусов для Android является мусором. Из проверенных 250 антивирусов лишь 80 могли распознать хотя бы минимальное количество вирусов. И менее чем 10% антивирусов защитили от всех вредоносных программ в тестовом наборе.

Всего в Google Play полно вирусов, и в 2019 году эксперты сообщали об одном из крупнейших открытий. Тогда нашли 175 приложений с более 335 млн загрузок. Это при том, что несколькими месяцами ранее Google удалил 205 вредоносных приложений из Google Play, а за 2018 год поисковый гигант удалил более 700 тысяч вредоносных приложений из своего магазина.

Украинцы потребляют втрое больше трафика с акцией «YouTube без перерывов»

0

Vodafone проанализировал пользовательские привычки клиентов, которые воспользовались акцией «YouTube без перерывов». С июня 2020 года Vodafone проводит масштабную акцию совместно с известным видеосервисом в Украине и мире – платформой YouTube. Акция предусматривает бесплатную подписку YouTube Premium» на 4 месяца и бесплатное использование трафика с последующим платным продлением или возможностью возврата к стандартным условиям просмотра видео.

Учитывая глобальную популярность платформы YouTube и тренд роста потребления видеоконтента, связанные с изменениями образа жизни большинства людей, украинские потребители склонны к использованию больших объемов интернет-трафика.

Акция, которая позволяет абонентам Vodafone пользоваться YouTube без ограничений, подтверждает этот тренд: абоненты с подключенной акцией потребляют в среднем в месяц в 3 раза больше трафика, чем другие абоненты Vodafone. Количество уникальных пользователей YouTube в месяц среди абонентов Vodafone увеличилось на 3% за период с июня по ноябрь 2020 года.

Акция стала настолько популярной среди пользователей сервиса, что по состоянию на конец 2020 года количество тех, кто воспользовался акцией, превысило прогнозируемое количество активаций на 10%.

YouTube Premium – это платная подписка, которая стала доступна с 2018 года и сейчас насчитывает более 30 миллионов пользователей по всему миру. С YouTube Premium пользование YouTube становится еще более удобным:

— видео без рекламы;

— видео не останавливается при блокировке экрана или пользовании другими приложениями;

— возможность скачивания видео и просмотра без доступа к интернету;

— предусмотрен доступ к музыкальному стриминговому сервису YouTube Music Premium.

Подписка YouTube Premium будет действовать на всех устройствах, на которых доступен сервис YouTube, при условии, что вход будет осуществлен из учетной записи, на которой активирована подписка. Пользоваться YouTube Premium можно на смарфоне, планшете, телевизоре или через браузер.

Чтобы принять участие в акции, клиентам Vodafone нужно ввести комбинацию *313# и ожидать SMS с дальнейшими шагами.

Новым клиентам компании надо купить стартовый пакет Vodafone и активировать SIM-карту. Пользователям устройств на базе Android надо ввести комбинацию *313# (можно сразу после активации SIM-карты) и ожидать SMS с дальнейшими шагами. Пользователям устройств на базе iOS нужно ввести комбинацию *313#, желательно через 24 часа после активации SIM-карты, и ожидать SMS с дальнейшими шагами.

Как в браузере Microsoft Edge синхронизировать вкладки между устройствами

0

Microsoft запустила в своем браузере Edge Chromium функцию синхронизации открытых вкладок между устройствами. Также синхронизируется история просмотра. Опция работает на гаджетах с операционными системами Windows 10, macOS, Android, iOS.

На устройствах, которые должны синхронизировать между собой данные браузера, должен использоваться один и тот же аккаунт Microsoft. Опция синхронизации также должна быть активирована на каждом девайсе.

В Edge Chromium на Windows 10 или macOS тапните кнопку с тремя точками для открытия дополнительного меню. Перейдите в раздел настроек и откройте «Профили». Активируйте опцию синхронизации и выберите данные для синхронизации – историю просмотров и открытые вкладки.

На мобильных гаджетах с Android и iOS также в Edge Chromium нажмите кнопку дополнительного меню в виде трех точек в нижней части экрана. Зайдите в раздел настроек и прокрутите его, пока не увидите имя используемого аккаунта. Тапните на него, включите синхронизацию и выберите тип данных для синхронизации.

Камеры смартфонов могут перестать выпирать из корпуса благодаря линзе Metalenz

0

Многим пользователям не нравится, что их смартфоны не удается положить на стол ровно. Девайсы шатаются из-за того, что их камера выступает за корпус. Это не прихоть вендоров, а физические ограничения используемых линз. Однако уже в конце этого года в смартфонах начнут устанавливать новый тип линз Metalenz, который позволит уравнять камеры с поверхностью корпуса.

Объективы камер смартфонов используют традиционные линзы, которые представляют собой выпуклые и впуклые полусферы. Линза Metalenz использует новую технологию под названием оптические метаповерхности. Это позволяет сделать такую линзу плоской без ухудшения качества изображения по сравнению с традиционной конструкцией.

В объективе современной смартфонной камеры содержится несколько линз традиционной конструкции. Например, у iPhone 12 Pro объектив насчитывает семь линз. Это позволяет уменьшать недостатки преломления света каждой линзой и повышает общее качество изображения. Однако за это приходится расплачиваться большими габаритами объектива.

«Оптика в смартфонах сегодня состоит из четырех-семи линз, – говорит менеджер разработчика оптики Zeiss Оливер Шниделбек. – Если у вас только один элемент, по законам физики, будут искажения».

Metalenz использует единую стеклянную линзу размером от 1×1 до 3×3 мм. На ее поверхности нанесены нанокоструктуры, которые выполняют преломление света. Финальная разработка этой технологии началась в 2017 году после десятилетия исследований.

Свет проходит через эти наноструктуры, которые выглядят как миллионы кругов с разными диаметрами. Именно это позволяет достигать необходимого преломления света. При этом изображение получается таким же четким, как и в обычном многолинзовом объективе, а также уменьшаются распространенные в типичных объективах искажения.

Разработчики Metalenz говорят, что эта линза позволяет не только уменьшить объектив. Она также способна пропускать больше света к фотосенсора, еще больше повышая качество изображения.

В Metalenz планируют начало массового производства на конец нынешнего года. Первое использование линзы должно произойти в модуле 3D-сенсора для смартфона.

Банковские транзакции и общение в мессенджерах перестали быть секретом: квантовые технологии позволили взломать шифрование

0

Швейцарская компания Terra Quantum AG смогла взломать один из столпов современного мира-шифрование. Ее специалисты убеждены, что нашли уязвимость, которая позволяет получить доступ к конфиденциальной информации, защищенной алгоритмами шифрования, взлом которых был не посылаем. Но такая задача оказалась приемлемой для квантовых компьютеров.

О теоретической возможности того, что квантовые компьютеры позволят обходить шифрование, ученые говорят уже много лет. Эксперты предупреждали, что от появления доступных квантовых компьютеров больше всего пострадает инфраструктура с публичным ключом, которая сегодня используется для установки защищенных каналов коммуникации в онлайне.

В Terra Quantum AG работает около 80 квантовых физиков, криптографов и математиков. В компании говорят, что их открытие меняет понятие того, что считалось несокрушимым шифрованием. «То, что сейчас считается пост-квантовой безопасностью, не является таковой, — говорит директор компании Маркус Флич. — Мы можем показать и доказали, что это можно сломать».

Специалисты Terra Quantum AG нашли уязвимости симметричной криптографии, к которой относится, например, популярный стандарт шифрования Advanced Encryption Standard (AES). Например, мессенджер Telegram использует симметричное 256-битное шифрование AES. Этот стандарт шифрования также привлекли мессенджеры Signal и Viber.

AES смогли взломать его с помощью метода квантовой нормализации. За несколько лет, говорят в компании, можно будет взламывать даже самые устойчивые версии AES.

Однако другие эксперты считают, что пока еще рано для таких громких заявлений и стоит подождать пока компания опубликует полные детали своего открытия. «Если это правда, это будет большой результат, — говорит криптограф Университета Техаса Брент Уотерс. — Экспертам трудно поверить во что-то когда нет публикации об этом».

Спикер IBM Кристофер Сціацца сказал, что компания осознавала об распада такого риска уже 20 лет работает над собственными технологиями пост-квантовой безопасности. «Вот почему институт National Institute of Science & Technology (NIST) проводит конкурс на разработку нового квантового стандарта криптографии, — рассказал он. — IBM имеет несколько предложений для этого стандарта, который может выйти в ближайшие годы».

Инженер Microsoft Брайан ЛаМаччіа говорит, что многие криптографов объединяются в глобальное сообщество для подготовки пользователей и дата-центров до квантового будущего. «Подготовка к безопасности в пост-квантовом мире важна не только для защиты данных в будущем, но и для обеспечения того, что будущие квантовые компьютеры не будут угрожать безопасности сегодняшней информации», — говорит он.

Между тем, в Terra Quantum разработали протокол шифрования, который, по их словам, квантовые компьютеры не могут взломать. Его ключевым элементом является метод распределения квантовых ключей. Компания в настоящее время планирует получить патент и разрешить его свободное использование.