На прошлой неделе компании Nintendo, The Pokemon Company и Niantic представили многопользовательскую игру Pokemon GO, которая немедленно стала одним из главных хитов этого лета на iOS и Android. Но успех Pokemon GO привлек к пользователям внимание преступников. Злоумышленники не только маскируют вредоносное ПО под приложение игры, но и нападают на игроков в реальности, так как игра с дополненной реальностью подразумевает, что игрок активно перемещается по городу.
Семеро исследователей из университетов Калифорнии, Беркли и Джорджтауна представили атаку, при помощи которой в обыкновенный видеоролик можно встроить скрытые голосовые команды, способные нанести вред ближайшим гаджетам.
Хотя WhatsApp, который принадлежит компании Facebook с 2014 года, обзавелся сквозным шифрованием всех сообщений еще три месяца тому назад, собственный мессенджер социальной сети такой функции не имел. Теперь компания сообщила, что «секретные чаты», работающие на базе протокола Signal, созданного компанией Open Whisper Systems, вскоре появятся и в Facebook Messenger.
Исследователь из Vulnerability Labs, Бенджамин Кунц Менджри (Benjamin Kunz Mejri) обнаружил две опасных уязвимости на портале ConnectedDrive, принадлежащем BMW. ConnectedDrive —это имя информационно-развлекательной системы автопроизводителя, которая может использоваться как в самих авто, так и различными мобильными устройствами, на которых установлено соответственное приложение. Менджри рассказал, что проблемы до сих пор не исправлены, BMW тщетно пытается устранить баги уже пять месяцев.
Специалисты Cisco обнародовали исследование, в котором доказывают — прослушка зашифрованного трафика тоже имеет смысл. Эксперты пришли в выводу, что для обнаружения различной малвари в протоколе TLS (Transport Layer Securit) трафик вообще не нужно расшифровывать, он и так содержит достаточное количество характерных признаков.
Июньская история про уязвимость в беспроводной камере D-Link получила развитие. Производитель подтвердил, что идентичная дыра присутствует в прошивках 120 с лишним моделей камер, маршрутизаторов и других выпускаемых им устройств. При этом сотни тысяч потенциально уязвимых устройств D-Link подключены к интернету и ничем не защищены от атак.
Специалисты Risk Based Security представили исследование, согласно которому разработчики Redis совершенно напрасно не уделяли внимание безопасности своего детища. Исследователям удалось обнаружить 6338 скомпрометированных серверов Redis, из-за чего под угрозой оказались более 30 000 баз данных.
В США был вынесен приговор Сергею Полякову — организатору преступной группы, которая похищала данные пользователей билетного сервиса StubHub. Хакера ждёт тюремное заключение сроком до двенадцати лет, но адвокаты надеются, что за хорошее поведение и занятия физкультурой его освободят гораздо быстрее.
Появилась новая информация о 0-day уязвимости, которую недавно обнаружил в UEFI независимый исследователь Дмитрий Олексюк. Ранее сообщалось, что баг представляет опасность для ноутбуков Lenovo и HP, но теперь список пострадавших пополнился именем еще одного производителя — Gigabyte.