В конфликте между ФБР и Apple неожиданно появился третий участник. Он утверждает, что способен без помощи разработчиков iOS извлечь данные из iPhone Сайеда Фарука, одного из участников теракта в калифорнийском городе Сан-Бернардино.
В начале февраля 2016 года неустановленные хакеры проникли в компьютерную систему центробанка Бангладеш и попытались снять 951 миллион долларов. Часть переводов быстро заблокировали, но злоумышленники всё же сумели уйти с 81 миллионом долларов. Представители межбанковской системы SWIFT предупреждают банки о том, что похожее преступление может повториться снова в других странах.
В марте текущего года в Telegram появился бот для скачивания книг из заблокированной библиотеки «Флибуста» (@flibustamirrorbot), что определенно не улучшило репутацию защищенного мессенджера. Однако только «книжным» ботом дело не ограничилось: также в Telergam получил немалую популярность канал «Новый сезон», появившийся в середине февраля и распространяющий эпизоды различных популярных сериалов. Вся эта активность, разумеется, не укрылась от внимания властей, и вот советник президента по интернету Герман Клименко уже пообещал Telegram проблемы из-за нарушения авторских прав, а правообладатели готовы подать в суд.
На прошлой неделе завершился ежегодный конкурс Pwn2Own 2016, проходящий в рамках конференции CanSecWest, в Канаде. Участники состязания заработали более $460 000, сумев взломать Windows, OS X, Flash, Safari, Edge и Chrome, а также обнаружив 21 новую уязвимость.
Инженер компании Google Кристиан Бличманн (Christian Blichmann) официально объявил в блоге о том, что инструмент BinDiff, применяемый для анализа бинарников, отныне стал бесплатным.
Для подписчиковКак найти уязвимости там, где их ещё никто не искал? Попробуй перевести POST-запрос, например, для аутентификации в JSON- или XML-формат. Идея в том, что разработчики часто оставляют различные способы аутентификации, обычно, для дальнейшего использования сторонними приложениями. А так как эта функциональность не на виду, часто она не защищена от банальных инъекций. а если в дело вступает XML - чтение произвольных файлов на сервере практически гарантированно!
Компания Uber пополнила ряды компаний, имеющих собственные программы поощрения исследователей за найденные уязвимости. В Uber планируют проводить специальные трехмесячные сезоны поисков багов, первый из которых стартует 1 мая 2016 года.
Вымогательское ПО – настоящий тренд последнего времени, новые шифровальщики и хитрости в данной области появляются едва ли не каждый день. На этот раз стало известно, что вымогатель Surprise начал применять TeamViewer для заражения своих жертв, а шифрование другого вредоноса — Xorist напротив пало под натиском экспертов.
Уязвимость, о которой разработчики ядра Linux знали ещё два года назад, по-прежнему не исправлена во многих устройствах на базе Android. В результате миллионы мобильных телефонов беззащитны перед атакой, которая позволяет вредоносному коду обойти модель безопасности Android и получить полные администраторские права.