Raccolta di notizie quotidiane: Mac Exploit attiva le webcam senza la tua autorizzazione

L'app di videoconferenza Zoom per Mac presenta gravi difetti non affrontati nonostante le rivelazioni. Quando si visita un sito Web dannoso, i malintenzionati possono attivare la videocamera senza autorizzazione. Se hai disinstallato Zoom, il sito dannoso può essere reinstallato senza la tua interazione.

Il ricercatore di sicurezza Jonathan Leitschuh ha notato che Zoom ha la capacità di partecipare automaticamente e avviare una sessione video semplicemente visitando un collegamento. Si chiese come l'azienda avesse portato a termine l'impresa in modo sicuro e indagò. Ha subito scoperto che i metodi di Zoom non erano affatto sicuri.

Quando installi Zoom su un Mac, crea un server web sul tuo computer. Il server web è problematico su più livelli. Con poche opzioni, Leitschuh ha creato un sito web proof of concept. Se hai installato Zoom e visiti quel sito Web, verrai automaticamente collegato a una chiamata e la tua webcam verrà attivata senza alcuna interazione da parte tua, anche se hai chiuso Zoom prima di fare clic sul collegamento.

Peggio ancora, la disinstallazione di Zoom non rimuove il server web. Anche il server web può reinstallare Zoom da solo. Quindi, se visiti un collegamento dannoso, può reinstallare Zoom, partecipare a una chiamata e avviare la tua webcam, il tutto senza alcuna interazione da parte tua.

Puoi testarlo con il proof of concept di Leitschuh, ma tieni presente che se hai installato Zoom, la tua videocamera si avvierà e ti ritroverai unito a una chiamata con altre persone che stanno testando il sito. Leitschuh ha notificato a Zoom le sue scoperte insieme a un periodo di grazia per la divulgazione di 90 giorni. Sfortunatamente, l'azienda non ha fatto molto per risolvere il problema.

Inizialmente, l'azienda ha spazzato via il tutto come parte delle funzionalità che supporta. Zoom alla fine ha implementato una soluzione lieve che impedisce l'accensione della fotocamera, ma gli attori malintenzionati possono comunque costringere gli utenti a partecipare a una chiamata e reinstallare Zoom. [Medio]

In altre notizie:

• Microsoft sta introducendo annunci di nascosto in Android: se hai installato un'app Microsoft Android, potresti visualizzare annunci per altre app Microsoft. Ma non all'interno dell'app stessa. Microsoft sta inserendo suggerimenti nei menu di condivisione e apertura di Android. Se condividi una foto con un amico, potresti vedere OneDrive elencato, anche se non l'hai installato. Toccando OneDrive si accede al Play Store. Sottile ma grossolano. [Polizia Android]
• Apple ha annunciato una nuova linea di MacBook: Apple sta scuotendo le cose nel mondo dei MacBook: sono spariti il ​​modello MacBook e i modelli MacBook Pro non Touchbar. Ma mentre se ne vanno, un MacBook Air meno costoso con uno schermo migliorato è al centro della scena. Pensiamo che questa sia la formazione più sensata da anni. Riteniamo inoltre che dovresti comunque aspettare di acquistare un MacBook, a causa dei continui problemi con la tastiera. [Recensione Geek]
• Microsoft ha emesso un avviso sul malware difficile da rilevare: Microsoft ha scoperto una campagna di malware, soprannominata Astaroth, che utilizzava tecniche incredibilmente avanzate per eludere la scoperta. Astaroth si basa su strumenti di sistema, come lo strumento da riga di comando (WMIC) di Strumentazione gestione Windows, per fare tutto il suo lavoro mascherandosi come attività di sistema (una tecnica Living in the Land). E non salva mai i file, ma viene eseguito interamente in memoria (un metodo senza file). Astaroth viene consegnato tramite e-mail di spam con collegamenti dannosi, quindi fai attenzione a cosa fai clic. [ZDNet]
• Oltre 1000 app Android ignorano le tue scelte di autorizzazione, ti rintracciano comunque: i ricercatori della sicurezza hanno scoperto che molte app Android ti seguirebbero anche se scegli le opzioni di autorizzazione per impedirlo. La maggior parte usa opzioni alternative; per esempio, Shutterfly estrae le informazioni GPS dai metadati delle tue foto. Alcuni condividono persino i dati da un'app all'altra. Android Q dovrebbe risolvere il problema, ma Android non è noto per gli aggiornamenti tempestivi. [9to5Google]
• Instagram vuole fermare il bullismo: Instagram sta testando nuove funzionalità progettate per ridurre il bullismo sulla sua piattaforma. Il primo è un processo di intelligenza artificiale che rileva quando stai scrivendo qualcosa di denigratorio e fa domande se vuoi veramente pubblicare il commento. Il secondo consentirà agli utenti di vietare l'ombra ai commentatori. Uno shadowban nasconde i commenti a tutti tranne che al poster senza avvisarli. [Instagram]
• Spotify Lite è più piccolo, con meno funzionalità: la nuova app Lite di Spotify per Android ha una dimensione di appena 10 MB, ideale per dispositivi con spazio di archiviazione limitato e paesi con velocità Internet inferiori. Naturalmente, le dimensioni più piccole significano meno funzionalità. Ma ottieni comunque la parte più importante, la musica, che è davvero tutto ciò che conta. Sebbene sia ora disponibile in 36 mercati in tutto il mondo, gli Stati Uniti non sono uno di questi. [Coinvolgimento]
  
• Google dice che puoi mantenere i tuoi giochi Stadia: Google Stadia è incredibilmente intrigante. Ma una domanda (ok molte domande) incombeva pesantemente: cosa succede se un editore di giochi smette di supportare Stadia? Perdi la partita nonostante i soldi spesi? Google ha aggiornato le sue FAQ e promette che manterrai i tuoi giochi in quell'evento "salvo circostanze impreviste" (perché ogni azienda vuole spazio di manovra). [Il confine]
• Gli strani tweet di Microsoft erano solo una pubblicità di Stranger Things: i tweet di Microsoft sono stati "strani" ultimamente, pubblicizzando Windows 1.0 e altri ritorni al passato. I riferimenti al 1985 lo hanno reso un probabile tie-in di Stranger Things (uno spettacolo ambientato nel 1985), e ora è confermato con un pacchetto di temi e il download dell'app di Windows 1.11. Se ti piacciono le cose brutte e ami davvero Paint, scaricale ora. [Arte Tecnica]
• YouTube torna su FireTV e Prime Video ottiene il supporto per Chromecast: Google ha rimosso YouTube da FireTV mentre le due società litigavano per la rappresentanza nei negozi dell'altra. Le compagnie hanno promesso la pace e sembra che finalmente stia avvenendo. Ora troverai YouTube sulla maggior parte dei dispositivi FireTV (tranne per Echo Show). Inoltre, a partire da oggi, Prime Video riceverà il supporto per Chromecast. Che tempo per essere vivi. [GeekWire]

CORRELATI: Le tre cose di cui Google Stadia ha bisogno per conquistare l'industria dei giochi

I touchscreen, con i loro pulsanti virtuali che si riconfigurano in base alle tue esigenze, sono una fantastica tecnologia che ha trasformato il nostro modo di vivere. Questo a meno che tu non sia cieco. I touchscreen sono una tecnologia ottusa da usare per chiunque non abbia la vista: i pulsanti mancano di sensibilità tattile, necessaria per trovarli e determinarne l'uso.

Le ricerche vogliono risolvere questo e altri problemi. Stanno lavorando su una pelle elettronica che potrebbe interagire con i touchscreen per fornire sensazioni tattili. Pensalo come le vibrazioni del tuo cellulare, ma su una scala più piccola che ti dà un'idea di quale direzione muovere il dito o di quanto sia difficile spingere.

L'idea è di mantenere la tecnologia abbastanza sottile da poterla sentire attraverso il dito, ma incorporare comunque circuiti che possano interagire con altre tecnologie e con te. Gli scienziati sperano che la pelle elettronica di un giorno possa aggiungere la sensazione di sensazione e tatto anche a una mano protesica. C'è ancora molta strada da fare prima che ciò accada, ma ora sembra davvero possibile e non solo qualcosa nel regno della fantascienza. Questo è il vero progresso. [Phys.org]