Daily News Roundup: programista portfela kryptowalut zhakował się, aby uratować swoich użytkowników

Co robisz, gdy odkryjesz lukę w zabezpieczeniach aplikacji, która ma ukraść użytkowników? Komodo, producent portfeli kryptowalutowych: zhakuj jego aplikację i weź pieniądze użytkowników przed hakerami. To nawet zadziałało.

Komodo to startup deweloperski znany z pracy w kryptowalutach i tworzenia portfela kryptowalut Agama. Ten portfel jest zależny od biblioteki JavaScript utrzymywanej w npm (menedżerze pakietów węzłów), a złośliwy aktor próbował wykorzystać otwarty kod źródłowy.

Kilka miesięcy temu anonimowy kontrybutor dokonał „przydatnej aktualizacji” biblioteki, tworząc nową zależność. Poczekali, aż ta aktualizacja zostanie włączona do aplikacji Agama, a następnie wprowadzili zmianę w nowej zależności, aby utworzyć backdoora w aplikacji.

Pracownicy npm zauważyli zmiany, zorientowali się, co się dzieje i skontaktowali się z Komodo. Niestety w tym momencie backdoor był już na miejscu. Samo zaktualizowanie aplikacji w celu jej usunięcia może nie wystarczyć; każdy, kto nie otrzymał aktualizacji przed włamaniem się hakera, straciłby swoją kryptowalutę.

Więc Komodo zastosował dość nowatorskie podejście, sam się zhakował. Wykorzystał backdoora, który umieścił złośliwy aktor, aby zgarnąć kryptowalutę o wartości 13 milionów dolarów i przenieść ją w miejsce, do którego haker nie mógł dotrzeć.

Komodo opublikowało blog, aby poinformować swoich użytkowników o tym, co zrobił, dlaczego to zrobił i jak mogą odzyskać swoje pieniądze i przenieść je z powrotem do nowych, miejmy nadzieję, bezpieczniejszych portfeli.

Wszystko to jest oczywiście lekcją na temat niebezpieczeństw i mocnych stron, z jakimi spotykają się programiści podczas korzystania z zewnętrznych bibliotek i otwartego oprogramowania, które pozwala każdemu wnieść swój wkład.

Źli aktorzy mogą manipulować otwartym oprogramowaniem w sposób, który nie jest możliwy w przypadku oprogramowania zastrzeżonego. Ale można go również dokładniej zbadać pod kątem luk. Wydarzenia te ilustrują obie strony tej monety.

Powiemy to jednak jeszcze raz: może najlepiej trzymać się z daleka od kryptowaluty. [Sieć ZD]

W innych wiadomościach:

• Oryginalne ścieżki dźwiękowe Final Fantasy można teraz strumieniować za darmo: W zaskakującym posunięciu Square-Enix załadował prawie każdą oryginalną ścieżkę dźwiękową Final Fantasy do Spotify i Apple Music. To nie są orkiestracje, ale to, jak brzmiały piosenki w grach. Niestety większość tytułów i piosenek z wokalami, jak Suteki da ne, jest po japońsku. Ale jeśli kochasz Final Fantasy, posłuchaj ich. [Engadżet]
• Nowy dron dostawczy Amazona jest dziki: Amazon pokazał wczoraj swojego drona dostawczego i ma kilka fajnych sztuczek w rękawie. Nie działa jak drony, które można sobie wyobrazić, a zamiast tego zmienia pozycje do lotu i lądowania/startu. Dron może przebyć 15 mil i przewieźć pięciofuntową paczkę, a Amazon twierdzi, że zacznie dostarczać w nadchodzących miesiącach. Gdzie to dostarczy? Amazon nie odpowiedział. [TechCrunch]
• Google zabija Trips, kolejną aplikację, której nigdy nie używałeś: Google kontynuuje swoją wersję Thanosa Snap, usuwając kolejny ze swoich produktów. Tym razem Trips znajduje się na bloku do krojenia, aplikacji służącej do organizacji wycieczek. Firma twierdzi, że Google Travel jest jej zamiennikiem, ale jak wskazuje Ars Technica, jest to strona internetowa, a nie aplikacja. Co gorsza, to sterta niekończących się reklam. [Ars Technica]
• iOS 13 daje odpowiedni kontroler do aplikacji Sony Remote Play: Podoba nam się aplikacja Sony Remote Play, ale jej wadą jest sterowanie na ekranie dotykowym. Możesz użyć kontrolera innej firmy, ale to kolejna rzecz do kupienia, a przyciski mogą nie pasować. iOS13 rozwiązuje ten problem, dodając obsługę podwójnego wstrząsu PS4, w tym aplikację Remote Play. Dobre czasy. [MacPlotki]
• Pulpit zdalny Chrome trafia do sieci: Pulpit zdalny Chrome to łatwy sposób na zapewnienie zdalnego dostępu do komputera, co jest przydatne, gdy potrzebujesz pomocy technicznej z daleka. Google testuje Pulpit zdalny Chrome w sieci od ponad roku, ale teraz najwyraźniej nie ma wersji beta i jest oficjalnie dostępny dla wszystkich. Bardzo dobrze. [9 do Google]
• Alexa stanie się bardziej konwersacyjna w przyszłości: obecnie korzystanie z Alexy może być nieco frustrujące. Powiedz polecenie, uzyskaj wynik, obudź ją z powrotem, powiedz nowe polecenie, zacznij od nowa. Wkrótce poprosi o przejście do powiązanej umiejętności, korzystając z wcześniejszych informacji. Kupiłeś bilety do kina? Może zasugerować rezerwację na kolację w pobliżu teatru, bez konieczności pytania lub mówienia jej, gdzie ponownie jest teatr. Całkiem fajne rzeczy. [Pokonanie Venture]
• Cadillac dodaje 70 000 mil kompatybilnej autostrady do SuperCruise: program wspomagania kierowcy Cadillaca, zwany SuperCruise, wykorzystuje unikalne podejście do jazdy bez użycia rąk. Możesz dłużej trzymać ręce z dala od kierownicy, ale tylko wtedy, gdy jedziesz wcześniej wytyczoną autostradą i patrzysz na drogę. Kamery obserwują Cię, aby upewnić się, że zwracasz uwagę. Cadillac właśnie rozszerzył swoje autostrady z mapami lidarowymi o 70 000 mil, co oznacza, że ​​będziesz mógł korzystać z SuperCruise o wiele częściej niż wcześniej. [Trendy cyfrowe]
• Android Q beta powoduje bootloopy: nigdy nie należy instalować systemu operacyjnego w wersji beta na swoim podstawowym urządzeniu, niezależnie od tego, czy jest to komputer, tablet czy telefon. Powód tej rady jest wyraźnie pokazany dzisiaj, ponieważ Google właśnie wstrzymał wdrażanie wersji beta Androida Q po tym, jak dowiedział się, że telefony z Androidem utknęły w bootloopie. Podobno jedynym wyjściem było przywrócenie ustawień fabrycznych. Nie ładnie, ale hej, to wersja beta. [Skraj]

W zgrabnych wiadomościach naukowych astronomowie w końcu zauważyli dysk akrecyjny, od dawna teoretycznie mający otaczać supermasywną czarną dziurę w centrum naszej galaktyki.

Jak większość galaktyk, centrum naszej galaktyki to supermasywna czarna dziura oznaczona Sagittarius A*. Jak supermasywny? Wyobraź sobie słońce, a następnie pomnóż ten rozmiar przez cztery miliony. To jeden z tych niewiarygodnie dużych rozmiarów, którego naprawdę nie da się w pełni zrozumieć.

W Sag A* jest dość cicho. W innych galaktykach astronomowie mogą łatwo dostrzec ślady gorących dysków orbitujących gazów, zwanych dyskami akrecyjnymi. Kiedy programy telewizyjne i ruchy pokazują czarną dziurę, ta wirująca rzecz, o której myślisz jako o czarnej dziurze, jest dyskiem akrecyjnym.

Ale pomimo tego, że jest tak blisko Sag A* (w porównaniu do innych supermasywnych czarnych dziur), naukowcy nie mogli znaleźć dysku akrecyjnego. Jak się okazuje, zamiast pożerać wszystko dookoła jak potwór, Sag A* żywi się wolniej, a otaczające go gazy są chłodniejsze. To sprawiało, że dysk był bardzo trudny do wykrycia.

Niezwykłe cechy centrum naszej galaktyki podkreślają, jak wiele jeszcze można się nauczyć i odkryć, jeśli chodzi o naturę naszego wszechświata. [Wiadomości naukowe]