Daily News Roundup: Mac Exploit aktywuje kamery internetowe bez Twojej zgody

Aplikacja do wideokonferencji Zoom dla komputerów Mac ma poważne wady, które nie zostały usunięte pomimo ujawnień. Podczas odwiedzania złośliwej witryny źli aktorzy mogą aktywować Twoją kamerę bez pozwolenia. Jeśli odinstalowałeś Zoom, złośliwa witryna może ponownie zainstalować się bez Twojej interakcji.

Badacz bezpieczeństwa Jonathan Leitschuh zauważył, że Zoom ma możliwość automatycznego dołączania i rozpoczynania sesji wideo po prostu poprzez odwiedzenie łącza. Zastanawiał się, w jaki sposób firma bezpiecznie dokonała tego wyczynu i zbadała. Szybko przekonał się, że metody Zooma wcale nie były bezpieczne.

Kiedy instalujesz Zoom na Macu, tworzy serwer WWW na twoim komputerze. Serwer WWW sprawia problemy na wielu poziomach. Za pomocą zaledwie kilku opcji firma Leitschuh stworzyła witrynę internetową z weryfikacją koncepcji. Jeśli masz zainstalowany Zoom i odwiedzasz tę stronę, automatycznie dołączysz do rozmowy, a Twoja kamera internetowa zostanie aktywowana bez żadnej interakcji z Twojej strony — nawet jeśli zamknąłeś Zoom przed kliknięciem łącza.

Co gorsza, odinstalowanie Zoom nie powoduje usunięcia serwera WWW. Serwer sieciowy może również samodzielnie ponownie zainstalować Zoom. Jeśli więc odwiedzisz złośliwe łącze, może ono ponownie zainstalować Zoom, dołączyć do rozmowy i uruchomić kamerę internetową, a wszystko to bez Twojej interakcji.

Możesz to przetestować, korzystając z weryfikacji koncepcji Leitschuh, ale jeśli masz zainstalowany Zoom, kamera uruchomi się i dołączysz do rozmowy z innymi osobami testującymi witrynę. Leitschuh powiadomił Zooma o swoich odkryciach wraz z 90-dniowym okresem karencji na ujawnienie. Niestety firma nie zrobiła wiele, aby rozwiązać problem.

Początkowo firma odrzuciła całość w ramach obsługiwanych funkcji. Zoom ostatecznie wdrożył łagodną poprawkę, która uniemożliwia włączenie kamery, ale złośliwi aktorzy nadal mogą zmusić użytkowników do przyłączenia się do rozmowy i ponownej instalacji Zoom. [Średni]

W innych wiadomościach:

• Microsoft przemyca reklamy do systemu Android: Jeśli masz zainstalowaną aplikację Microsoft na Androida, możesz zobaczyć reklamy innych aplikacji firmy Microsoft. Ale nie w samej aplikacji. Microsoft wstawia sugestie w udostępnianych i otwartych menu Androida. Jeśli udostępnisz zdjęcie znajomemu, możesz zobaczyć OneDrive na liście, nawet jeśli go nie zainstalowałeś. Dotknięcie OneDrive przeniesie Cię do Sklepu Play. Subtelne, ale obrzydliwe. [Policja Androida]
• Firma Apple ogłosiła nową linię MacBooków: Apple wstrząsa światem MacBooków: zniknął model MacBooka i modele MacBook Pro bez paska dotykowego. Ale kiedy odchodzą, na pierwszy plan wysuwa się tańszy MacBook Air z ulepszonym ekranem. Uważamy, że to najrozsądniejszy skład od lat. Uważamy również, że i tak powinieneś poczekać z zakupem MacBooka, ze względu na ciągłe problemy z klawiaturą. [RecenzjaGeek]
• Microsoft wydał ostrzeżenie o trudnym do wykrycia złośliwym oprogramowaniu: Microsoft odkrył kampanię złośliwego oprogramowania o nazwie Astaroth, wykorzystującą niezwykle zaawansowane techniki do unikania wykrycia. Astaroth polega na narzędziach systemowych, takich jak narzędzie wiersza poleceń Instrumentacji zarządzania Windows (WMIC), aby wykonać całą swoją pracę, maskując ją jako aktywność systemową (technika Living in the Land). I nigdy nie zapisuje plików, zamiast tego wykonuje je całkowicie w pamięci (metoda bezplikowa). Astaroth jest dostarczany za pośrednictwem spamu ze złośliwymi linkami, więc uważaj na to, co klikasz. [Sieć ZD]
• Ponad 1000 aplikacji na Androida ignoruje Twoje wybory uprawnień, i tak Cię śledzi: analitycy bezpieczeństwa odkryli, że wiele aplikacji na Androida śledzi Cię, nawet jeśli wybierzesz opcje uprawnień, aby temu zapobiec. Większość korzysta z alternatywnych opcji; na przykład Shutterfly pobiera informacje GPS z metadanych zdjęcia. Niektórzy nawet udostępniają dane z jednej aplikacji do drugiej. Android Q powinien rozwiązać problem, ale Android nie jest znany z terminowych aktualizacji. [9 do Google]
• Instagram chce powstrzymać nękanie: Instagram testuje nowe funkcje mające na celu ograniczenie nękania na swojej platformie. Pierwszym z nich jest proces AI, który wykrywa, kiedy piszesz coś pogardzającego i pyta, czy naprawdę chcesz opublikować komentarz. Drugi pozwoli użytkownikom blokować cień komentatorów. Shadowban ukrywa komentarze od wszystkich oprócz autora bez powiadamiania ich. [Instagram]
• Spotify Lite jest mniejszy i ma mniej funkcji: nowa aplikacja Spotify Lite na Androida ma smukły rozmiar 10 MB, co doskonale nadaje się do urządzeń z ograniczoną pamięcią i krajów z wolniejszymi prędkościami internetu. Oczywiście mniejszy rozmiar oznacza mniej funkcji. Ale nadal dostajesz najważniejszą część, muzykę, która tak naprawdę się liczy. Chociaż jest teraz dostępny na 36 rynkach na całym świecie, Stany Zjednoczone nie są jednym z nich. [Engadżet]
  
• Google mówi, że możesz zachować swoje gry Stadia: Google Stadia jest niesamowicie intrygujące. Ale jedno pytanie (ok, wiele pytań) było bardzo ważne: co się stanie, jeśli wydawca gry przestanie wspierać Stadia? Czy przegrywasz grę pomimo wydanych pieniędzy? Google zaktualizowało swoje często zadawane pytania i obiecuje, że zachowasz swoje gry w takim przypadku „z wyjątkiem nieprzewidzianych okoliczności” (ponieważ każda firma chce pokoju do poruszania się). [Skraj]
• Dziwne tweety Microsoftu były tylko reklamą Stranger Things: tweety Microsoftu były ostatnio „dziwne”, zachwalając Windows 1.0 i inne wady. Odniesienia do roku 1985 sprawiły, że był to prawdopodobny dodatek do Stranger Things (audycja rozgrywająca się w 1985 roku), a teraz jest to potwierdzone pakietem motywów i pobraniem aplikacji dla systemu Windows 1.11. Jeśli lubisz brzydkie rzeczy i naprawdę kochasz Painta, pobierz je teraz. [Ars Technica]
• YouTube powraca do FireTV, a Prime Video otrzymuje obsługę Chromecasta: Google usunęło YouTube z FireTV, gdy obie firmy walczyły o reprezentację w swoich sklepach. Firmy obiecały pokój i wygląda na to, że wreszcie się to urzeczywistnia. Teraz znajdziesz YouTube na większości urządzeń FireTV (z wyjątkiem Echo Show). Również od dzisiaj Prime Video otrzyma obsługę Chromecasta. Co za czas by żyć. [GeekWire]

POWIĄZANE: Trzy rzeczy, których Google Stadia potrzebuje, aby podbić branżę gier

Ekrany dotykowe z wirtualnymi przyciskami, które można zmienić w zależności od potrzeb, to fantastyczna technologia, która zmieniła nasz sposób życia. To znaczy, chyba że jesteś ślepy. Ekrany dotykowe to rozwinięta technologia, z której może korzystać każdy, kto nie ma wzroku — przyciskom brakuje wrażeń dotykowych, które są niezbędne do ich odnalezienia i określenia ich użycia.

Badacze chcą rozwiązać ten i inne problemy. Pracują nad elektroniczną skórą, która mogłaby wchodzić w interakcje z ekranami dotykowymi, zapewniając wrażenia dotykowe. Pomyśl o tym jak o wibracjach telefonu komórkowego, ale w mniejszej skali, która daje poczucie, w którym kierunku poruszać palcem lub jak mocno naciskać.

Chodzi o to, aby technologia była wystarczająco cienka, aby można ją było wyczuć palcem, a jednocześnie nadal zawierać obwody, które mogą wchodzić w interakcje z innymi technologiami i tobą. Naukowcy mają nadzieję, że jednodniowa elektroniczna skóra może dodać odczucia i dotyku również protetycznej dłoni. Jest jeszcze długa droga, zanim to się stanie, ale teraz wydaje się to naprawdę możliwe, a nie tylko coś z dziedziny science fiction. To prawdziwy postęp. [Fiz.org]