Resumo de notícias diárias: um desenvolvedor de carteira de criptomoedas se hackeou para salvar seus usuários

O que você faz quando descobre uma vulnerabilidade colocada em seu aplicativo para roubar de seus usuários? A resposta do fabricante de carteiras de criptomoedas Komodo: hackear seu aplicativo e levar o dinheiro de seus usuários antes dos hackers. Até funcionou.

Komodo é uma startup de desenvolvedores conhecida por seu trabalho em criptomoedas e pela criação da carteira de criptomoedas Agama. Essa carteira depende de uma biblioteca JavaScript mantida no npm (gerenciador de pacotes do nó), e um agente malicioso tentou tirar proveito da natureza de código aberto do código.

Há alguns meses, um colaborador anônimo fez uma “atualização útil” na biblioteca, criando uma nova dependência. Eles esperaram até que essa atualização fosse incorporada ao aplicativo Agama e, em seguida, fizeram uma alteração na nova dependência para criar um backdoor no aplicativo.

A equipe da npm percebeu as mudanças, percebeu o que estava acontecendo e entrou em contato com a Komodo. Infelizmente, a essa altura, o backdoor já estava no lugar. Apenas atualizar o aplicativo para removê-lo pode não ser suficiente; qualquer um que não recebesse a atualização antes do hacker invadir perderia sua criptomoeda.

Então a Komodo adotou uma abordagem bastante inovadora, hackeou a si mesma. Ele usou o próprio backdoor que o agente malicioso plantou para varrer 13 milhões de dólares em criptomoeda e movê-lo para um lugar que o hacker não poderia alcançar.

A Komodo publicou um blog para informar seus usuários sobre o que fez, por que fez e como eles podem recuperar seu dinheiro e transferi-lo de volta para novas carteiras, esperançosamente mais seguras.

Tudo isso é, obviamente, uma lição sobre os perigos e pontos fortes que os desenvolvedores encontram ao usar bibliotecas de terceiros e software aberto que permitem que qualquer pessoa contribua.

Os maus atores podem manipular software aberto de maneiras que não são possíveis com software proprietário. Mas também pode ser examinado mais detalhadamente em busca de vulnerabilidades. Esses eventos ilustram os dois lados dessa moeda.

No entanto, diremos mais uma vez: talvez seja melhor ficar longe das criptomoedas. [ZDNet]

Em outras notícias:

• As trilhas sonoras originais de Final Fantasy agora são gratuitas para transmissão: em uma jogada surpresa, a Square-Enix carregou quase todas as trilhas sonoras originais de Final Fantasy para o Spotify e Apple Music. Não são orquestrações, mas como as músicas soaram nos jogos. Infelizmente, a maioria dos títulos e músicas com vocais, como Suteki da ne, são em japonês. Mas se você ama Final Fantasy, ouça. [Engadget]
• O novo drone de entrega da Amazon é selvagem: a Amazon exibiu seu drone de entrega ontem e tem alguns truques legais na manga. Não funciona como os drones que você pode imaginar e, em vez disso, muda as posições para voar e aterrissar / decolar. O drone pode viajar 15 milhas e transportar um pacote de cinco libras, e a Amazon diz que começará a entregar nos próximos meses. Onde vai entregar? A Amazônia não respondeu. [TechCrunch]
• O Google está matando o Trips, outro aplicativo que você nunca usou: o Google continua sua versão do Thanos Snap eliminando outro de seus produtos. Desta vez, o Trips está no chopping block, um aplicativo usado para organização de viagens. A empresa diz que o Google Travel é seu substituto, mas, como aponta Ars Technica, isso é um site, não um aplicativo. Pior ainda, é uma pilha de lixo de anúncios intermináveis. [Ars Technica]
• O iOS 13 fornece um controlador adequado para o aplicativo Sony Remote Play: gostamos do aplicativo Sony Remote Play, mas sua queda são os controles da tela sensível ao toque. Você pode usar um controlador de terceiros, mas isso é outra coisa para comprar, e os botões podem não corresponder. O iOS13 resolve esse problema adicionando suporte a choque duplo no PS4, e isso inclui o aplicativo Remote Play. Bons tempos. [MacRumores]
• A Área de trabalho remota do Chrome chega à web: a Área de trabalho remota do Chrome é uma maneira fácil de fornecer acesso remoto a um computador, o que é útil quando você precisa fornecer ajuda técnica de longe. O Google vem testando a Área de Trabalho Remota do Chrome na Web há mais de um ano, mas agora está aparentemente fora da versão beta e oficialmente disponível para todos. Muito agradável. [9to5Google]
• O Alexa se tornará mais conversacional no futuro: no momento, usar o Alexa pode ser um pouco frustrante. Diga um comando, obtenha um resultado, acorde-a novamente, diga um novo comando, comece de novo. Em breve, ela solicitará que você mude para a habilidade relacionada usando as informações anteriores. Você comprou ingressos para um filme? Ela pode sugerir uma reserva de jantar perto do teatro, sem que você precise perguntar ou dizer a ela onde fica o teatro novamente. Coisas bem legais. [VentureBeat]
• A Cadillac adiciona 70.000 milhas de rodovia compatível ao SuperCruise: o programa de assistência ao motorista da Cadillac, chamado SuperCruise, adota uma abordagem única para a condução sem as mãos. Você pode manter as mãos fora do volante por mais tempo, mas apenas se estiver em uma rodovia pré-mapeada e continuar olhando para a estrada. As câmeras observam você para ter certeza de que está prestando atenção. A Cadillac acabou de expandir suas rodovias mapeadas por lidar em 70.000 milhas, o que significa que você poderá usar o SuperCruise muito mais do que antes. [Tendências Digitais]
• O Android Q beta está causando bootloops: você nunca deve colocar um sistema operacional beta em seu dispositivo principal, seja um computador, tablet ou telefone. A razão para esse conselho é claramente demonstrada hoje, já que o Google acabou de pausar seu lançamento beta do Android Q depois de saber que os telefones Android estavam ficando presos em um bootloop. Aparentemente, a única saída era uma redefinição de fábrica. Não é bonito, mas ei, é um beta. [A Beira]

Em boas notícias científicas, os astrônomos finalmente detectaram um disco de acreção há muito teorizado para cercar o buraco negro supermassivo no centro de nossa galáxia.

Como a maioria das galáxias, o centro da nossa galáxia é um buraco negro supermassivo designado por Sagitário A*. Quão supermassivo? Imagine o sol e multiplique esse tamanho por quatro milhões. É um daqueles tamanhos incrivelmente grandes que é realmente impossível de compreender completamente.

A coisa sobre Sag A* é que é bastante silencioso. Em outras galáxias, os astrônomos podem detectar prontamente evidências de discos quentes de gases em órbita, chamados de disco de acreção. Quando os programas de TV e os movimentos mostram um buraco negro, aquela coisa em espiral que você tende a pensar como o buraco negro é o disco de acreção.

Mas apesar de estar tão perto de Sag A* (em comparação com outros buracos negros supermassivos), os cientistas não conseguiram encontrar seu disco de acreção. Acontece que, em vez de devorar tudo ao seu redor como o monstro que é, Sag A* se alimenta mais lentamente e os gases ao redor são mais frios. Isso tornou o disco muito difícil de detectar.

As características muito incomuns do centro de nossa galáxia enfatizam o quanto ainda há para aprender e descobrir quando se trata da natureza do nosso universo. [Notícias científicas]