Daily News Roundup: разработчик криптовалютного кошелька взломал себя, чтобы спасти своих пользователей

Что вы делаете, когда обнаруживаете уязвимость, помещенную в ваше приложение, чтобы украсть его у ваших пользователей? Ответ производителя криптовалютного кошелька Komodo: взломайте его приложение и заберите деньги его пользователей раньше хакеров. Это даже сработало.

Komodo — стартап-разработчик, известный своей работой с криптовалютой и созданием криптовалютного кошелька Agama. Этот кошелек зависит от библиотеки JavaScript, поддерживаемой в npm (менеджере пакетов узла), и злоумышленник попытался воспользоваться открытым исходным кодом.

Несколько месяцев назад анонимный участник внес «полезное обновление» в библиотеку, создав новую зависимость. Они подождали, пока это обновление будет включено в приложение Agama, а затем внесли изменения в новую зависимость, чтобы создать бэкдор в приложении.

Сотрудники npm заметили изменения, поняли, что происходит, и связались с Komodo. К сожалению, к этому моменту бэкдор уже был на месте. Простого обновления приложения для его удаления может быть недостаточно; любой, кто не получил обновление до того, как хакер взломал систему, потерял свою криптовалюту.

Так что Komodo применил довольно оригинальный подход, взломав сам себя. Он использовал тот самый бэкдор, который заложил злоумышленник, чтобы украсть криптовалюту на сумму 13 миллионов долларов и переместить ее в место, недоступное хакеру.

Komodo опубликовал блог, чтобы информировать своих пользователей о том, что он сделал, почему он это сделал и как они могут вернуть свои деньги и перевести их обратно в новые, надеюсь, более безопасные кошельки.

Все это, конечно же, является уроком опасностей и сильных сторон, с которыми сталкиваются разработчики при использовании сторонних библиотек и открытого программного обеспечения, которое позволяет любому внести свой вклад.

Злоумышленники могут манипулировать открытым программным обеспечением так, как это невозможно с проприетарным программным обеспечением. Но его также можно более тщательно изучить на наличие уязвимостей. Эти события иллюстрируют обе стороны этой медали.

Однако скажем еще раз: может быть, лучше держаться подальше от криптовалюты. [ЗДНет]

В других новостях:

• Оригинальные саундтреки Final Fantasy теперь можно транслировать бесплатно: неожиданно Square-Enix загрузила почти все оригинальные саундтреки Final Fantasy в Spotify и Apple Music. Это не оркестровки, а то, как песни звучали в играх. К сожалению, большинство названий и песен с вокалом, например Suteki da ne, написаны на японском языке. Но если вы любите Final Fantasy, послушайте их. [Engadget]
• Новый беспилотный летательный аппарат Amazon просто дикий: вчера Amazon продемонстрировал свой беспилотник для доставки, и у него в рукаве есть несколько хитрых трюков. Он не работает как дроны, которые вы можете себе представить, а вместо этого меняет положение для полета и посадки/взлета. Дрон может преодолевать расстояние в 15 миль и нести пятифунтовую посылку, и Amazon заявляет, что начнет доставку в ближайшие месяцы. Куда доставит? Амазонка не ответила. [Технология]
• Google убивает Trips, еще одно приложение, которым вы никогда не пользовались: Google продолжает свою версию Thanos Snap, уничтожая еще один из своих продуктов. На этот раз Trips находится на разделочной доске, приложение, используемое для организации поездок. Компания заявляет, что Google Travel является ее заменой, но, как указывает Ars Technica, это веб-сайт, а не приложение. Что еще хуже, это куча мусора бесконечной рекламы. [Арс Техника]
• iOS 13 предоставляет надлежащий контроллер для приложения Sony Remote Play: нам нравится приложение Sony Remote Play, но его недостатком является сенсорное управление. Можно использовать сторонний геймпад, но это другое дело купить, да и кнопки могут не совпадать. iOS13 решает эту проблему, добавляя поддержку двойного удара PS4, включая приложение Remote Play. Хорошие времена. [MacRumors]
• Удаленный рабочий стол Chrome выходит в Интернет: Удаленный рабочий стол Chrome — это простой способ предоставить удаленный доступ к компьютеру, что полезно, когда вам нужно оказать техническую помощь издалека. Google тестирует Chrome Remote Desktop в Интернете уже более года, но теперь он, похоже, вышел из бета-версии и официально доступен для всех. Очень хорошо. [9to5Google]
• В будущем Alexa станет более разговорчивой: прямо сейчас использование Alexa может немного разочаровывать. Произнесите команду, получите результат, разбудите ее, произнесите новую команду, начните сначала. Вскоре она предложит перейти к соответствующему навыку, используя предыдущую информацию. Ты купил билеты в кино? Она может предложить столик на ужин рядом с театром, и вам не придется снова спрашивать или говорить ей, где находится театр. Довольно крутая штука. [ВенчурБит]
• Cadillac добавляет 70 000 миль совместимого шоссе к SuperCruise: программа помощи водителю Cadillac, названная SuperCruise, использует уникальный подход к вождению без помощи рук. Вы можете держать руки подальше от руля дольше, но только если вы находитесь на предварительно нанесенном на карту шоссе и продолжаете смотреть на дорогу. Камеры наблюдают за вами, чтобы убедиться, что вы обращаете внимание. Cadillac только что расширил свои автомагистрали с лидарной картой на 70 000 миль, что означает, что вы сможете использовать SuperCruise намного чаще, чем раньше. [Цифровые тренды]
• Бета-версия Android Q вызывает загрузку: вам никогда не следует устанавливать бета-версию ОС на свое основное устройство, будь то компьютер, планшет или телефон. Причина этого совета ясно продемонстрирована сегодня, поскольку Google только что приостановил развертывание бета-версии Android Q после того, как узнал, что телефоны Android застревают в цикле загрузки. Видимо, единственным выходом был сброс до заводских настроек. Некрасиво, но это бета. [Грань]

Из хороших научных новостей астрономы наконец-то обнаружили аккреционный диск, который, как давно предполагалось, окружает сверхмассивную черную дыру в центре нашей галактики.

Как и у большинства галактик, в центре нашей галактики находится сверхмассивная черная дыра, обозначенная как Стрелец A*. Насколько сверхмассивный? Представьте себе солнце, а затем умножьте этот размер на четыре миллиона. Это один из тех невероятно больших размеров, которые действительно невозможно полностью понять.

Особенность Sag A* в том, что он довольно тихий. В других галактиках астрономы могут легко заметить наличие горячих дисков вращающихся газов, называемых аккреционными дисками. Когда телепередачи и фильмы показывают черную дыру, эти завихрения, о которых вы склонны думать как о черной дыре, и есть аккреционный диск.

Но, несмотря на то, что она находится так близко к Sag A* (по сравнению с другими сверхмассивными черными дырами), ученые не смогли найти ее аккреционный диск. Как оказалось, вместо того, чтобы пожирать все вокруг, как чудовище, Sag A* питается медленнее, а окружающие его газы холоднее. Из-за этого диск было очень трудно обнаружить.

Очень необычные характеристики центра нашей галактики подчеркивают, как много еще предстоит узнать и открыть, когда дело доходит до природы нашей вселенной. [Новости науки]