Обзор ежедневных новостей: эксплойт для Mac активирует веб-камеры без вашего разрешения

Приложение для видеоконференций Zoom для Mac имеет серьезные недостатки, которые остались неустраненными, несмотря на раскрытие информации. При посещении вредоносного веб-сайта злоумышленники могут без разрешения активировать вашу камеру. Если вы удалили Zoom, вредоносный сайт может переустановиться без вашего участия.

Исследователь безопасности Джонатан Лейтшу заметил, что у Zoom есть возможность автоматически присоединяться и начинать видеосеанс, просто перейдя по ссылке. Он задавался вопросом, как компания безопасно совершила подвиг, и начал расследование. Он быстро обнаружил, что методы Zoom совсем не безопасны.

Когда вы устанавливаете Zoom на Mac, он создает веб-сервер на вашем компьютере. Веб-сервер проблематичен на нескольких уровнях. Имея всего несколько вариантов, Leitschuh создал веб-сайт для проверки концепции. Если у вас установлен Zoom и вы посещаете этот веб-сайт, вы автоматически присоединитесь к вызову, и ваша веб-камера активируется без какого-либо взаимодействия с вашей стороны, даже если вы закрыли Zoom, прежде чем щелкнуть ссылку.

Что еще хуже, удаление Zoom не удаляет веб-сервер. Веб-сервер также может переустановить Zoom самостоятельно. Поэтому, если вы перейдете по вредоносной ссылке, он может переустановить Zoom, присоединиться к разговору и включить вашу веб-камеру, и все это без вашего участия.

Вы можете проверить это на проверке концепции Leitschuh, но имейте в виду, что если у вас установлен Zoom, ваша камера запустится, и вы обнаружите, что присоединились к звонку с другими людьми, тестирующими сайт. Лейтшу уведомил Zoom о своих выводах вместе с 90-дневным льготным периодом раскрытия информации. К сожалению, компания мало что сделала для решения проблемы.

Первоначально компания отмахнулась от всего этого как от части поддерживаемых функций. В конечном итоге Zoom внедрил мягкое исправление, которое не позволяет камере включаться, но злоумышленники все еще могут заставить пользователей присоединиться к вызову и переустановить Zoom. [Середина]

В других новостях:

• Microsoft внедряет рекламу в Android: если у вас установлено приложение Microsoft для Android, вы можете увидеть рекламу других приложений Microsoft. Но не внутри самого приложения. Microsoft вставляет предложения в меню «Поделиться» и «Открыть» Android. Если вы поделитесь фотографией с другом, вы можете увидеть OneDrive в списке, даже если вы его не устанавливали. Коснувшись OneDrive, вы попадете в Play Store. Тонко, но грубо. [Андроид Полиция]
• Apple анонсировала новую линейку MacBook: Apple встряхивает мир MacBook: модели MacBook и модели MacBook Pro без сенсорной панели исчезли. Но когда они уходят, в центре внимания оказывается менее дорогой MacBook Air с улучшенным экраном. Мы думаем, что это самый разумный состав за последние годы. Мы также считаем, что вам все равно следует подождать с покупкой MacBook из-за постоянных проблем с клавиатурой. [ОбзорGeek]
• Microsoft выпустила предупреждение о труднообнаруживаемом вредоносном ПО: Microsoft обнаружила вредоносную кампанию, получившую название Astaroth, с использованием невероятно передовых методов, позволяющих избежать обнаружения. Astaroth полагается на системные инструменты, такие как инструмент командной строки Windows Management Instrumentation (WMIC), чтобы выполнять всю свою работу, маскируясь под системную активность (метод Living in the Land). И он никогда не сохраняет файлы, вместо этого полностью выполняется в памяти (безфайловый метод). Astaroth доставляется через спам с вредоносными ссылками, поэтому будьте осторожны, что вы нажимаете. [ЗДНет]
• Более 1000 приложений для Android игнорируют ваш выбор разрешений и все равно отслеживают вас: исследователи безопасности обнаружили, что многие приложения для Android будут отслеживать вас, даже если вы выберете параметры разрешений, чтобы предотвратить это. Большинство используют альтернативные варианты; например, Shutterfly извлекает информацию GPS из метаданных вашей фотографии. Некоторые даже обмениваются данными из одного приложения в другое. Android Q должен решить проблему, но Android не славится своевременными обновлениями. [9to5Google]
• Instagram хочет остановить издевательства: Instagram тестирует новые функции, призванные ограничить издевательства на своей платформе. Первый — это процесс ИИ, который определяет, когда вы пишете что-то пренебрежительное, и спрашивает, действительно ли вы хотите опубликовать комментарий. Второй позволит пользователям теневой бан комментаторов. Теневой бан скрывает комментарии от всех, кроме автора, не уведомляя их. [Инстаграм]
• Spotify Lite меньше, с меньшим количеством функций: новое приложение Spotify Lite для Android имеет размер 10 МБ, что отлично подходит для устройств с ограниченным объемом памяти и стран с более низкой скоростью интернета. Конечно, меньший размер означает меньше функций. Но вы по-прежнему получаете самую важную часть, музыку, которая действительно имеет значение. Хотя сейчас он доступен на 36 рынках по всему миру, США не входят в их число. [Engadget]
  
• Google говорит, что вы можете сохранить свои игры Stadia: Google Stadia невероятно интригует. Но один вопрос (хорошо, много вопросов) сильно вырисовывался: что произойдет, если издатель игры перестанет поддерживать Stadia? Вы проигрываете игру, несмотря на потраченные деньги? Google обновил свой FAQ и обещает, что вы сохраните свои игры в этом случае «за исключением непредвиденных обстоятельств» (потому что каждой компании нужно пространство для маневра). [Грань]
• Странные твиты Microsoft были просто рекламой Stranger Things: твиты Microsoft в последнее время были «странными», рекламируя Windows 1.0 и другие возвраты. Ссылки на 1985 год сделали его вероятным дополнением к «Очень странным делам» (шоу, действие которого происходит в 1985 году), и теперь это подтверждается пакетом тем и загрузкой приложения для Windows 1.11. Если вам нравятся уродливые вещи и вы действительно любите Paint, загрузите их прямо сейчас. [Арс Техника]
• YouTube возвращается к FireTV, а Prime Video получает поддержку Chromecast: Google удалила YouTube из FireTV, поскольку две компании боролись за представительство в магазинах друг друга. Компании обещали мир, и, кажется, это наконец сбывается. Теперь вы найдете YouTube на большинстве устройств FireTV (за исключением Echo Show). Также с сегодняшнего дня Prime Video получит поддержку Chromecast. Какое время быть живым. [GeekWire]

СВЯЗАННЫЕ С: Три вещи, которые нужны Google Stadia для завоевания игровой индустрии

Сенсорные экраны с их виртуальными кнопками, которые настраиваются в соответствии с вашими потребностями, — это фантастическая технология, изменившая наш образ жизни. Это если ты не слепой. Сенсорные экраны — бестолковая технология для тех, у кого нет зрения — у кнопок нет тактильных ощущений, которые необходимы, чтобы найти их и определить их использование.

Исследователи хотят решить эту и другие проблемы. Они работают над электронной кожей, которая могла бы взаимодействовать с сенсорными экранами для обеспечения тактильных ощущений. Думайте об этом как о вибрациях вашего мобильного телефона, но в меньшем масштабе, который дает вам представление о том, в каком направлении двигать пальцем или как сильно нажимать.

Идея состоит в том, чтобы сделать технологию достаточно тонкой, чтобы вы могли прощупать ее пальцем, но при этом встроить схемы, которые могут взаимодействовать с другими технологиями и с вами. Ученые надеются, что однажды созданная электронная кожа сможет добавить ощущение ощущения и прикосновения к протезу руки. До этого еще далеко, но теперь это действительно кажется возможным, а не чем-то из области научной фантастики. Это настоящий прогресс. [Физ.орг]