Positive Technologies: число критически опасных уязвимостей веб-приложений в 2018 году выросло в три раза

Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 году. Специалисты Positive Technologies подготовили статистику уязвимостей, обнаруженных в ходе проведения работ по тестированию безопасности веб-приложений в 2018 году . Исследование показало, что в среднем на одно веб-приложение приходится 33 уязвимости, шесть из которых имеют высокий уровень риска.…

Уязвимости в смарт-наушниках Outdoor Tech CHIPS превращают гаджет в шпионское устройство

Уязвимости позволяют получать персональную информацию, подслушивать разговоры и следить за местоположением пользователей. Исследователь безопасности Алан Мони (Alan Monie) из Pen Test Partners обнаружил уязвимости в смарт-наушниках Outdoor Tech CHIPS, которые можно надевать под горнолыжный шлем. Outdoor Tech CHIPS представляют собой наушники, отлично умещающиеся под шлемом. Кроме того, их можно использовать в качестве рации с малым…

Google отключила Google Photos для Android TV из-за угрозы конфиденциальности

Из-за ошибки в приложении Google Home пользователи могли видеть сотни чужих аккаунтов. Пользователи устройств на базе Android TV привыкли видеть на экране телевизора в режиме ожидания фотографии из своих альбомов в Google Photos. Однако из-за ошибки в приложении Google Home на экране начали отображаться сотни чужих учетных записей. Первым об уязвимости сообщил пользователь Twitter под…

Личные сообщения более 300 млн жителей Китая оказались в открытом доступе

Постоянно обновляющаяся база данных включала 364 млн записей, содержащих персонально идентифицируемую информацию. Специалист в области безопасности Виктор Геверс (Victor Gevers) обнаружил внушительную базу данных с личной перепиской миллионов жителей Китая в популярных мессенджерах, таких как WeChat и QQ. Доступ к базе мог получить любой, кому известен соответствующий IP-адрес. Постоянно обновляющаяся база данных включала 364 млн…

VPN-приложения для Android запрашивают ненужные и «опасные» разрешения

50 из 81 изученного приложения запрашивают минимум одно «опасное» разрешение, связанное с доступом к пользовательским данным. Специалисты портала TheBestVPN.com проанализировали 81 VPN-приложение из каталога Google Play Store и выяснили, что многие из них запрашивают «опасные» разрешения, которые обычно не требуются VPN-приложениям. Для классификации разрешений исследователи использовали определения в документации Google, согласно которой «нормальными» считаются разрешения,…

АНБ задумалось о прекращении программы слежки за гражданами

Агентство нацбезопасности США не использует программу на протяжении шести месяцев. Агентство национальной безопасности (АНБ) США не привлекая внимания отключило программу по перехвату телефонных звонков и SMS-сообщений американских граждан в связи с отсутствием практической ценности. Об этом рассказал помощник по вопросам национальной безопасности лидера республиканского большинства в нижней палате Конгресса Люк Мюррей (Luke Murray). Речь идет…

Новая уязвимость в процессорах Intel раскрывает данные в памяти

Уязвимость существует из-за функции спекулятивного выполнения в процессорах Intel, но не относится к классу Spectre. Команда специалистов Вустерского политехнического института (США) и Университета Любека (Германия) нашли очередной способ эксплуатации спекулятивного выполнения в центральных процессорах Intel для похищения данных из запущенных приложений. Уязвимость можно проэксплуатировать с помощью JavaScript-кода во вкладке браузера или запущенного на атакуемой системе…

89 аккаунтов на GitHub распространяли сотни приложений с бэкдорами

Вредоносные приложения содержали код, загружающий вредонос ПО Supreme NYC Blaze Bot. Специалисты DFIR.it обнаружили на портале GitHub сеть учетных записей, распространявших вредоносные версии официальных библиотек и приложений для Windows, Mac и Linux. Вредоносные приложения содержали код, предназначенный для сохранения присутствия на зараженных системах и последующей загрузки на них вредоносного ПО Supreme NYC Blaze Bot, добавлявшего…

Как обезопасить бизнес в условиях нарастающей кибернапряженности, — эксперты Кода ИБ делятся опытом на конференции в Ростове-на-Дону

Ключевой темой конференции стала киберустойчивость компании. Ключевой темой конференции стала киберустойчивость компании, и вводная дискуссия, собравшая представителей российских и зарубежных вендоров и интеграторов, строилась вокруг обсуждения векторов угроз и мер, способных обезопасить бизнес от масштабных потерь. Тон дискуссии задал генеральный директор портала по информационной безопасности Anti-Malware.ru Илья Шабанов. Он дал определение понятию киберустойчивости как способности…

Уязвимость в Telegram позволяет обходить пароль local code

Исследователь нашел способ обхода пароля local code любой длины и сложности. Пользователь ресурса habr.com под псевдонимом ne555 обнаружил в мессенджере Telegram уязвимость, позволяющую обходить пароль local code любой длины. Уязвимость является «продолжением» обнаруженной им ранее уязвимости, с помощью которой атакующий мог скомпрометировать секретные чаты. Как сообщал исследователь, для того чтобы завладеть секретными чатами Telegram, «достаточно…