Вашему вниманию дайджест новостей о программах для смартфонов и не только. Треть онлайн финансовых приложений опасны. «Ютуб» остается с нами. О проблемах с браузером «Хром» для смартфонов. Банкротство дочки «Гугл» в России.
На сайте Газета.ру:
Код в доступе. Деньгам россиян угрожают критические уязвимости мобильных приложений
Swordfish Security: 35% финансовых приложений в России можно использовать для кражи денег
Как минимум 35% финансовых приложений, используемых россиянами, содержат критические уязвимости, об этом «Газете.Ru» сообщили в ИБ-компании Swordfish Security, проанализировав более сотни мобильных программ для iOS и Android. Самой распространенной проблемой является небезопасное хранение данных: 65% уязвимых программ плохо защищают не только персональные данные клиентов, но и логины, и пароли. Большинство экспертов считают, что сами по себе уязвимости едва ли могут привести к потере денег, однако их использование часто становится частью атак злоумышленников, направленных на хищение денежных средств.
Дорогая ошибка
Более чем в трети финансовых приложений, используемых россиянами, имеются критические уязвимости. Об этом «Газете.Ru» стало известно из исследования компании Swordfish Security, в рамках которого была проанализирована безопасность более сотни iOS- и Android-приложений.
«Основные категории исследуемых приложений: банковские клиенты, финтех, телеком, а также группы приложений (например, основное приложение банка и все остальные связанные с ним утилиты)», – рассказал ведущий архитектор Swordfish Security Юрий Шабалин.
Как правило, уязвимыми приложениями оказываются проекты молодых компаний и стартапов. Однако в программах крупных организаций исследователи тоже находили проблемы.
Гораздо чаще уязвимости встречаются на Android, нежели на iOS. Кроме того, в среднем на программу для Android приходится больше проблем, чем на такую же утилиту для техники Apple: 8,3 штуки против 5,3. По словам исследователей, Android уязвимее из-за более широких возможностей самой платформы. На ней предоставляется намного больше способов взаимодействия между приложением и пользователем, которые при определенных обстоятельствах могут оказаться вредоносными.
Наиболее распространенной проблемой оказались нарушения в правилах хранения данных: они встретились исследователям в 65% уязвимых программах.
Чаще всего под угрозу ставятся токены (зашифрованные авторизационные данные для связи с другими сервисами) и персональные данные пользователей. Реже разработчики забывают «спрятать» логины и пароли от аккаунтов, а также ключи для шифрования передаваемой информации.
«Этот тип уязвимости может позволить злоумышленникам получить личную информацию пользователя, а в худших сценариях – совершить полную компрометацию аккаунта», – отметили авторы исследования.
В 35% уязвимых приложениях вовсе отсутствуют алгоритмы шифрования передаваемой на сервер информации. Из-за этого те же логин и пароль потенциально могут быть перехвачены злоумышленником через публичный Wi-Fi. В 18% случаев у приложений имеются проблемы со скоростью закрытия сессии, то есть разлогиниванием пользователей.
«Из-за слишком долгой жизни сессии или некорректной реализации функции выхода из приложения злоумышленник может получить доступ к аккаунту пользователя, используя сессионные идентификаторы», – объяснили в Swordfish Security.
В 10% утилит нашлось небезопасное межпроцессное взаимодействие. Из-за него вирус на смартфоне в виде приложения «А» может «заглянуть» в файлы уязвимого приложения «Б», что чревато разными последствиями, вплоть до воровства паролей.
Компания Swordfish Security уведомила об обнаружении проблем разработчиков всех уязвимых программ.
Все (не)плохо
Юрий Шабалин из Swordfish Security считает, что сама по себе уязвимость в большинстве случаев едва ли может стать причиной потери денежных средств, доступ к которым имеется из приложения. Однако ее использование может стать частью сценария злоумышленника, который задался целью украсть деньги жертвы.
«Как правило, для успешного осуществления атаки с хищением финансовых средств необходимо выстроить вектор из нескольких уязвимостей, либо же добыть дополнительные данные через социальную инженерию (фишинговое письмо, сообщение, звонок). Каждую проблему безопасности в случае необходимости можно встраивать в различные сценарии, и именно это мы наблюдаем сейчас у злоумышленников», – сказал он.
Аналогичного мнения придерживается и руководитель отдела исследований и разработки анализаторов кода Positive Technologies Владимир Кочетков. По его словам, обнаруженные проблемы упрощают работу злоумышленника, но, используя только их, добраться до банковских счетов он едва ли сможет.
«Как правило, сценарии реальных атак на банковские системы подразумевают использование, как уязвимостей в программном коде банковских систем и их клиентских приложений, так и элементов социальной инженерии (в том числе автоматизированной), направленной на введение пользователя в заблуждение и совершения им действий, приводящих к хищению его денежных средств», – сказал эксперт.
В свою очередь генеральный директор компании R-Vision Александр Бондаренко отметил, что в некоторых случаях отдельные уязвимости на самом деле могут быть использованы для хищения денежных средств. Однако их задействование будет настолько сложным, что мало кто из киберпреступников захочет с ними возиться.
«Да, уязвимые приложения могут быть использованы хакерами для кражи данных, либо для кражи денежных средств путем подделки отправляемых платежей или отправки несанкционированных платежей.
Это более сложный путь, так как необходимо сперва каким-то образом заразить само мобильное устройство пользователя. Учитывая тот факт, что существуют значительно более простые методы кражи денег у населения с использованием компьютерных технологий или без использования таковых, атаки на мобильные приложения сравнительно непопулярны», – сказал он.
Еще более оптимистично высказался главный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, использование уязвимостей приложений в операциях по похищению денег используются редко. Эксперт утверждает, что куда чаще дыры в безопасности мобильных программ используются в целевых атаках, когда перед злоумышленником стоит задача узнать что-либо про конкретного человека..
Как быть
В Swordfish Security дали несколько рекомендаций, следуя которым можно нивелировать шанс потери денег через приложение.
Во-первых, не стоит устанавливать приложения, если нет уверенности в их происхождении и надежности. Особенно внимательными нужно быть с приложениями из сторонних источников. Прежде всего, с их «модифицированными» версиями вроде тех, где отключен показ рекламы.
Во-вторых, стоит избегать открытых точек доступа Wi-Fi. Если же подключения не избежать, то нужно закрыть приложения, которые оперируют платежными данными.
В-третьих, нужно включать двухфакторную авторизацию во всех приложениях, где есть такая возможность, а также не использовать в разных сервисах одинаковые пароли.
На сайте Газета.ру:
«Не хотим идти по пути Китая». В России пока не будут закрывать YouTube
Глава Минцифры заявил, что блокировка YouTube в России не планируется
Глава министерства цифрового развития Максут Шадаев заявил, что в России «не планируют» закрывать YouTube. По крайней мере, блокировки не будет до того момента, как в РФ не появится «конкурентоспособный аналог». В то же время министр подчеркнул необходимость «выстраивать барьеры» и не допускать чрезмерного давления на российских пользователей. Другой российский министр — глава МИД Сергей Лавров — сегодня выразил уверенность, что «российские мозги» обеспечат «передовые позиции» в вопросах, связанных с использованием интернета.
Глава Минцифры Максут Шадаев заверил, что на территории России пока не планируют ограничивать доступ к видеохостингу YouTube. Возможную блокировку он назвал «крайней мерой».
«Мы не планируем закрытие YouTube. Приоритет наш — современные цифровые сервисы, которые должны быть доступны каждому гражданину. Мы внимательно наблюдаем за ситуацией», — сказал министр в рамках федерального просветительского марафона «Новые горизонты».
При этом он подчеркнул, что главная задача на будущее — «чтобы был наш конкурентоспособный аналог».
«Когда мы что-то ограничиваем, мы должны четко понимать, что наши пользователи не страдают», — отметил глава ведомства.
Суммарный размер штрафов по искам Роскомнадзора в отношении YouTube уже превысил 7 млрд рублей. Председатель комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн ранее предупреждал, что сайт заблокируют, если Google не пойдет на уступки и не выполнит требования российской стороны. Кроме того, российские власти могут начать замедлять трафик на сайте и без блокировки сервиса.
«Закрываться ни от кого не хотим»
По словам Шадаева, Россия не планирует закрываться от мирового интернета и должна оставаться его частью. «Закрываться ни от кого мы не хотим. Наоборот, мы считаем, что Россия должна оставаться частью глобальной сети», — указал министр.
В то же время он считает, что РФ необходимо «выстраивать барьеры» и не допускать чрезмерного давления на российских пользователей. Кроме того, важно научиться «более тонко» фильтровать информацию.
«Мы не хотим идти по пути [Китая], честно говоря, но [из-за] операции и информационного воздействия на нашу страну, когда операция началась, понятно, что мы должны какие-то барьеры выстраивать», — отметил Шадаев.
Министр также выразил уверенность, что российская компания «Яндекс» продолжит свою работу в стране, сейчас она активно инвестирует в новые технологии и продолжает набор специалистов. «Я уверен, что «Яндекс» связывает свое будущее с Россией», — заявил он, назвав «домыслами и слухами» сообщения о релокации бизнеса в Тель-Авив.
«Не останетесь вы без интернета»
Глава МИД Сергей Лавров заверил, что страна не останется без интернета. «Я вас уверяю, что эти задачи, которые сейчас четко сформулировал президент [РФ Владимир Путин], они будут выполнены. В том числе не останетесь вы без интернета, и я вместе с вами», — сказал он.
Лавров выразил также уверенность, что «российская молодежь, российские мозги» в вопросах, связанных с использованием интернета и других современных технологий, обеспечат «нормальное существование» и «передовые позиции во всех этих процессах».
Министр добавил, что Россия и еще ряд стран «уже долгие годы» пытаются начать в Международном союзе электросвязи «серьезный и честный», «с фактами на столе» разговор о демократизации управления интернетом. «Всеми правдами и неправдами большинство западных стран во главе с США блокируют такого рода дискуссии», — посетовал он.
По мнению Лаврова, Запад сейчас отходит от многополярных подходов и движется к установлению своего доминирования во всех сферах. «Конечно, и мы, и Китай, и другие уважающие себя страны, которые не хотят быть послушными мальчиками на побегушках у Запада, занимаемся тем, что делаем все для того, чтобы ключевые отрасли, обеспечивающие жизнедеятельность государств, безопасность, благополучие граждан, не зависели от тех, кто доказал свою полную недоговороспособность», — подытожил глава МИД.
Google запретила россиянам устанавливать и обновлять самый популярный в мире браузер. Но уже найдены лазейки
Россияне больше не могут обновлять Chrome для Android, а также несколько мобильных приложений, через магазин Google Play. Установка браузера тоже невозможна. Пока неясно, где кроется проблема, так как Google отказывается комментировать происходящее. Способы обхода ограничений есть, и один из них – это VPN.
Chrome остался без обновлений
Россияне лишились возможности устанавливать и обновлять браузер Google Chrome на платформе Android, которая тоже принадлежит Google. Первые проблемы с этим начались 9 мая 2022 г., и на момент публикации материала они стали массовыми.
Наиболее актуальная на момент публикации материала стабильная версия Chrome под Android датирована 9 мая 2022 г. и имеет индекс 101.0.4951.61.
Находясь в России или подключаясь к магазину Google Play с российского IP, пользователь лишается возможности обновить не только сам Chrome, но еще и системное приложение Android System Webview. Оно используется для открытия в веб-страниц в других приложениях, например, в почтовых клиентах.
Первыми о сбоях обновления сообщили пользователи портала iPhones.ru. Редакция CNews убедилась, что Google действительно блокирует скачивание обновлений на разных версиях Android и под разными провайдерами. Более того, если удалить Chrome и попытаться установить его заново, то ничего не выйдет – на экране снова появится сообщение об ошибке.
Не работает как автоматическое, так и принудительное обновление. В автоматическом режиме и Chrome, и Android System Webview просто числятся в списке приложений, ожидающих апдейта. Если попытаться обновить их вручную, то система выдаст сообщение об ошибке.
Что немаловажно, все другие приложения Google для Android продолжают обновляться без каких-либо проблем. То же касается и Chrome для iOS – на момент публикации материала в Рунете не было жалоб со стороны пользователей iPhone на невозможность апдейта этого браузера. Настольный Chrome, по крайней мере под Windows, на 13 мая 2022 г. тоже исправно получал необходимые патчи.
Касается всех. Почти
Chrome – это самый популярный браузер в мире, даже если учитывать исключительно настольные ПК и ноутбуки. Появившись в 2008 г., он очень быстро обошел и еще востребованный на тот момент Internet Explorer, и даже Firefox.
На Android Chrome впервые появился в феврале 2012 г, спустя три с половиной года с момента запуска мобильной платформы Google. Спустя 10 лет после релиза первой бета-версии Chrome занимает 62,5% рынка браузеров на Android (статистика StatCounter за апрель 2022 г.). Ближайший конкурент – Apple Safari с 25,64%, за ним следует штатный браузер на смартфонах Samsung с долей 5,12%.
В России ситуация схожая – доля Chrome составляет 59,13%. На втором месте Safari (19,99%), на третьем – «Яндекс.браузер» с 9,71%.
Google ничего не делает
Проблема с обновлением Chrome наблюдается на протяжении нескольких дней. Google пока никак не комментирует происходящее и, судя по всему, пока не планирует решать ее. Не исключено, что это один из способов давления на российских пользователей, так как Google примкнула к рядам иностранных компаний, решивших поддержать антироссийские санкции.
Напомним, что еще в конце марта 2022 г. Google начала вывозить из России сотрудников своего единственного офиса, расположенного в Москве. Они опасались, что деятельность компании в стране вот-вот будет прекращена из-за санкций. Сколько человек покинули страну, остается неизвестным.
Как решить проблему
На момент публикации материала существовало несколько способов обхода проблемы с обновлением Chrome и Android System Webview. Большинство из них требует относительно углубленного пользовательского опыта.
Первый способ подразумевает использование VPN. Редакция CNews убедилась, что при смене IP на любой, отличный от российского, обновление браузера и «смотрелки» Google вновь начинает работать.
Второй способ более радикальный – необходимо перейти на любой другой браузер. Редакция CNews удостоверилась в работоспособности обновления обозревателей Vivaldi и «Яндекс.браузер» через Google Play. Этот способ, на деле, является наиболее надежным, поскольку если россияне полностью лишатся доступа к каталогу Play, они всегда смогут скачать дистрибутив нужного браузера с сайта разработчиков. То же работает и непосредственно для Chrome – его дистрибутивы есть на сторонних репозиториях, в том числе российских.
Наконец, третий способ, предложенный и опробованный порталом Rozetked. Он является наиболее сложным из всех, так как подразумевает установку массы сторонних приложений и компонентов, среди которых Trichrome Library и Split APKs Installer. Также здесь тоже потребуется скачивание и установка дистрибутива браузера. Такая связка позволит настроить автоматическое обновление Chrome и не зависеть от очередных санкций Google.
Эльяс Касми
Дочерняя структура Google в РФ намерена инициировать свое банкротство
Текст: Алексей Рыбин
очерняя структура Google в России намерена обратиться в Арбитражный суд с заявлением о признании себя банкротом. Соответствующее заявление ООО «Гугл» разместила на Федресурсе.
В сообщении указывается, что компания с 22 марта 2022 года «предвидит собственное банкротство и невозможность исполнения денежных обязательств», в том числе — требований о выплате выходных пособий, оплате труда работников и уплате обязательных платежей в установленный срок.
В начале мая стало известно, что Арбитражный суд Москвы по иску НТВ арестовал имущество ООО «Гугл» на 500 млн рублей. Речь идет о денежных средствах, а также о движимом и недвижимом имуществе компании. Еще до этого приставы завели дело о принудительном взыскании с Google свыше 7,2 млрд рублей.
По данным из открытых источников, ООО «Гугл» по итогам 2021 года получило убыток в размере 26,4 млрд рублей.
Такие новости в наше время…
Надо быть начеку с техникой, к которой успели привыкнуть…
Мои посты об интернете:
Мастер-класс Афанасия Афанасьева на юбилее фабрики «Сардаана»!
Детская школа искусств в Покровске
Число подписчиков моего канала в Ютуб превысило 3000 человек! Спасибо друзья!
В моем блоге 250 постов! Топ 7 постов по просмотрам)))
20-летие Википедии. Википедия по якутски!
Сайт был заблокирован из-за превышения нагрузки на CPU… Перешел на новый тариф)))
Мой канал в Ютуб набрал 1 миллион просмотров)))
Участвую в конкурсе «Как я провел лето» SummerLife2021
Большое спасибо! Число подписчиков моего канала в Ютуб превысило 4000 человек!
Попал в топ-лист блогеров Дневников Якт.ру по итогам 2021 года)))
НВК «Саха» получил Серебряную кнопку Ютуб!
Ситуация с соцсетями сегодня 27 февраля 2022 года и концерт «Фабрики звезд 5»!
Ykt.ru прекратил свою деятельность. Мой дневник находится в архиве портала.
«Блоги Якутии» начинают свою работу!
Российские программы для замены иностранного софта
Рады ли вы блокировке Youtube?
Опровержение фейков, клеветы и провокаций!
Блокировка Youtube откладывается?
Большое спасибо! Число подписчиков моего канала в Ютуб превысило 5000 человек!
«Прокачиваем» компьютер российским софтом — от операционных систем до прикладного ПО
Мой сайт: https://nikbara.ru/
Сайт об усадебном хозяйстве в Якутии https://usadbaykt.ru/
Мой канал в «Яндекс Дзен» — NikBara
Мой блог в “Блогах Якутии” https://blogi.nlrs.ru/author/88287
Просьба подписаться на мой канал «Николай Барамыгин» на Ютуб!
ttps://www.youtube.com/c/НиколайБарамыгин
И на мои аккаунты в социальных сетях!
«Одноклассниках» https://ok.ru/profile/500676253992
«В контакте» https://vk.com/nbaramygin
Мой канал в «Телеграм» https://t.me/nikbaraykt
«Твиттер» https://twitter.com/NBaramygin