في هذا السياق ، غالبًا ما تمت مناقشة تطبيق TikTok الأسبوع الماضي. تفاعل مطورو هذه الخدمة بالطريقة المتوقعة: هذه ليست خطأ ، ولكنها ميزة. تم تنفيذ طلب عادي من الحافظة (ليس عند بدء التشغيل ، ولكن باستمرار عند إدخال النص) لتحديد مرسلي الرسائل غير المرغوب فيها الذين يقومون بنشر نفس النص عدة مرات. ستتم إزالة Antispam من التطبيق مع التحديث التالي. على الرغم من عدم وجود تهديد مباشر لأمان بيانات المستخدم ، فإن الوصول غير المنضبط يحمل بعض مخاطر الخصوصية. بالمناسبة ، لم تكن "الأخبار" جديدة تمامًا: تم التحقيق في السلوك الغريب للتطبيقات في مارس من هذا العام.
يظهر الفيديو في التغريدة أعلاه سلوك تطبيق TikTok: عندما يكتب المستخدم رسالة ، فإنه يقرأ المخزن المؤقت في كل مرة تدخل فيها مسافة أو أي علامة ترقيم. وصف تفصيلي للمشكلة على موقع ArsTechnica يفسر لماذا مثل هذا السلوك التطبيق يمكن أن تكون خطيرة. من الواضح أن كلمات المرور ومعلومات الدفع وغيرها من البيانات الحساسة للمستخدم تمر عبر المخزن المؤقت. ولكن هناك ميزة أخرى لنظام Apple البيئي: إذا لم يكن الهاتف الذكي بعيدًا عن كمبيوتر سطح المكتب القائم على macOS ، فإن لديهم حافظة مشتركة. لا يتم مسح المعلومات المنسوخة من المخزن المؤقت وتبقى هناك حتى العملية التالية. اتضح أنه متاح لمطوري التطبيقات الشائعة ، ولولا الابتكار في iOS 14 ، لما عرف أحد عن هذا السلوك.
بتعبير أدق ، سيعرف المتخصصون فقط. مرة أخرى في مارس ، تم نشر دراسة تم فيها تحديد عشرات التطبيقات ذات السلوك المماثل. من بين أولئك الذين دخلوا إلى الحافظة شوهدوا تطبيقًا للوسائط الشعبية والألعاب والتطبيقات لعرض توقعات الطقس. يتم استخدام التقاط الحافظة أحيانًا لراحة المستخدم: على سبيل المثال ، عند تسجيل الدخول إلى حسابك ، يتم إرسال رسالة إليك عبر البريد الإلكتروني مع رمز. تقوم بنسخ الرمز ، و "يلتقط" تلقائيًا عند العودة إلى التطبيق.
ولكن هذه وظيفة اختيارية تمامًا ، وليس من الواضح تمامًا لماذا يمكن لألعاب الكرة والجولف الوصول إلى الحافظة. من الواضح أنه في جميع التطبيقات المذكورة ، تم تنفيذ القراءة المؤقتة "لراحة المستخدم" أو ، على الأقل ، لراحة المطورين. من غير المعروف ما يحدث بعد ذلك مع البيانات المنسوخة. بالحديث الصارم عن البرامج الضارة ، يعد اعتراض الحافظة ميزة قياسية لسرقة معلومات المستخدم ، وأحيانًا ما تكون موجهة بشكل مباشر نحو التعرف على بيانات بطاقة الائتمان وسرقتها.
تم الكشف عن تصادم مثير للاهتمام: الحافظة ، بحكم تعريفها ، يجب أن تكون متاحة للجميع. هذا هو تقريبًا آخر موقع للحرية والتفاعل في أنظمة التشغيل المحمولة الحديثة ، حيث كلما كانت التطبيقات الأكثر صرامة معزولة عن بعضها البعض وعن بيانات المستخدم. لكن الوصول غير المفكر إلى المخزن المؤقت ، عندما لا يقوم المستخدم بنسخ ولصق أي شيء ، ليس أيضًا أفضل ممارسة. من الممكن أن يضطر المطورون إلى تغيير شيء ما في تطبيقاتهم. خلاف ذلك ، على الأقل مع إصدار iOS 14 ، سيرى المستخدمون الكثير من نفس النوع من الإشعارات حول الوصول إلى الحافظة.
ماذا حدث
يمكن استخدام Google Analytics لجمع بيانات المستخدم واستخراجها. يقوم خبير في Kaspersky Lab بتحليل هجوم حقيقي باستخدام خدمة التحليلات.
تحديث برنامج تشغيل Nvidia (الإصدار 451.48 لمعظم بطاقات الرسومات GeForce) يغلق نقاط الضعف الخطيرة ، بما في ذلك تنفيذ التعليمات البرمجية التعسفية.
نتائج مثيرة للاهتمام من قاعدة بيانات من مليار كلمة مرور تم جمعها من التسريبات. تم الحصول على ما مجموعه 168 مليون كلمة مرور فريدة. يتم تسريب أقل من 9٪ من كلمات المرور مرة واحدة فقط ، مما يعني أنه من المحتمل إعادة استخدام معظم كلمات المرور. ما يقرب من ثلث كلمات المرور تتكون من أحرف ولا تحتوي على أرقام أو أحرف خاصة.
مقال حول هجوم NotPetya 2017 على شركة الشحن Maersk من قبل أحد العاملين في مجال تكنولوجيا المعلومات. يستمر
الكونجرس الأمريكيمناقشة التشريعات التي تنص على وجود "أبواب خلفية" في أنظمة التشفير على أجهزة المستخدم. يتم انتقاد هذا النهج من قبل المبرمجين: لا يمكنك إضعاف الحماية فقط لصالح وكالات إنفاذ القانون. قد تتوفر إمكانية فك تشفير البيانات باستخدام "مفتاح سري" في النهاية للجميع.
في 25 يونيو ، أفاد Akamaiعلى منع واحدة من أكبر هجمات DDoS. تقترح المقالة أيضًا طريقة جديدة لقياس قوة الهجوم: في "حزم في الثانية". كان مثل هذا الابتكار ضروريًا بسبب خصائص الهجوم: لم يحاول كل نظام مهاجم "سد" قناة الموفر بحركة مرور ، ولكنه أرسل حزم بيانات صغيرة بحجم بايت واحد فقط. في الوقت نفسه ، تم إرسال طلبات القمامة بكثافة عالية: حتى 809 مليون طلب في الثانية.
وصلت قاعدة بيانات تضم 40 مليون زوج من "تسجيل الدخول عبر الهاتف" في برنامج Telegram messenger إلى الوصول المفتوح . من بين المستخدمين الذين دخلوا إلى قاعدة البيانات ، 30٪ من روسيا. على الأرجح ، تم تجميع قاعدة البيانات عن طريق إساءة استخدام وظيفة المراسلة القياسية التي تسمح لك بالعثور على المستخدمين عن طريق رقم الهاتف ، إذا كانت مسجلة في دفتر العناوين.