Специалисты из британской компании Sophos предупредили о наличии в магазине Apple App Store так называемых fleeceware-приложений, списывающих денежные средства с пользователей даже после их удаления. В настоящее время более 3,5 млн пользователей iOS-устройств установили данные приложения, использующие юридические лазейки в механизме бесплатного пробного периода в iOS.
Магазины приложений Google Play Store и Apple App Store позволяют разработчикам создавать приложения с бесплатным пробным периодом. Пользователи могут установить их и подписаться на пробную версию, предоставив программам разрешение взимать плату с учетной записи пользователя. По истечении пробного периода средства автоматически снимаются с карты, позволяя и дальше использовать приложение.
Политика магазинов приложений позволяет разработчикам устанавливать собственные этапы отмены пробной версии. Некоторые и вовсе не воспринимают удаление приложения как отмену пробного периода, заставляя пользователей проходить сложные процедуры. Fleeceware-приложения злоупотребляют данным механизмом и взимают плату с пользователей даже после удаления.«Большинство из этих приложений — редакторы изображений, гороскопы, сканеры QR- и штрих-кодов, а также приложения для добавления фильтров и элементов в селфи», — отметили эксперты.
Исследователи выявили 32 iOS-приложения, взимающих до $30 в месяц или $9 в неделю за простые функции (полный список приложений доступен в блоге Sophos), которые обычно доступны бесплатно. Как показали результаты анализа, приложения в значительной степени опирались на online-рекламу для привлечения пользователей, хотя на самом деле даже не могли предоставить простейшие функции.
Тем не менее, приложения все еще доступны для скачивания в магазинах приложений. Эксперты предполагают, что Apple разрешает подобное поведение, поскольку компания взимает комиссию со всех покупок приложений.

Источник: https://www.securitylab.ru/news/506585.php

Компания Twitter удалила со своей платформы функцию, позволявшую пользователям блокировать передачу рекламодателям некоторой своей персональной информации. С ее помощью пользователи могли скрывать сведения о рекламе, с которой они взаимодействовали, и идентификатор телефона. Теперь для большинства пользователей эта информация будет по умолчанию передаваться рекламодателям, и отключить передачу больше нельзя. Согласно уведомлению Twitter, эти данные помогут проанализировать эффективность отображаемой в соцсети рекламы. С их помощью компания сможет доказать рекламодателям, что пользователи видят оплаченную ими рекламу и взаимодействуют с ней, и это поможет Twitter оставаться бесплатным сервисом. В настройках конфиденциальности Twitter есть опция «Отправлять данные бизнес-партнерам Twitter», ранее позволявшая скрывать от рекламодателей сведения о взаимодействиях с рекламой. Настройка по-прежнему есть, однако опция «Оценка взаимодействий с рекламой в мобильном приложении» теперь отсутствует. Пользователи по-прежнему могут отключать передачу других своих данных, в том числе интересов. Другие настройки конфиденциальности, такие как блокировка трекеров, также доступны. Twitter не передает партнерам имена и фамилии пользователей, номера телефонов и электронные адреса. Хотя большинство пользователей сервиса лишились возможности отключения передачи данных о просмотренной рекламе, она по-прежнему есть у жителей Евросоюза, стран-участниц Европейской ассоциации свободной торговли и Великобритании. Если пользователи готовы разрешить Twitter передавать партнерам данные о своем взаимодействии с рекламой, они должны включить соответствующую опцию.

Источник: https://www.securitylab.ru/news/506543.php

Инженеры Apple и Google совместными усилиями разрабатывают децентрализованный инструмент, позволяющий задействовать Bluetooth для борьбы с распространением коронавируса. Компании намерены выпустить комплексное решение, включающее API и технологии на уровне операционных систем, которые помогут отслеживать контакты.
Решение планируется внедрить в два этапа — в мае техногиганты выпустят API, обеспечивающий совместимость между Android- и iOS-устройствами при использовании приложений служб здравоохранения, а в ближайшие месяцы представят платформу для отслеживания контактов на основе Bluetooth, встроив соответствующую функциональность в свои операционные системы.
«Это более устойчивое решение, чем API: оно даст пользователям возможность включить отслеживание контактов и обеспечит взаимодействие с более широкой экосистемой приложений и служб здравоохранения. Конфиденциальность, прозрачность и добровольность являются главными приоритетами при разработке, в процессе которой мы надеемся получить отзывы и консультации всех заинтересованных сторон. Вся необходимая информация о разработке новых платформ будет публиковаться открыто», — пояснили в Apple.

Источник: https://www.securitylab.ru/news/506596.php

Разработчики защищенного мессенджера Signal намерены прекратить работу программы в США, если власти страны примут законопроект Eliminating Abusive and Rampant Neglect of Interactive Technologies (EARN IT), предполагающий полный отказ от сквозного шифрования.
Документ EARN IT представляет собой правки к разделу 230 действующего в США закона «Об этике в сфере коммуникации». Данный раздел обеспечивает IT-компаниям юридическую защиту от любого контента, размещенного пользователями на их платформе.
Как утверждают авторы законопроекта, крупные компании, включая Google и Facebook, начали злоупотреблять подобной защитой и перестали прилагать усилия для борьбы с незаконным контентом. EARN IT может лишить всех компаний положенного им по текущему закону иммунитета от судебных преследований. Эдвард Сноуден, рекомендовавший использовать Signal, высказался против EARN IT. По его словам, законопроект противоречит идеям свободы слова.
Однако даже «самый защищенный в мире мессенджер» не способен полностью уберечь пользователей от киберугроз. Напомним, в прошлом году в Android-версии Signal была обнаружена логическая ошибка, позволявшая шпионить за пользователями. Преступники могли инициировать вызов и ответить на него без согласия пользователя. Таким образом злоумышленники могли включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры.

Источник: https://www.securitylab.ru/news/506590.php

За последнюю неделю был обнаружен ряд уязвимостей в различных программах, включая Mozilla Firefox, Google Chrome, системную библиотеку GNU C Library (glibc), системы SCADA и пр.
Mozilla исправила в браузере Firefox две уязвимости нулевого дня ( CVE-2020-6819 и CVE-2020-6820 ). Обе проблемы позволяли злоумышленнику удаленно выполнять произвольный код и поставить под угрозу уязвимую систему. Они представляют собой уязвимости использования памяти после высвобождения и связаны с тем, как браузер управляет своим пространством памяти. Проблемы связаны с «состоянием гонки», возникающем при запуске деструктора nsDocShell (CVE-2020-6819) и обработке ReadableStream (CVE-2020-6820).
В Google Chrome было исправлено более 30 проблем, включая четыре опасные уязвимости, эксплуатация которых позволяла скомпрометировать целевую систему. Другие уязвимости затрагивали различные компоненты Chrome и могли использоваться для обхода ограничений безопасности или получения доступа к конфиденциальной информации.
В решении Palo Alto Networks PAN-OS исправлены уязвимости удаленного выполнения ( CVE-2020-1990 ) кода и повышения привилегий ( CVE-2020-1991 ). Первая проблема связана с ошибкой границ в компоненте сервера управления и позволяла злоумышленнику путем переполнения буфера в стеке удаленно выполнить код, а вторая позволяла локальному пользователю повысить привилегии или перезаписать системные файлы.
В программном обеспечении WebAccess/NMS тайваньского производителя встраиваемых систем и систем автоматизации Advantech обнаружен ряд уязвимостей, наиболее серьезные из которых (CVE-2020-10621, CVE-2020-10619, CVE-2020-10631, CVE-2020 -10603) позволяют удаленному злоумышленнику скомпрометировать целевую систему, осуществить атаки через обход каталога или выполнить произвольные shell-команды на системе.
Японская компания Fuji Electric выпустила новую версию решения V-Server Lite (4.0.9.0), исправляющую уязвимость переполнения буфера в куче ( CVE-2020-10646 ). Проблема позволяла злоумышленнику получить повышенные привилегии для удаленного выполнения кода.
В диссекторе BACapp в сетевом анализаторе Wireshark была обнаружена уязвимость ( CVE-2020-11647 ) удаленного выполнения кода. Злоумышленник может отправить по сети специально сформированные данные, вызвать переполнение буфера в стеке и выполнить произвольный код на целевой системе. Хотя в настоящее время нет известных случаев использования уязвимости, существует PoC-код для данной проблемы.
Системная библиотека GNU C Library (glibc) содержит опасную уязвимость ( CVE-2020-1752 ), позволяющую локальному пользователю повысить привилегии на системе и потенциально выполнить произвольный код.
Программа управления сбросом паролей ManageEngine ADSelfService Plus и продукты HiOS и HiSecOS компании Hirschmann Automation and Control также содержат уязвимости удаленного выполнения кода ( CVE-2020-11518 и CVE-2020-6994 соответственно).

Источник: https://www.securitylab.ru/news/506587.php