Mac App Store раздает платные программы бесплатно

Спустя сутки после запуска сервиса Mac App Store из Apple вылетел радостный пресс-релиз о миллионе загрузок в первый день работы. В Сети тут же пошутили по этому поводу, что 900 тысяч из них приходится на официальный твиттер-клиент для Мака ака Tweetie 2. Однако у специалистов в области информационной безопасности иное мнение на этот счет.

Эксперты полагают, что запущенный накануне интернет-магазин программного обеспечения Mac App Store содержит серьезные уязвимости, используя которые можно получать платные программы бесплатно. Сейчас значительное число сторонних разработчиков или уже разместили свои программы в Mac App Store, либо подали заявки на размещение и сейчас их программы находится на рассмотрении. Все они рискуют столкнуться с риском пиратства.

Информация о проблемах в новом магазине появилась вчера вечером и пока Apple ее никак не прокомментировала. Напомним, что Mac App Store работает по аналогии с ранее представленными мобильными версиями App Store. Здесь автор платной программы получает 70% прибыли с продаж, а Apple, в обмен на предоставленный хостинг, продвижение и платежные сервисы забирает себе остальные 30%.

Так или иначе, но в британской антивирусной компании Sophos предупреждают, что в новом магазине "покупать" приложения могут любые пользователи Apple, достаточно простой регистрации. Система, согласно данным Sophos, смотрит на Apple ID, где указываются платежные реквизиты (номер банковской карты) уже после покупки, когда пользователь получил доступ на скачку.

Очевидно, что назвать это программным багом сложно, это, скорее, можно отнести к категории логических недочетов программистов Apple, поставленных в жесткие временные рамки по запуску Apple Mac App Store. Кроме того, стоит отметить, что на мобильных версиях App Store такой трюк не проходит - скачать там можно только бесплатные программы, а за платные придется сначала заплатить, а потом уже качать.

Тем не менее, по крайней мере сейчас ряд популярных программ, в частности хитовая игра Angry Birds, проверяет лишь подлинность учетной записи Apple, не запрашивая платежные реквизиты до покупки.

Нет сомнений, что подобная ситуация на руку пользователям, но она явно вбивает клин между Apple и создателями программ, так как кому-то за проявленную оплошность придется заплатить - либо это будут программисты, разместившие платные программы и недосчитавшиеся части продаж, либо это будет Apple, которая из тех 52 млрд долларов, что скопились на банковских счетах компании (данные из квартальной отчетности компании) заплатит создателям программ за свой "аукцион невиданной щедрости".

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сервер операторов RaccoonStealer сливал миллионы cookies аутентификации

Киберпреступники, заразившие ряд пользователей вредоносной программой, а также похитившие их пароли и другие персональные данные, не смогли должным образом защитить свои бэкенд-серверы. В результате это привело к утечке конфиденциальной информации жертв злонамеренной киберкампании.

Проблемный сервер обнаружил специалист Security Discovery Боб Дьяченко, он же долгое время пытался убедить провайдера вывести этот сервер в офлайн. Оказалось, что незащищённое хранилище сливало не только пароли пользователей, но и файлы cookies, используемые для аутентификации.

Проблема заключалась в том, что Elasticsearch-сервер стоял просто без пароля, благодаря чему любой желающий мог получить доступ к конфиденциальной информации жертв вредоносной программы. На скриншоте ниже можно посмотреть, как выглядела выгрузка из базы:

 

Судя по всему, вышеупомянутый сервер выступал в качестве командного центра для ворующего информацию зловреда RaccoonStealer. Специалисты в области кибербезопасности даже назвали конкретную версию вредоносной программы — 1.7.2.

«RaccoonStealer распространяется по модели «вредонос как слуга» (Malware-as-a-Service). Аренда зловреда обходится злоумышленникам в 75-200 долларов в месяц. RaccoonStealer может похищать пароли, данные платёжных карт, криптовалютные кошельки и информацию из браузера», — объясняет Джемс Мод из BeyondTrust.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru