Google заплатит $20000 за взлом Chrome

...

Компания Google заявила, что исследователь, успешно атаковавший систему безопасности обозревателя Chrome, получит $20000. Эта сумма предлагается в качестве главного приза конкурса Pwn2Own, который пройдет в рамках конференции CanSecWest в марте.

Дело в том, что в этом году на конкурс в качестве «подопытных» были представлены обозреватели Internet Explorer, Safari и Firefox. Google, не обнаружив в этом списке свой продукт, предложила увеличить главный приз с $15000 до $20000. И тот, кто первым взломает не только систему безопасности Chrome, но и встроенную «песочницу», получит денежное вознагражение и ноутбук CR-48. Напомним, что в прошлом году этот браузер взломать так никому и не удалось.

Ежегодный конкурс Pwn2Own, спонсором которого выступает компания HP TippingPoint, предоставляет исследователям в области безопасности возможность попробовать себя в качестве хакеров. Участникам предлагается продемонстрировать в действии собственноручно созданный эксплойт и попытаться получить полный контроль над целевой системой.

Помимо веб-приложений, участникам будет предложено попробовать атаковать систему безопасности мобильных платформ, установленных на популярных моделях смартфонов:  Dell Venue Pro (Windows 7), iPhone 4 (iOS), BlackBerry Torch 9800 (BlackBerry 6 OS) или Google Nexus S (Android.). За успешную атаку победитель получит денежный приз и телефон.

В этом году  призовой фонд был увеличен, и за каждое взломанное приложение полагается награда в $15000. Кроме того, победитель заберет с собой и устройство, на котором проводилась атака.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Тысячи iOS- и Android-приложений умышленно игнорируют SSL-защиту

Проведенное в Symantec исследование показало, что около 7% приложений для iOS и 3,4% для Android отключают SSL-защиту соединений при обмене с некоторыми бэкенд-серверами. Использование нешифрованных каналов ставит под угрозу сохранность передаваемых данных, среди которых может оказаться конфиденциальная информация.

Специалисты подразделения Symantec компании Broadcom изучили сотни тысяч приложений из каталогов App Store и Google Play за 2017 – 2020 годы и обнаружили, что некоторые разработчики сознательно закладывают в свой продукт возможность отключения  проверки SSL-сертификатов, а также спецзащиты Apple и Google, диктующей использование HTTPS-соединений.

Примечательно, что процент iOS-программ, демонстрирующих такое поведение, растет. В 2020 году, по данным Symantec, в App Store числилось около 600 тыс. приложений; из них более 45 тыс. (7,6%) аналитики сочли потенциально опасными.

Почти все эти нарушители безопасности (94%) отключают защитную функциональность App Transport Security (ATS), доступную в iOS с версии 9.0 (от 2015 года), на всех сетевых соединениях. Об этой угрозе также предупреждал полтора года назад другой ИБ-исследователь — компания Wandera.

Соотношение Android-приложений, создающих аналогичные риски для пользователей, напротив, снизилось с 5% в 2017 году до 2,85% в 2020-м. В настоящее время в Google Play только 2,4% процента программ можно упрекнуть в пренебрежении SSL-защитой соединений.

Список потенциально опасных приложений в разделении по областям использования возглавили программы для геймеров, которые обычно передают большое количество медиаконтента из открытых источников. К удивлению экспертов, второе место в этом рейтинге заняли программы для проведения финансовых транзакций, хотя они оперируют гораздо более чувствительной информацией — удостоверениями личности и данными банковских карт. В одном из случаев iOS-приложение крупного финансового сервиса передавало логины и пароли пользователей в открытом виде; после сигнала разработчик исправил этот недочет, выпустив обновление.

 

К сожалению, пользователям мобильных приложений трудно выявить подобные нарушения безопасности — из-за песочниц и других ограничений, которые Apple и Google ввели для устройств, использующих их ОС. Снизить риск перехвата данных, по мнению Symantec, поможет использование защищенных точек доступа и хорошо зарекомендовавших себя VPN.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru