В Firefox буду отключены API для датчиков приближения и освещения

В Firefox буду отключены API для датчиков приближения и освещения

Начиная с версии Firefox 60, релиз которой запланирован на май 2018 года, сайты не смогут использовать этот браузер для доступа к датчикам, предоставляющим информацию о приближении и окружающем освещении.

В настоящее время такой доступ у сайтов есть благодаря реализованным в Firefox API, известным как W3C Proximity и Ambient. Однако разработчики Mozilla приняли решение отключить доступ по умолчанию к этим двум API.

Сами API не будут удалены, добавятся лишь две настройки, контролирующие их состояние, они буду отключены по умолчанию. На деле это будет значить, что пользователю придется вручную активировать два «флажка», прежде чем какой-либо сайт сможет получить данные с датчика приближения и окружающего освещения.

Эти две настройки будут доступны на странице настроек Firefox about:config. На скриншоте ниже показана последняя версия Firefox Nightly, в которой две эти настройки отключены.

Также в новой версии Firefox разработчики предусмотрели еще три настройки, которые отвечают за следующее: включить или отключить все API для датчиков, включить или отключить API датчика ориентации устройства и включить или отключить API Motion Sensor.

device.sensors.enabled
device.sensors.orientation.enabled
device.sensors.motion.enabled

Эти три настройки по умолчанию будут активированы, так как доступ к ним необходим многим сайтам.

Причиной отключения по умолчанию API датчика приближения и освещения стало исследование эксперта Лукаша Олейника, в котором эксперт продемонстрировал возможные способы атак на этот API, которые могут осуществить злоумышленники и рекламные сети.

Например, Олейник утверждал, что W3C Proximity Sensor API может позволить веб-сайтам и рекламодателям запрашивать местоположение соседних объектов в отношении смартфона или планшета пользователя. Кроме того, он также утверждал, что вредоносные сайты могут использовать API W3C Ambient Light Sensor для кражи данных браузера.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Шифровальщик-билдер Chaos научился обходить стороной враждебные страны

На хакерских форумах рекламируется Yashma — шестая по счету версия билдера Chaos, предназначенного для создания Windows-шифровальщиков. В BlackBerry проанализировали образец, найденный в дикой природе, и обнаружили пару усовершенствований: способность прекращать исполнение, когда жертва использует язык из списка исключений, и завершать процессы, мешающие выполнению основной задачи.

Вредоносная программа-конструктор Chaos объявилась на хакерских форумах в июне прошлого года. Ее позиционировали как NET-версию Ryuk, притом безосновательно. Создаваемые с помощью билдера зловреды лишь необратимо портили файлы жертвы, перезаписывая содержимое рандомизированной строкой Base64, тогда как Ryuk по-настоящему шифровал их, используя AES и RSA.

Похожая возможность появилась в Chaos только с выпуском третьей версии — но с ограничениями. Шифрованию подвергались только файлы весом менее 1 Мбайт, остальные преобразовывались прежним способом и восстановлению не подлежали.

В версии 4.0 порог шифрования был повышен до 2 Мбайт. Релиз взяли на вооружение вымогатели, которые впоследствии получили известность атаками Onyx. В Chaos 5.0 вирусописатели попытались решить проблему с лимитами на размеры файлов.

По всей видимости, им это удалось: шестая итерация (Yashma), по словам BlackBerry, почти идентична пятой. Помимо ребрендинга в этом выпуске замечена пара функциональных изменений: возможность откатывать шифрование на машинах с нежелательным местоположением (определяется по языку, заданному на зараженном устройстве) и принудительно завершать процессы, ассоциируемые с антивирусом, службой RDP или софтом для хранения данных и создания бэкапа.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru