Уязвимый API Twitter ставит под угрозу миллионы пользователей iPhone

Уязвимый API Twitter ставит под угрозу миллионы пользователей iPhone

Миллионы пользователей iOS могут быть под угрозой атаки «Человек посередине» из-за уязвимого кода Twitter, используемого в популярных приложениях для iPhone. По словам исследователей, старый API Twitter до сих пор задействуется популярными приложениями, разработанными под iOS.

В результате уязвимый компонент открывает возможность для атак «Человек посередине». Используя эту брешь, атакующий может скомпрометировать аккаунты Twitter и сторонние программы, в которых есть функция «Войти с помощью Twitter».

О проблеме сообщили исследователи немецкой компании Fraunhofer SIT, подчеркнув, что во всём виновата уязвимая библиотека TwitterKit. Разработчики Twitter заменили её около года назад.

Однако анализ 2 тыс. приложений для iOS выявил факт использования потенциально опасного кода. По оценкам специалистов, данная проблема может затрагивать миллионы пользователей.

Брешь, о которой рассказали эксперты, получила идентификатор CVE-2019-16263. Её суть кроется в некорректной проверке SSL-сертификата api.twitter.com.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Агент StaffCop теперь доступен для пользователей GNU/Linux

Компания Атом Безопасность выпустила продакшн-версию агента своей системы контроля сотрудников StaffCop для мониторинга и блокировки действий на устройствах с GNU/Linux.

В России растет доля Linux-систем на рабочих компьютерах. Частные компании экономят средства при использовании ПО с открытым исходным кодом. Государственные организации встраиваются в политику импортозамещения. Труднее всего приходится специалистам по безопасности. Им нужно отслеживать нарушения политик безопасности, угрозы утечки данных и сбои системы.

Основные возможности StaffCop для GNU/Linux:

  • отслеживание входа-выхода пользователей в систему;

  • перехват печати на принтере;

  • перехват клавиатуры и буфера обмена;

  • отслеживание и блокировка посещения сайтов;

  • контроль файловых операций с теневыми копиями;

  • контроль подключения/отключения устройств и дисков;

  • ограничение доступа к USB-устройствам по их ID, пользователям;

  • автоматические скриншоты и снимки с веб-камер;

  • перехват звука со всех микрофонов;

  • запись видео рабочего стола;

  • удаленный доступ к рабочему столу;

  • отслеживание активности в приложениях;

  • слежение за текстовыми log-файлами и перехват zsh/bash команд.

Система работает современных дистрибутивах включая Ubuntu, RedHat, CentOS, Arch Linux, а также системах специального назначения, таких как Astra Linux и Rosa Linux.

«Мы считаем, что StaffCop, пожалуй, самый продвинутый, на сегодняшний день инструмент контроля действий сотрудников для GNU/Linux системах», - комментирует выход Linux-агента Дмитрий Кандыбович, генеральный директор StaffCop. «Конечно, мы не собираемся останавливаться на достигнутом, и уже во втором квартале следующего года планируем расширить функциональность, ведь спрос от служб безопасности компаний стремительно растет».

Нововведения позволили Linux-агенту стать частью общей информационной системы обеспечивающий мониторинг и безопасность в гетерогенных сетях под управлением Linux и Windows систем. Он был включен в стандартный дистрибутив продукта наравне с Windows-агентом.

Увидеть вживую работу StaffCop для Linux можно на бесплатном вебинаре от компании «Атом Безопасность», в пятницу 20 декабря в 11:00 мск.

Регистрация на вебинар: https://www.staffcop.ru/webinar

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru