Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия Amazon Photos содержит брешь, позволяющую украсть токены

Android-версия приложения Amazon Photos, которую загрузили на свои устройства более 50 миллионов пользователей, содержит опасную уязвимость. Брешь позволяет злоумышленникам украсть токены доступа Amazon и использовать их для взаимодействия с рядом Amazon API.

Софт Amazon Photos позволяет владельцам мобильных устройств хранить фото- и видеоматериалы, а также делиться ими с членами семьи. Приложение привлекает богатой функциональностью по части управления и организации хранилища.

Об уязвимости рассказали специалисты компании Checkmarx, по данным которых проблема кроется в неправильной конфигурации софтового компонента. В результате баг открывает возможность для доступа без аутентификации к «файлу манифеста» (manifest file).

Грамотная эксплуатация выявленной бреши может позволить вредоносному приложению, установленному на целевом устройстве, вытащить токены доступа Amazon. Напомним, что такие токены используются для аутентификации при взаимодействии с Amazon API.

Если атакующий получит такой доступ, ему могут открыться полные имена пользователей и адреса проживания. Уязвимый компонент софта — “com.amazon.gallery.thor.app.activity.ThorViewActivity“, отвечающий за вызов HTTP-запроса, который содержит заголовок с токенами юзера.

 

Исследователи из Checkmarx выяснили, что стороннее приложение может с лёгкостью задействовать уязвимость и отправить полученные токены на сервер, находящийся под контролем злоумышленника.

 

Поскольку аналогичные токены могут использоваться и для других Amazon API — Prime Video, Alexa, Kindle и т. п. — потенциальная эксплуатация бага принимает серьёзные масштабы. К счастью, патч уже готов, поэтому пользователям нужно просто обновить приложение.

Переход школ на отечественный офис тормозят учебники и старые компьютеры

Российские школы постепенно переходят на отечественное офисное ПО, но тормозит процесс вовсе не качество программ. Главным препятствием неожиданно оказались учебники. Эту тему обсудили 29 июня на рабочем совещании в Госдуме, посвященном импортозамещению офисного ПО в образовании.

Во встрече приняли участие представители федеральных ведомств, регионов, АРПП «Отечественный софт» и российских разработчиков.

По данным ежегодного исследования АРПП, уже около 30% регионов используют российские офисные пакеты при проведении ОГЭ и ЕГЭ по информатике. Одновременно доля Microsoft Office в школах за год сократилась почти на 40%, его заменяют отечественные решения или LibreOffice.

Однако, как отметила глава комитета по цифровизации образования АРПП Анастасия Горелова, переход остается скорее техническим, чем методическим.

«Сегодня все учебники и пособия по информатике по-прежнему ориентированы на Microsoft Office. Чтобы переход стал реальным, необходимо обновить учебные программы и методические материалы», — подчеркнула она.

О своих разработках рассказали представители «МойОфис» и Р7, заявившие о высокой совместимости с форматами DOCX, XLSX и PPTX, а также о поддержке российских операционных систем и бесплатной помощи регионам.

Но на местах хватает и практических проблем. В Псковской области до 25% компьютеров не способны нормально работать с новым ПО, а также возникают сложности с электронной подписью в Linux. В Удмуртии к 1 сентября рассчитывают перевести на российский софт около 30% учебных классов, однако главным препятствием остается устаревшая техника. В Калининградской области российское ПО все чаще используют на экзаменах, но образовательные стандарты пока по-прежнему ориентированы на зарубежные продукты.

Еще одна неожиданная проблема — рынок труда. Участники встречи обратили внимание, что в вакансиях крупных госкомпаний до сих пор почти всегда требуют знание Microsoft Office, тогда как владение российскими аналогами зачастую вообще не учитывается.

По итогам совещания участники предложили Минпросвещения синхронизировать выпуск новых учебников с внедрением отечественного ПО, а Минцифры — создать рабочую группу по вопросам совместимости российских операционных систем и офисных пакетов, а также проработать облегченные версии программ для старых компьютеров.

RSS: Новости на портале Anti-Malware.ru