Телефоны Samsung Galaxy хранят пароли в буфере обмена в открытом виде

Телефоны Samsung Galaxy хранят пароли в буфере обмена в открытом виде

Телефоны Samsung Galaxy хранят пароли в буфере обмена в открытом виде

В американском сообществе Samsung подняли важную тему: пароли, скопированные из менеджера, сохраняются в буфере обмена в открытом виде, притом навсегда. Отсутствие опции автоудаления истории копипаста создает риски в отношении безопасности данных.

Угроза актуальна для устройств с One UI (на базе Android 9 и выше) — интерфейсом, который Samsung специально разработала для смартфонов и планшетов Galaxy.

Примечательно, что при использовании сторонней клавиатуры вроде Gboard с включенной автоочисткой буфера обмена все, что вы копируете, все равно останется в телефоне.

В ответ на замечание представитель Samsung признал наличие проблемы и пообещал направить фидбэк соответствующей команде разработчиков. В отсутствие адекватного решения пользователям посоветовали удалять содержимое буфера обмена вручную либо использовать безопасный ввод непосредственно из менеджера паролей.

В противном случае злоумышленник, украв разблокированный телефон или заразив его трояном с модулем-клиппером, получит настоящий подарок — собранные в одном месте ключи доступа, банковские данные, адреса криптокошельков, личные сообщения в незашифрованном виде.

Конфиденциальная информация также будет слита разработчикам легитимных приложений, которые в фоне считывают содержимое буфера обмена и отсылают его на свои серверы. Такие случаи нарушения приватности изредка встречаются; в частности, этим некогда грешили соцсети — Reddit, linkedIn, TikTok.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

TARmageddon в Rust-библиотеке async-tar грозит удалённым выполнением кода

Исследователи в области кибербезопасности раскрыли детали серьёзной уязвимости в популярной библиотеке async-tar для языка Rust и её форках, включая tokio-tar. Брешь получила идентификатор CVE-2025-62518 и 8,1 балла по CVSS — это высокий уровень опасности. Эксперты назвали дыру TARmageddon.

По данным компании Edera, которая обнаружила баг в августе 2025 года, уязвимость может привести к удалённому выполнению кода (RCE), если злоумышленнику удастся перезаписать важные файлы — например, конфигурации или компоненты системы сборки.

Async-tar и её производные библиотеки используются в таких проектах, как testcontainers и wasmCloud. Ошибка связана с тем, как библиотека обрабатывает TAR-архивы с расширенными заголовками PAX и ustar. Из-за неправильного определения границ файлов библиотека может «спутать» данные и воспринять часть содержимого архива как новые файлы.

В итоге атакующий может «встроить» во вложенный TAR дополнительные файлы и заставить библиотеку при распаковке перезаписать легитимные данные — что при определённых условиях позволяет выполнить произвольный код.

Особенно тревожно то, что одна из уязвимых библиотек, tokio-tar, фактически больше не поддерживается. Последнее обновление вышло ещё в июле 2023 года, но она по-прежнему активно скачивается через crates.io.

Патча для неё нет, поэтому пользователям советуют перейти на astral-tokio-tar, где в версии 0.5.6 ошибка уже исправлена.

Как объяснил разработчик Astral Уильям Вудрафф, баг связан с тем, как библиотека интерпретирует размеры файлов. В заголовке ustar размер может быть указан как ноль, тогда как расширенный PAX-заголовок содержит правильное значение. В результате библиотека «пропускает» настоящий файл и начинает читать внутренний архив как новый слой.

Это позволяет злоумышленнику спрятать внутри TAR-файла ещё один TAR, который при распаковке перезапишет нужные файлы. Например, подменить pyproject.toml в Python-пакете на вредоносный и изменить процесс сборки.

Edera отметила, что даже безопасные языки вроде Rust не защищают от логических ошибок.

«Rust действительно снижает риск уязвимостей вроде переполнений буфера, но полностью исключить логические баги невозможно. В данном случае проблема именно в логике обработки данных», — заявили исследователи.

Эксперты советуют разработчикам внимательно проверять используемые библиотеки, обновлять зависимости и не полагаться исключительно на язык как гарантию безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru