在这种情况下,上周最经常讨论TikTok应用程序。该服务的开发人员以预期的方式做出了反应:这不是错误,而是功能。实施了常规剪贴板请求(不是在启动时,而是在输入文本时不断),以标识垃圾邮件发送者多次发布相同的文本。下次更新时,反垃圾邮件将从应用程序中删除。虽然对用户数据的安全性没有直接威胁,但不受控制的访问会带来一定的隐私风险。顺便说一句,“新闻”并不是全新的:今年3月对应用程序的奇怪行为进行了调查。
上面的推文中的视频显示了TikTok应用程序的行为:当用户键入消息时,每次您输入空格或任何标点符号时,它都会读取缓冲区。 ArsTechnica网站上对该问题的详细描述解释了为什么应用程序的这种行为可能很危险。显然,密码,支付信息和其他用户敏感数据会通过缓冲区。但是Apple生态系统的另一个功能是:如果智能手机离基于macOS的台式计算机不远,它们将具有一个公共剪贴板。从缓冲区复制的信息不会被擦除,并保留在那里,直到下一次操作。事实证明,流行的应用程序的开发人员可以使用它,如果不是iOS 14中的创新,则没人会知道这种行为。
更准确地说,只有专家会知道。早在三月,就发表了一项研究,该研究确定了数十个行为类似的应用程序。在访问剪贴板的那些人中,流行媒体,游戏,用于演示天气预报的应用程序都可以看到。剪贴板捕获有时是为了方便用户使用的:例如,当您登录到帐户时,一条带有代码的消息会发送给您。您复制代码,并在返回到应用程序时自动将其提取。
但这是完全可选的功能,还不清楚为什么球和高尔夫球可以访问剪贴板。显然,在所有提到的应用程序中,缓冲区读取是“为了用户方便”或至少是为了开发人员方便而实现的。不知道复制的数据接下来会发生什么。严格说说恶意软件,剪贴板拦截是窃取用户信息的标准功能,有时直接用于识别和窃取信用卡数据。
揭示了一个有趣的冲突:按照定义,剪贴板应该对所有人都可用。这几乎是现代移动操作系统中自由与交互的最后一个前哨站,在这里,应用程序之间以及与用户数据之间的隔离更加严格。但是,当用户不打算复制和粘贴任何内容时,漫不经心地访问缓冲区也不是最佳实践。开发人员可能必须在其应用程序中进行某些更改。否则,至少在iOS 14发行版中,用户会看到很多有关剪贴板访问的通知。
还有什么事
Google Analytics(分析)可用于收集和泄露用户数据。卡巴斯基实验室的专家解析使用分析服务真正的攻击。
Nvidia驱动程序更新(大多数GeForce图形卡的版本为451.48)涵盖了严重的漏洞,包括任意代码执行。
研究从泄漏中收集的数十亿个密码的数据库的 有趣结果。总共获得了1.68亿个唯一密码。泄漏中只有不到9%的密码出现一次,也就是说,大多数密码最有可能被重用。几乎三分之一的密码由字母组成,不包含数字或特殊字符。有关IT内部人员2017年对马士基航运公司的NotPetya攻击
的文章。
美国国会继续讨论在用户设备上的加密系统中提供“后门”的立法。这种方法受到密码学家的批评:您不能仅出于执法机构的利益而削弱保护。最终,所有人都可以使用“秘密密钥”解密数据。
6月25日,Akamai 报道防止最大的DDoS攻击之一。文章还提出了一种新的衡量攻击力的方法:“每秒数据包”。由于攻击的性质,需要进行这样的创新:每个攻击系统都没有尝试用流量“阻塞”提供商的通道,而是发送了只有一个字节大小的小数据包。同时,垃圾请求的发送强度很高:每秒高达8.09亿个请求。Telegram Messenger中有 4000万个“登录电话”对
的数据库进入了开放访问。在进入数据库的用户中,有30%来自俄罗斯。最有可能的是,该数据库是通过滥用标准的Messenger功能来编译的,该功能使您可以通过电话号码查找用户(如果该地址记录在通讯录中)。