ロシア語のニュース 、 appororityレポート
Twilio開発者が、Rest APIとSDKを使用するアプリケーションがデータベースにアクセスするための認証情報をハードコード化することを困難にした理由を説明することは困難です。 しかし、彼らはそれをしました。 これは、Twilio自身のセキュリティポリシーがそのような警告を禁止しているという事実にもかかわらずです。
TwilioサービスにアクセスするためのAPIを使用すると、メッセージや音声通話を交換できます。これは、企業アプリケーションで要求されている機能です。 このコードからTwilioアカウントへのキーを引き裂くことができるユーザーは、企業アカウントに保存されているすべてのメタデータと音声レコードにアクセスできます。 そして、これらは何百万分もの会話と、重要な契約、機器の注文、性別の恋愛に関する無数のテキストメッセージです。 彼らが言うように、おっと。
Appthorityの専門家は、見つかった脆弱性にEavesdropperという名前を付けました。 Twilioテクノロジーを使用して1000を超えるソリューションを分析した結果、685の脆弱なアプリケーション(iOSの約半分、Androidの半分)と85の侵害されたアカウントが見つかりました。 そして、これらのアプリケーションのインストール費用は数百万になります。
脆弱なAPIに基づいてアプリケーションを作成することはガラスレンガのフェンスを構築するようなものであるため、この穴を操作するための特別な機器やソフトウェアツールは必要ありません。
攻撃の構造は次のとおりです。最初に、ハッカーはストア内の説明を読むか、音声通信などの機能を備えたすべてのアプリケーションを連続してチェックすることにより、Twilioコードを使用するアプリケーションを見つけます。 次に、アプリケーションを行に分割し、Twilio資格情報が含まれる行を探します(キーとパスワードは相互に100バイト以内で、api.twilio.com呼び出しの隣にあります)。 それは技術の問題です。キーとパスワードを知っていれば、さまざまな方法でアカウントから妥協的な資料を抽出できます。
しかし、油断のないニュースで終わりではありません。漏れやすいアプリケーションを分析していると、Appthorityはそれらの40%で同様のエラーを発見し、Amazon S3を含む他のサービスを危うくしました。 Amazonの「バスケット」の名前は一意であり、異種データがリポジトリにマージされることが多いため、名前にアクセスするだけでも、会社の仮想ネットワークの構造について多くの興味深いことがわかります。 多くの場合、ボーナスはコンテンツ自体へのアクセスです。
この種の脆弱性を修正することは難しく、費用がかかります:有線アカウントをアプリケーションコードから削除するだけでなく、資格情報自体も変更する必要があります-何かを行うと、アプリケーションが動作しなくなるか、潜在的なハッカーがアーカイブにアクセスできるようになります。 したがって、ほぼ確実にこれらの穴について耳にします。
オンライン翻訳者がデータをオープンアクセスに統合しました
ロシア語のニュース 、 さらに英語で 。
透明なレンガのフェンスを構築する場合、あなたの秘密は秘密でなくなります。 掲示板に「翻訳してください!」というメモを記載した秘密の合意を投稿すると、遅かれ早かれ盗まれます。 石油とガスの大手スタトイルはまさにこのレーキを踏んだ。従業員はTranslate.comサービスを使用して翻訳を行った。重要な契約書やその他の機密データなどの手紙を送るといいだろう。
他の多くの同様のサービスと同様に、Translate.comは、機械学習を使用して避けられない真珠を取り除くことを試みました。 これを行うために、ダウンロードされたすべてのテキストが保存および分析されました。 それらを転送した後、誰もそれらをクラウドから削除しませんでした。そして最近まで、それらは静かにGoogleによってインデックスされました。
この露骨な事実は、ノルウェーのジャーナリストがパブリックドメインでスタトイルに関する情報を検索したときに偶然発見されました。 Translate.comの代表者は、翻訳サービスの新しいバージョンは保存しないので、心配することは何もないと言い、明らかに、彼らはすべてを一掃することに急いだ。 ただし、一部の資料は引き続きGoogleキャッシュで表示できます。
Statoilの運命から誰も安全ではありません。オンライン翻訳者は、専門的なサービスを提供できない中小企業だけでなく、専門家自身によっても使用されています。 アルバニア語からポーランド語に何かを緊急に翻訳する必要がある場合、NDAは誰も停止しませんが、専門家はいません。 そして、プロセスを制御することはほとんど不可能です:サードパーティのスペシャリストを雇い、エクスポートオプションを無効にしたオンラインサービスのみでタスクを提供しても、彼らがそれに慣れたり、テキストをオンライン翻訳者にプッシュしたりする保証はありません-スクリーンショットを撮り、OCRを使用してそれを認識します。
フォルクスワーゲンはこの問題を根本的に解決しました。彼らは機械と自動翻訳の独自のシステムを作り、他のすべての人が従業員を使うことを禁じました。 しかし、彼らはチリやフィンランドよりも年間収入が多いのです。
ハッカーが飛行機をハックする
ニュース
好きなアクション映画は好きですか? もしそうなら、ハッカーが飛行機の制御システムに侵入するシーンを見たことがあるはずです。 ほとんどの場合は乗客であり、ほとんどの場合はリモートです。 そして、脚本家の慢さに応じて、飛行機シミュレータを使用して高速道路に巨大なエアバスを乗せるか、壮大な何かをします。
2年前、セキュリティの専門家であるクリス・ロバーツは、「機内Wi-Fi制御システムに乗り込んで良い冗談を言う時が来たのか?」という冗談でアメリカの航空会社のフライトから既に除外されていました。 ただし、航空セキュリティの問題はユーモラスではありません。
昨年、米国国土安全保障省(DHS)は、専門家チームにこの目的専用のボーイング757制御システムへのハッキングを依頼する実験を依頼しました。 子どもたちはたった2日で、空港ターミナルを簡単に移動できる機器のみを使用しました。 さらに、クラッカーは乗組員から「誤って処理されたコサック」を引き付けず、ボーイング自体にも触れませんでした-無線通信のみ、ハードコアのみ。 もちろん、彼らが何をしたかは明らかにされていないので、ハリウッドの脚本家は想像力を最大限に発揮し続ける必要があります。
DHSのスポークスマンによると、この脆弱性は航空機の設計者にとって新しいものではありませんでした-実験結果の発表に出席したパイロットとは異なります。
また、これまでのところ、サービス担当者が地上ネットワークとは根本的に異なる航空ネットワークに侵入するという脅威に直面していないため、このニュースは非常に憂慮すべきものです。 確かに、新しいボーイングモデルは発見された脆弱性から保護されていますが、古いモデルでは何も修正していません。 おそらく、1機のファームウェアのコード行を交換すると100万ドルもかかることを考えると、修正されません。 主に古いボーイングを運営している中小企業は、たとえこの方向で考えたとしても破産します。
しかし、もちろん対策が必要です。 おそらく、2、3年後には、空港ですべてのものがカメラやテディベアの歌などの電子スタッフでチェックされます。
古物
エイズ-552
居住者は非常に危険なウイルスです。 通常、.exeファイルが閉じられると感染します。 閉じられた16番目のCOMファイルごとに、コードの一部を書き込みます(ウイルスはファイルの古い内容を保存しないため、ファイルは復元されません)。 そのようなファイルが起動されると、「AIDS」という単語が大きな文字で表示されます。 int 3、21hを変更します。
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。