Начнем с отпечатков пальцев. Сканер отпечатков в смартфонах — одна из немногих фич современных устройств, которая реально делает жизнь удобнее. Она обеспечивает разумную защиту телефона от постороннего вмешательства и позволяет разблокировать устройство одним нажатием. С расположением сканера производители смартфонов пока не определились: в зависимости от модели он переезжает с передней панели на боковую, перемещается вокруг камеры, а Apple и вовсе выпилила свой сканер в пользу распознавания лиц. Китайские исследователи из компании Tencent обнаружили уязвимость в самом свежем варианте сканера отпечатков, который располагается прямо под дисплеем.
Представители Xuanwu Lab, одного из исследовательских подразделений Tencent, утверждают, что уязвимости подвержены абсолютно все телефоны, снабженные сканером отпечатков под дисплеем (
Все существующие сканеры такого типа работают в связке с дисплеем. Когда владелец прикладывает к экрану палец, экран подсвечивает поверхность, а миниатюрные оптические датчики анализируют отпечаток. Проблемой стал именно оптический метод распознавания, отличный от применяемых в обычных сканерах емкостных датчиков. Оптический сенсор, как выяснилось, оказался достаточно чувствительным, чтобы распознать не палец, а отпечаток пальца на поверхности экрана. В результате взломать телефон просто: ждем, когда владелец приложит палец к экрану, отбираем телефон, прикладываем к сохранившемуся на дисплее отпечатку пальца кусок фольги — и тадам, мы авторизованы. В случае с Huawei решить проблему было просто: обновили алгоритм распознавания, судя по всему, понизив чувствительность.
Почту Gmail — спойлер — не взломали. Исследователь Тим Коттен на прошлой неделе обнаружил (
Примечательно, что сам GMail не дает отправлять письма, если в имени отправителя содержится адрес электронной почты. Но когда такие сообщения приходят и адрес в имени отправителя совпадает с адресом получателя, они оказываются в папке с отправленными сообщениями. Это может вызвать как минимум недоумение, но такой хитрый прием также способен повысить шансы на то, что неопытный пользователь откроет вредоносную ссылку из письма, пытаясь понять, что же он такое отправлял. Тот же исследователь позднее
Наконец, компания SEC Consult Vulnerability Lab
Восемьсот «котят несудьбы» — и приложение подвисает на несколько секунд. Если продолжать присылать эмодзи, можно вывести клиент из строя надолго. Уязвимости подвержены только некоторые версии клиентов Skype for Business 2016, а также предшественник — Microsoft Lync 2013. Уязвимость была закрыта на этой неделе, но сам факт обнаружения такой проблемы именно в бизнесовых версиях скайпа говорит нам — что? Что эмоциям на работе не место! Кстати, вместе с эмоциональным скайпом Microsoft закрыла куда более серьезную уязвимость в 32-битной Windows 7, ранее
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.