تلك اللحظة الذكية عندما كتبت خلاصة نبوية. كانت المشكلة الأخيرة تتعلق بالمخاطر الأمنية في Android ، ولا سيما حول نقاط الضعف مثل Man-in-the-disk ، وكذلك السلوك غير الرياضي (كل ذلك من أجل المال) لسلوك Epic Games ، الذي رفض استضافة Fortnite على متجر Google Play. في 25 أغسطس ، اجتمعت سوليتير معًا: دخلت Google مع متجرها ، Epic Games بإصدارها التجريبي من Fortnite ، وحتى ضعف الرجل في القرص في علاقة حميمة ، مما أدى إلى فضيحة متوسطة الحجم.
في البداية ، كان الأمر يتعلق بحقيقة أن اللاعبين الأذكياء تقنيًا في Fortnite ، بعد عدم العثور على إصدار Android في متجر Google Play الرسمي ، سيبحثون عنه في مكان آخر ويثبتون شيئًا خاطئًا على الهاتف الذكي. إذا ذهبت الآن إلى متجر التطبيقات من هاتفك الذكي وتبحث عن Fortnite هناك ، فستعرض لك Google رسالة خاصة ، كما في الصورة أعلاه ، حتى لا تثبت تطبيقات استنساخ من المتجر. ولكن ، كما اتضح ، فإن مثبت Fortnite نفسه ضعيف - ليس فقط مروعًا تمامًا في السيناريو ، ولكن لا يزال كذلك.
تم اكتشاف الثغرة الأمنية في 15 أغسطس بواسطة Google ، وتم نشر التفاصيل الفنية في أداة تتبع
الأخطاء الخاصة بهم. المشكلة مماثلة لتلك التي تشيك بوينت (التي نوقشت بمزيد من التفصيل في
الملخص رقم 31 ). كما هو مطبق على Fortnite ، اتضح بهذه الطريقة: يقوم المستخدم بتنزيل المثبت من الموقع ، وتتمثل مهمته الوحيدة في العثور على اللعبة نفسها وتثبيتها.
يقوم المثبت بتنزيل ملف اللعبة وحفظه في الذاكرة الخارجية. يمكن لأي تطبيق يمكنه أيضًا الوصول إلى ذاكرة خارجية استبدال هذا الملف. يبدأ المثبت بعد ذلك تثبيت اللعبة ، ولا يشك في أنها بدأت بالفعل في حدوث شيء خاطئ: لم يتم التحقق من صحة الملف الذي تم تنزيله. علاوة على ذلك ، يمكنك جعل Fortnite المزيفة تلقائيًا ، دون إخطار المستخدم ، للوصول إلى البيانات الخاصة. عندما يستخدم التطبيق إصدارًا محددًا من SDK ، لن يطلب الهاتف إذنًا من المستخدم (والذي لا يزال معتمدًا بشكل افتراضي في معظم الحالات).
يتم حل المشكلة ببساطة: تحتاج إلى حفظ المثبت في الذاكرة الداخلية ، حيث يكون فقط التطبيق الذي أنشأها لديه حق الوصول إلى الملفات. وهو في الواقع ما فعلته Epic Games ، والقضاء على الضعف في غضون يومين. أعلم باحثو Google المطور في 15 أغسطس ، وتم حل المشكلة 17. بعد سبعة أيام ، في يوم 24 (مساء الجمعة) ، مع الامتثال الكامل لقواعد الكشف عن الثغرات الأمنية التي تتبعها Google ، تم نشر المعلومات في المجال العام.
جوهر الفضيحة بسيط: حدث تضارب في المصالح من جانب جوجل. تحصل الشركة على 30٪ من أي مبيعات في التطبيقات المنشورة على Google Play. لا تخطط Epic Games لوضع Fortnite في المتجر الرسمي ، حتى لا تدفع هذه الرسوم. اللعبة شائعة بالفعل - الترويج الإضافي الذي توفره منصة Google نفسها غير مطلوب. بالطبع ، شرح مطور اللعبة هذا القرار ليس بقضية نقدية ، ولكن من خلال "الرغبة في تطوير قنوات توزيع بديلة" أو شيء من هذا القبيل. على الرغم من أن إصدار Android من اللعبة يتم تقديمه كإصدار تجريبي على موقع Epic Games ، إلا أنه في متجر تطبيقات Samsung ، فإنه متاح تمامًا مثل هذا الإعلان ويتم الإعلان عنه مع لافتتين إعلانيتين في وقت واحد ، بالتأكيد.
في مراسلات مع Google ، يقدم ممثلو Epic Games تقريرًا عن حل المشكلة ، ولكن يطلبون عدم نشر معلومات حول الثغرة الأمنية حتى انتهاء صلاحية معيار معايير الكشف المسؤول عن المعلومات لمدة تسعين يومًا. ترفض Google: إذا كان هناك حل وكان متاحًا للجماهير ، فلا فائدة من إخفائه. ورداً على ذلك ،
يتهم الرئيس التنفيذي لشركة Epic Games ، في تعليق على Mashable ، Google بأنها غير مسؤولة.
من على حق؟ لم تنتهك Google قواعدها للتعامل مع معلومات الثغرات الأمنية الخطيرة. تقول التعليقات في Bugtracker عن حق أنه إذا تم توزيع التطبيق عبر Google Play ، فلن تكون هناك مشكلة - لن تضطر إلى بناء حديقة مع "مثبت المثبت". من ناحية أخرى ، كان ينبغي أن تكون Google على دراية بحالة الصراع ، ومن يتسبب في مشاكل للشركات الأخرى من خلال نشر معلومات يوم الجمعة الساعة السابعة مساءً؟ هل الثغرة خطيرة للغاية؟ اتضح أن المستخدم يجب أن يكون لديه بالفعل تطبيق على الهاتف الذكي لديه نوايا سيئة - من خلال كود هولي فورتنايت ، سرقة البيانات الشخصية.
تشير التجربة إلى أنه لا توجد تفاهات تافهة في مجال أمن المعلومات. في أي حالة أخرى ، قد يكون هذا تبادلًا طبيعيًا للمعلومات: وجدنا مشكلة ، وقمت بإصلاحها ، وكل شيء على ما يرام. هنا ، تم تسييس النقاش حول الضعف الروتيني على الفور. هذه القصة تدور حول انعدام الثقة. في المرة القادمة ، سيجد شخص ما ثغرة في البرنامج ، ويبلغ الشركة المصنعة به ، وسيسحب الإجابات عن عمد ، ويطلب معلومات إضافية ، ولا يعترف بأن الثقب مغلق منذ فترة طويلة. في مثل هذا الجو "الصحي" و "الودي" ، فإن احتمال إطلاق النار على الساقين سيزداد فقط.
ماذا حدث ايضا؟حققت Kaspersky Lab في الحملة الجديدة لمجموعة Lazarus (التي يُزعم أنها هاجمت Sony Pictures في عام 2014) ، وهناك نوع من أفلام الحركة الصعبة: يستهدف Mac OS X لأول مرة ، ويستخدم حصان طروادة متطورًا تم تسليمه من موقع ويب مزيف مزيف للبيع العملات المشفرة
المزيفة . باختصار مكتوبة باللغة الروسية
هنا بالتفصيل باللغة الإنجليزية
هنا .
أغلقت OpenSSH الثغرة غير الخطيرة (تسرب غير مقصود لأسماء المستخدمين) الموجودة في الكود لمدة 19 عامًا منذ إصدار الإصدار الأول من حزمة البرامج.
يدعي Qualys أن
الإغلاق كان غير مقصود - تم اكتشاف المشكلة ليس قبل تحديث الرمز ، ولكن بعد ذلك.
تمت
مقاضاة Google لتتبع المستخدمين عندما لا يريدون ذلك ، بعد
تحقيق أجرته وكالة أسوشيتد برس. اتضح أن تعطيل تحديد المواقع لا يعطله تمامًا.
إخلاء المسؤولية: كل شيء معقد للغاية ، ولا يصبح الأمر أسهل. كن حذرا و حذرا.