Comments 14
Короче, Google кажется тоже что-то знает.Естественно, они же сами занимаются развитием квантовых вычислений.
Седьмого июля они сообщили о начале эксперимента с постквантовой криптографией в браузере Chome.Идет ли речь о криптографии на решетках?
Оригинальная уязвимость в wget (хотя казалось бы, как можно сломать wget?).
Ну… как бы всегда качаем в специальную папку и по большей части с -O.
Хм. Но ведь в покемонах нашли банальный XSS в имени покемона на этой неделе, емнип.
Но вообще да, количество людей, радостно отдавших доступ к своим гугл-аккаунтам, тревожит несколько больше.
Разработчики под Android приучили пользователей плевать на список разрешений. Потому что сейчас даже самый распоследний фонарик под Android требует полный набор, вплоть до отправки платных SMS, и хорошо ещё, если не рут.
Без чего-то вроде XPrivacy система разрешений в итоге вообще не работает, а всему виной лень разработчиков, которым неохота настраивать фреймворки: что было в dev-версии, то и в продакшн уходит.
Без чего-то вроде XPrivacy система разрешений в итоге вообще не работает, а всему виной лень разработчиков, которым неохота настраивать фреймворки: что было в dev-версии, то и в продакшн уходит.
На самом деле, всё ещё хуже. У меня в приложении есть функция фонарика (это побочный функционал, добавил для удобства). Но как такового фонарика в Андроиде нет, есть светодиодная вспышка, которую используют в качестве фонарика. А для доступа к вспышке требуется разрешение на «фото- и видеосъёмку». Вот так и получается, что из-за не очень продуманной системы разрешений проще сразу запросить рут, чем показывать десяток разрешений, которые (среднестатистический)пользователь всё-равно не будет читать, а сразу нажмёт «согласен на всё».
Еще хуже то, что Андроид не предоставляет возможности пользователю отзывать разрешения, чтобы приложение строго работало только в тех рамках, которые предоставил ему пользователь. Не должно быть крайностей, типа «или все, или ничего».
А ещё больше тревожит количество упоминаний этой игры везде, где только можно
Поставил покемонов, появилась кнопка залогинится с помощью гугла, при нажатии ничего больше не спрашивается.
Тоесть проблема куда шире чем кажется, получается злоумышленник может создать приложение, предложить залогинится с помощью гугла и получить полный доступ.
Тоесть проблема куда шире чем кажется, получается злоумышленник может создать приложение, предложить залогинится с помощью гугла и получить полный доступ.
Вы бы для начала поинтересовались, как работают механизмы SSO. Service Provider (в данном случае Pokemon Go) в процессе авторизации ни коем образом не получает доступ к учетной записи Identity Provider'а (Google).
так это не ко мне, «Исследователь Адам Рив»
Посмотрел список приложений у себя в гугле, никаких покемонов нет.
Похоже у меня уже исправленная версия, но в первоисточнике написано:
hit the Google button, and was redirected to log in
No premission window
и в приложениях
Pokemon Go has full access to your Google account
Посмотрел список приложений у себя в гугле, никаких покемонов нет.
Похоже у меня уже исправленная версия, но в первоисточнике написано:
hit the Google button, and was redirected to log in
No premission window
и в приложениях
Pokemon Go has full access to your Google account
между «элитным» АСУ и «гражданским» интернетом вещей не такая уж большая разница на уровне железа и софтаИ никого не смущает, что разница вообще-то во всём, начиная с такой «незначительной» вещи, как вендоры, и заканчивая ценами на эти самые железо и софт? Ох, как я люблю читать про киберсекурность АСУТП.
Sign up to leave a comment.
Security Week 28: Приватность покемонов, критическая инфраструктура онлайн, постквантовая криптография в Chrome