День: 23.12.2018

В компании отказались рассматривать ситуацию как угрозу безопасности

Исследователь безопасности, известный в Сети как Lasq, опубликовал PoC-код, который может быть использован для создания полностью функционального червя для Facebook.

Код эксплуатирует уязвимость в социальной платформе, позволяющую публиковать спам на страницах пользователей. Что интересно, эта уязвимость уже активно эксплуатируется спамерами.

Lasq обратил внимание на проблему, когда заметил на страницах своих друзей ссылку, которая вела на французский сайт комиксов. При заходе пользователю требуется подтвердить возраст, а затем открывается страница с собственно комиксами и большим количеством рекламных объявлений, при этом ссылка на ресурс публикуется на стене на странице посетителя в Facebook.

Изучая исходный код страницы сайта, эксперт обнаружил подозрительный iframe, наличие которого могло указывать на кликджекинг. Копнув глубже, Lasq выяснил, что мобильная версия Facebook игнорирует заголовок X-Frame-Options в диалоге общего доступа (в десктопной версии проблема не проявляется), который используется сайтами для предотвращения внедрения кода в iframe, и является одной из основных мер защиты против кликджекинга.

Исследователь сообщил о проблеме администрации Facebook, но в компании отказались рассматривать ситуацию как угрозу безопасности. Как пояснили представители платформы, кликджекинг считается проблемой только в случаях, когда атакующий каким-либо образом изменяет состояние учетной записи (например, отключает функции безопасности или удаляет аккаунт). Однако эксперт не согласен с данной точкой зрения. По его словам, злоумышленники могут воспользоваться данной возможностью не только для рассылки спама, но и для распространения ссылок на вредоносные сайты.
Источник

Apple может снова сократить производство iPhone

Аналитик компании Rosenblatt Цзунь Чжан поделился с инвесторами информацией о планах Apple по продаже новых iPhone. Утверждает, что производство будет вновь сокращено.

Основные проблемы — в Китае. Многие местные компании мотивируют сотрудников переходить на смартфоны Huawei вместо айфонов.

Предполагается, что производство смартфонов будет снижено еще на 4 млн единиц в первом финансовом квартале 2019 года: 2,5 млн iPhone XR, 1 млн iPhone Xs и 500 тыс. iPhone Xs Max.

В прошлом месяце издание Wall Street Journal сообщило, что Apple сократила заказы на iPhone Xs и iPhone XR. Ещё и дополнительную скидку на новинку дала.

В том же отчете говорилось, что компания пыталась предсказать спрос на свою трехуровневую линейку iPhone, но безуспешно. Многочисленные поставщики также снизили ожидания из-за сокращения заказов.
Источник

Google создала произведение искусства, используя трафик облачного сервиса

Через одно только облачное хранилище Google Cloud ежедневно проходит множество терабайт трафика и недавно группа дизайнеров из подразделения Google Cloud Storage совместно с агентством Staman Design визуализировала эти потоки.

Но не при помощи скучных таблиц, а в качестве завораживающих интерактивных картин. Причем такие визуализации не просто выглядят красиво, но и несут в себе массу интересной информации.

Для создания простой, понятной и наглядной «картины из трафика» дизайнеры использовали информацию о скорости передачи данных в отдельных странах и регионах, размерах файлов, точек, между которыми передавался трафик и еще кучу параметров.

«Анализ запросов к облачным хранилищам с течением времени показал нам четкую закономерность, которая дала возможность выявить определенные закономерности. Каждая такая закономерность дала нам представление о взаимосвязях трафика по всему миру. Таким образом, мы собрали все это вместе в одно видео, которое дало представление об общем потоке данных. Трафик прыгает из страны в страну, порой показывая неожиданные связи.» — заявил руководитель отдела маркетинга облачных хранилищ Google Cloud Крис Тэлботт.

Основная идея проекта состояла в том, чтобы создать глобальную картину всего сервиса, что позволило бы выделить шаблоны потоков трафика, а это в свою очередь дало бы возможность предоставить клиентам более удобные инструменты для ведения бизнеса, помочь компаниям понять, как именно пользователи определенных регионов пользуются конкретными продуктами, товарами и услугами.

Процесс создания видеоролика, доступного ниже, начался с анализа данных облачного хранилища, а также запросов от клиентов сервиса. Эти данные отображают «происхождение трафика» и то, в какой регион он переправляется. Команда на протяжении длительного времени вычисляла эти взаимодействия и искала закономерности. При этом информация указывала лишь направление потока данных, без уточнения, кому они принадлежат.

«У нас есть информация о размере файлов и временных метках, говорящих о том, когда был произведен запрос. Но мы не знаем, какой конкретно пользователь интересовался конкретным контентом.»

Источник