Кибербезопасность

Как разработчики приложений через пробные версии получают доступ к деньгам подписчиков Fleeceware - название приложений (от английского fleece — обирать), которые становятся платными после пробного периода. Абсолютная легитимность кода позволяет им легко проходить через барьеры безопасности магазинов приложений Google и Apple. Впоследствии они взымают плату со своих пользователей. Сред них приложения для редактирования фотографий, гороскопы, услуги гадалок и т.п. Эти приложения не обладают какими-то экстраординарными функциями и доступны в других местах бесплатно. Стоимость их, как правило, завышена, чтобы, несмотря на их бесполезность, используя фишинговые механики управления поведением - дорого, значит престижно - вытягивать с пользователя деньги. По сведениям Apple, еженедельно проверяется более 100 000 приложений и обновлений. Около 60% проходят этот этап, среди них и Fleecewares, которые процветают в App Store. Приложения, приносят значительный доход не только своим разработчикам, но и дают Apple комиссию с каждой продажи (от 15 до 30%), что делает компанию фактически бенефициаром. Причина эффективности системы в том, что люди забывают отменить подписку или предполагают, что удаление приложения автоматически ее прекращает. В PlayStore, согласно отчету VPNCheck, 84 мошеннических приложения для iOS остаются там спустя год после того, как их выявила компания Avast, занимающаяся безопасностью. Сейчас fleeceware в App Store - это игровые приложения и сервисы криптовалют

Apple удалит пятнадцать игр из сервиса Arcade Открыт новый раздел сервиса, где будут размещаться игры, доступ к которым прекращен. 15 кандидатов уже в списке. Пользователи игрового сервиса Apple Arcade обнаружили в App Store раздел, посвященный не новой категории, а играм к удалению. Не первый раз Apple с создания сервиса в сентябре 2019 года проводит серьезную чистку каталога. Дебютантами новой секции стали: Projection: First Light Lifeslide Various Daylife EarthNight Atone: Heart of the Elder Tree Over the Alps Dread Nautical Cardpocalypse Towaga: Among Shadows Dead End Job Don’t Bug Me! Spelldrifter Spidersaurs Explottens BattleSky Brigade: Harpooner Специалисты Apple не указывают причину удаления и время его вступления в силу. Игры, находящиеся в разделе, доступны до своего исчезновения. Согласно сведениям MacRumors, удаление связано с окончанием трехлетнего соглашения Apple с разработчиками. Оно предусматривало выплату фиксированной суммы и гонорара. Производитель решил не продлевать это соглашение для целого ряда игр, отсюда и их исчезновение. Устаревшие игры не будут доступны в сервисе Apple Arcade, но разработчики могут предлагать их в App Store с новым идентификатором. Подписчик сервиса, скачавший одну из игр, сможет скачать ее снова, но не обязательно ту же версию. Это со временем может вызвать проблемы с уже сохраненными играми. В сервисе Apple Arcade доступно более 200 игр. Покупателям устройств Apple предоставляют 3 месяца бесплатного доступа к игровому сервису.

Microsoft Edge устраняет критический недостаток вслед за Google Chrome Буквально пару дней назад вышло обновление Google Chrome, исправляющее ошибку нулевого дня, 103.0.5060.114. Теперь и специалисты из Microsoft устанавливают крупный патч для своего веб-браузера. Корпорация из Редмонда развернула новое обновление, направленное на исправление уязвимости нулевого дня. То же самое, что поразило Google Chrome 4 июля. Браузер Microsoft базируется на проекте с открытым кодом  Chromium, поэтому неизбежно попадает под воздействие одних и тех же уязвимостей. К сожалению, американский гигант вслед за компанией из Mountain View не предоставляет пользователям более подробной информации об этом патче. Исправляемая уязвимость получила наименование «CVE-2022-2294». Ее применение позволяет злоумышленникам влиять на функционирование браузера или получать доступ к личным данным. Обязательно убедитесь, что на вашем компьютере действует ​​самая последняя версия Microsoft Edge с номером 103.0.1264.49. Чтобы установить это обновление Microsoft Edge, если оно не было применено автоматически, нужно перейти в меню, расположенное в правом верхнем углу окна браузера в виде трех точек. Найти поле обновления здесь можно через раздел «Справка и отзывы», строка «О Microsoft Edge». Также пункт «О Microsoft Edge» можно найти через раздел Настройки. В большинстве случаев, если не было специального переконфигурирования функционала браузера, обновление пользователь получает при его загрузке или перезагрузке.

ТОП-25 самых опасных программных ошибок 2022 года Опубликован перечень 25 наиболее опасных недостатков программных оболочек. Список подготовлен в Соединенных Штатах Институтом проектирования и разработки систем национальной безопасности при поддержке Агентства кибербезопасности и безопасности инфраструктуры (CISA). Перечень основан на данных Common Vulnerabilities and Exposures (CVE), в котором собраны наиболее распространенные, а также критические ошибки, которые являются причиной возникновения серьезных уязвимостей системы. Часто эти уязвимости легко найти и использовать. Они позволяют злоумышленникам получить полный контроль над системой, похищать данные и затруднять работу приложений. Полученный в результате анализа данных CWE Top-25 профессионалам, имеющим дело с программным обеспечением, предоставляет практичный и удобный ресурс, позволяющий принимать меры для снижения рисков. Данные, использованные для расчета Top-25 2022 года, содержат в общей сложности 37 899 записей CVE. Использованы сведения каталога уязвимостей (KEV) CISA. Две основные уязвимости не поменяли лидирующие позиции: CWE-787 (ошибка записи за пределы памяти) и CWE-79 (ошибка межсайтового скриптинга). SQL-инъекция или CWE-89 заняли третье место, подвинув со своего места уязвимость памяти CWE-125 чтения за пределами границ. На 4 месте находится CWE-20 из-за неправильной проверки ввода, а внедрение команд ОС (CWE-78) находится на 6 месте. Записи в списке CWE содержат подробное объяснение каждой уязвимости.