Цифровой журнал «Компьютерра» № 213 - Коллектив Авторов

В документе будущие наушники-вкладыши описываются как устройство с многочисленными датчиками физического состояния: сердцебиение, уровень потоотделения, температура тела, степень активности. Связь со смартфоном будет осуществляться через 3,5-миллиметровый аудиоразъём или посредством Bluetooth. Есть вероятность, что наушники будут работать с восьмой версией iOS, в которую, по слухам, интегрируют приложение Healthbook (специально заточенное для отслеживания показателей здоровья и фитнес-активности). 

Кроме того, в патенте описывается технология управления музыкой при помощи движений головы: наклоны головы — для переключения, кивок — для паузы и так далее.

Надо отметить, что идея подобного устройства не нова. На прошедшей выставке CES 2014 компания Intel представила похожие наушники, отслеживающие пульс пользователя и способные подбирать музыку в соответствии с сердцебиением.

К оглавлению

Mobile

Google не может закрыть уязвимость на 70% мобильных устройств с ОС Android

Андрей Васильков

Опубликовано 18 февраля 2014

Джо Венникс (Joe Vennix) — специалист компании Rapid7, занимающейся вопросами информационной безопасности, — обнаружил уязвимость во встроенном браузере ОС Android. Она затрагивает свыше 70% смартфонов, позволяя запустить вредоносный код через модифицированную веб-страницу, QR-код или злонамеренно изменённое приложение.

Подобную уязвимость в браузере Apple Safari Венникс нашёл год назад. Её долго не устраняли, но в итоге Apple всё же выпустила патч, применение которого для пользователей в целом прошло незаметно.

Для компании Google закрыть дыру в любом встроенном программном компоненте будет сейчас значительно сложнее. Основная проблема в том, что до сих пор отсутствует механизм быстрой доставки критических обновлений для компонентов прошивки непосредственно на мобильные устройства во всём их многообразии.

Инициатива Android Upgrade Alliance, призванная сократить срок типичного ожидания обновлений, не нашла поддержки у производителей смартфонов и в итоге провалилась. Теперь даже не все смартфоны собственной серии Nexus получают последние апдейты. 

К примеру, бремя поддержки Samsung GT-I9250 Galaxy Nexus было разделено между Google и Samsung. На сегодня автоматическое обновление «по воздуху» получили только те аппараты, у которых был прошит идентификатор Google (yakju). Абсолютно идентичные смартфоны, поддержкой которых по жребию должна заниматься Samsung, застряли на версии 4.2.1 уже больше полугода. Апдейт до версии 4.4 для них не предусмотрен вовсе.

Galaxy Nexus не получит последнее обновление по чисто формальной причине (скриншот сайта support.google.com).

С моделями других производителей всё ещё хуже. Многие из них никогда не получат официального обновления даже до версии 4.x, хотя их аппаратная часть не накладывает на это серьёзных ограничений.

По этим причинам любой эксплойт в ОС Android сейчас куда более опасен, чем в других мобильных операционных системах. Выходов из данной ситуации я вижу два:

использовать альтернативные приложения вместо встроенных;

Первый метод редко будет результативным. Многие сторонние приложения реально работают лишь как интерфейсная надстройка над предустановленными компонентами. Следовательно, их часто будут касаться те же проблемы безопасности.

По данным агентства Strategy Analytics, доля операционной системы Android на рынке мобильных ОС составляет сейчас почти 79%.

Рыночная доля Android и других мобильных ОС (изображение: strategyanalytics.com).

Только за последний год было реализовано свыше 780 млн смартфонов с Android. Последняя версия 4.4 (KitKat) установлена лишь на 1,8% из них, а предыдущая 4.3 — на 8,9%.

Связано это с политикой распространения ОС. В отличие от Microsoft и Apple, Google предоставляет производителям смартфонов и операторам сотовой связи широкие возможности по модификации своей операционной системы. Обычно они касаются интерфейса или установки различных дополнений и не затрагивают системных компонентов. Однако отсутствие жёстких требований в итоге приводит к появлению несовместимых версий и снижает безопасность. Как разработчик ОС Google оказывается не в состоянии выпустить одно универсальное обновление для мобильных устройств всех производителей, а сами они мало заинтересованы в этом.

Поэтому с каждой версией Google старается выделять всё больше сервисов как пользовательские приложения с возможностью их автоматического обновления через магазин Google Play. Так уже случилось с почтой Gmail и службой поиска, которые раньше обновлялись только вместе с прошивкой.

Данные о распространённости уязвимости пока уточняются. Сам Венникс предполагает, что она затрагивает все версии до Ice Cream Sandwich включительно. По отдельным сообщениям, эксплойт работал и на Jelly Bean 4.1.x. 

Другой исследователь, Джошуа Дрейк (Joshua J. Drake), недавно подтвердил, что проблема актуальна и для Google Glass версии XE12. Соответствующий эксплойт был опробован им независимо в рамках эксперимента. Используют ли его злоумышленники на практике — пока трудно сказать.

Проверка наличия уязвимости во встроенном браузере ОС Android на сайте droidsec.org (скриншот).

Касается ли найденная уязвимость непосредственно ваших устройств с ОС Android? Это можно узнать, зайдя встроенным браузером на страницу проверки.

К оглавлению

Технологии

Век разведки в стиле open source: мы можем и должны вскрывать чужие тайны!

Евгений Золотов

Опубликовано 19 февраля 2014

Окажись в нашем времени человек из 80-х годов, он был бы особенно впечатлён случившейся за тридцать лет качественной переменой в способах распространения информации. Цифровые технологии и персональные коммуникации децентрализовали процесс, отобрав его у СМИ и препоручив обывателям. Вместе с этим стала возможной удивительная вещь: сегодня мы в состоянии (почти буквально) заглянуть в любую точку пространства-времени не выходя из дома.

Кое-кто называет это «веком разведки в стиле open source» — подразумевая, что каждый первый обладатель персоналки с доступом к Сети нынче способен творить те же интеллектуальные чудеса, какие раньше были по силам только государственным разведкам. И лучше того: что результаты таких «любительских расследований» могут быть полезны. Как, например, выводы, сделанные «в домашних условиях» группой американских учёных, заинтересовавшихся наличием у Северной Кореи мобильных пусковых установок для межконтинентальных ракет.

Корейская Народно-Демократическая Республика (КНДР) больше полувека остаётся закрытой территорией. ООН может сколько угодно сожалеть о творящихся там «системных нарушениях прав человека», но пока у руля остаются идеологи чучхе, всё это лишь слова: режим Ким Чен Ына так же крепко охраняет внутренние секреты, как при его отце и деде. Однако кое-что всё-таки изменилось — и связаны эти перемены к лучшему как раз с трансформацией способов распространения информации.

Весной 2012 года на официальных кадрах (а других из КНДР почти и не поступает: из-за нищеты и тотального государственного контроля у населения нет даже нормальных радиоприёмников, не то что персоналок или смартфонов) военного парада в Пхеньяне были замечены гигантские тягачи, везущие ракеты KN-08 или их муляжи. Главным сюрпризом, впрочем, стали не ракеты, а собственно транспортёры. Силами китайских блогеров было выяснено, что машины — китайские, но откуда им взяться, если Китай официально такую технику северокорейцам не поставляет?

Благодаря публично доступным отчётам фирмы-продавца, подтверждённым китайскими властями, стало известно, что частичное нарушение санкций ООН всё-таки имело место: продали не сами транспортёры, а только шасси от них, якобы для гражданского применения. Следовательно, механизм подъёма ракеты и прочее необходимое добавили уже в Северной Корее.

Год спустя на YouTube, опять-таки в кинопропаганде, тягачи засветились снова. В одном из фильмов, демонстрирующих обычный для КНДР процесс «управления на местах» (суть: великий лидер ездит по стране и даёт ценные указания рабочим и крестьянам), были мельком показаны два цеха, в которых те самые транспортёры собирают. Естественно, показаны изнутри, так что узнать, где именно они расположены, вроде бы нельзя. И всё-таки это удалось сделать без помощи шпионов.