Goodtech

Метка: Безопасность

  • Apple будет платить до $5 млн за найденные баги в своих системах

    Apple будет платить до $5 млн за найденные баги в своих системах

    Apple существенно обновила свою программу вознаграждений за обнаружение уязвимостей — Apple Security Bounty, которая действует с 2020 года. За это время компания уже выплатила более $35 млн более чем 800 исследователям в сфере безопасности. В среднем каждый из них получил примерно $43 750, но теперь ставки выросли — Apple готова платить значительно больше.

    Новые правила Apple для охотников за багами

    В своем блоге Apple описала главные изменения в программе вознаграждений. Если коротко подытожить, они сводятся к следующему:

    • Удвоено максимальное вознаграждение — теперь до $2 млн можно получить за обнаружение цепей эксплойтов, которые могут достигать целей, подобных атакам шпионского ПО высокого уровня, используемого наемными хакерами.
    • За обход режима Lockdown Mode и уязвимости в бета-версиях программного обеспечения предусмотрены дополнительные бонусы. Общая сумма вознаграждения в таких случаях может достигать до $5 млн.
    • $100 тыс. долларов — за обнаружение полного обхода Gatekeeper, который позволяет вредоносному коду запускаться на macOS без срабатывания проверок безопасности.
    • $1 млн — за нахождение способа получить широкий несанкционированный доступ к iCloud.
    • В программу добавлена категория one-click WebKit sandbox escapes, то есть уязвимости, которые позволяют обойти защиту WebKit (движка Safari ) лишь одним нажатием — за них обещают до $300 тыс.
    • Еще $1 млн Apple заплатит за обнаружение эксплойтов беспроводной близости, независимо от того, какой именно радиомодуль используется.

    Как эти изменения влияют на безопасность Apple

    Программа вознаграждений существенно помогла компании укрепить свои системы. Среди заметных достижений:

    • Режим Lockdown Mode, который минимизирует пути атаки — блокирует вложения, предварительный просмотр ссылок и веб-скрипты.
    • Обновленная архитектура безопасности Safari, что затрудняет эксплуатацию ошибок в браузере.
    • Memory Integrity Enforcement — аппаратная функция защиты от повреждения памяти, реализованная в новых чипах, в частности A19.

    Apple отмечает, что после этих усовершенствований системные атаки на iOS остаются возможными только с помощью сверхсложного шпионского ПО, разработка которого стоит миллионы долларов. Такие атаки обычно нацелены только на ограниченный круг лиц.

    Ранее Microsoft заявляла, что будет выплачивать до $20 тыс. за найденные ошибки в Defender.

    Источник: wccftech

    https://itc.ua/news/apple-budet-platyt-do-5-mln-za-najdennye-bagy-v-svoyh-systemah/

  • YouTube удалил 3000 видео: распространяли вредоносное ПО под видом "взломов" игр и программ

    YouTube удалил 3000 видео: распространяли вредоносное ПО под видом "взломов" игр и программ

    Google удалила более 3 тыс. видео на YouTube, которые были частью масштабной преступной кампании по установке вредоносного программного обеспечения. Исследователи из Check Point Research назвали ее YouTube Ghost Network (призрачная сеть YouTube), ведь она действовала скрыто, но эффективно, используя функции платформы, чтобы распространять опасный контент.

    Как работала призрачная сеть YouTube

    Видео выглядели вполне привычно: зрителям предлагали «взломанные» версии игр, программ для дизайна или музыки, например Adobe Photoshop или FL Studio. Именно эти темы имели огромную популярность, так как пользователи часто ищут способы бесплатно получить платное программное обеспечение. Но скачивая такие файлы, они вместо «креков» получали вирусы и похитители информации.

    Среди обнаруженного вредоносного ПО были известные инструменты для кражи данных — Rhadamanthys, Lumma Stealer и RedLine. Такие программы способны похищать пароли, данные банковских карт, криптокошельки и другую конфиденциальную информацию.

    Чтобы создать иллюзию безопасности, организаторы сети имитировали активность настоящих зрителей. Одни аккаунты загружали видео, другие — ставили лайки, комментировали, подписывались и публиковали положительные сообщения. Например, один из роликов, посвященный «взлому» Photoshop, имел более 293 тыс. просмотров и 54 комментария, другой — с «креком» FL Studio — 147 тыс. просмотров. С виду все казалось вполне нормальным.

    По данным Check Point, сеть действовала как минимум с 2021 года. В 2025-м активность злоумышленников выросла в три раза — это свидетельствует об увеличении масштабов и эффективности кампании.

    Не только YouTube

    Похожие схемы исследователи ранее обнаруживали и на других платформах — Reddit и WeTransfer, где тоже распространяли Lumma malware. Все эти атаки используют доверие пользователей к популярным сервисам и желание найти бесплатные версии программ.

    Эксперты отмечают: раньше большое количество просмотров и положительных отзывов могло означать, что видео безопасное. Но сегодня, когда до 50% всего интернет-трафика создают боты, даже самые популярные видео могут быть частью мошеннической схемы.

    Эта история — очередное напоминание, что «бесплатное» программное обеспечение часто стоит слишком дорого. В погоне за взломанными версиями пользователи рискуют собственными данными, деньгами и даже безопасностью своих устройств. Киберпреступники больше не действуют кустарно — они создают целые сети с поддержкой ботов и фейковых аккаунтов, что делает борьбу с ними сложнее, чем когда-либо.

    Источник: techradar

    https://itc.ua/news/youtube-udalyl-3000-vydeo-rasprostranyaly-vredonosnoe-po-pod-vydom-vzlomov-ygr-y-programm/