Эксперты по безопасности нашли в каждом четвертом приложении на Android уязвимость. Она была обнаружена в Android Jetpack, в частности, в библиотеке Android Jetpack Navigation, которая содержит компоненты для навигации внутри приложения. Разработчики, используя ее, выпускают уже продукты с брешью, не зная об этом. Уязвимость позволяет злоумышленникам открывать фрагменты внутри приложений и передать любые данные, установить прослушку, камеры слежения, а также завладеть личной информацией пользователей.
Инженеры Google вначале добавили предупреждение в документацию этой библиотеки о том, что следует использовать дополнительные проверки доступа к экранам приложения. То есть в Google скорее всего знали о проблеме. И только в конце сентября выпустили версию 2.8.1 этой библиотеки, где была исправлена возможность эксплуатации некорректной реализации навигации.
Разработчикам, использующим эту библиотеку, для минимизации рисков эксплуатации их приложений необходимо использовать последнюю версию с исправленной уязвимостью либо отказаться от работы с этой библиотекой.
https://iz.ru/1784128/elizaveta-krylova/ne-okei-google-v-kazdom-cetvertom-prilozenii-na-android-nasli-uazvimost
Инженеры Google вначале добавили предупреждение в документацию этой библиотеки о том, что следует использовать дополнительные проверки доступа к экранам приложения. То есть в Google скорее всего знали о проблеме. И только в конце сентября выпустили версию 2.8.1 этой библиотеки, где была исправлена возможность эксплуатации некорректной реализации навигации.
Разработчикам, использующим эту библиотеку, для минимизации рисков эксплуатации их приложений необходимо использовать последнюю версию с исправленной уязвимостью либо отказаться от работы с этой библиотекой.
https://iz.ru/1784128/elizaveta-krylova/ne-okei-google-v-kazdom-cetvertom-prilozenii-na-android-nasli-uazvimost
Известия
Не окей, Google: в каждом четвертом приложении на Android нашли уязвимость
Как пользователи могут выявить в скаченных программах бреши и чем они опасны
👍2🐳1
Согласно правительству США, критически важное программное обеспечение должно отказаться от C/C++ к 2026 году...
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР недавно (18 октября 2024) выпустили отчет о ненадлежащих методах обеспечения безопасности продуктов, в котором предостерегают производителей программного обеспечения об использование языков программирования, небезопасных для памяти, таких как C и C++.
«Разработка новых линеек продуктов для использования в обслуживании критически важной инфраструктуры на языке, небезопасном для памяти (например, C или C++) при наличии легкодоступных и безопасных для памяти альтернативных языков является опасной и значительно повышает риск для национальной безопасности, национальной экономической безопасности и системы здравоохранения», — говорится в отчете.
Кроме того, отчет задает для компаний дедлайн - 1 января 2026 года, к этой дате они должны создать и опубликовать дорожные карты безопасности памяти. «Для существующих продуктов, написанных на языках, небезопасных для памяти, отсутствие опубликованной дорожной карты безопасности памяти к 1 января 2026 года является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности», — говорится в отчете.
Также документ декларирует еще ряд требований к безопасности, например, к той же дате пароли по умолчанию должны быть удалены из учетных записей администраторов и ряд других.
Ссылка на сам документ: https://www.cisa.gov/resources-tools/resources/product-security-bad-practices
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР недавно (18 октября 2024) выпустили отчет о ненадлежащих методах обеспечения безопасности продуктов, в котором предостерегают производителей программного обеспечения об использование языков программирования, небезопасных для памяти, таких как C и C++.
«Разработка новых линеек продуктов для использования в обслуживании критически важной инфраструктуры на языке, небезопасном для памяти (например, C или C++) при наличии легкодоступных и безопасных для памяти альтернативных языков является опасной и значительно повышает риск для национальной безопасности, национальной экономической безопасности и системы здравоохранения», — говорится в отчете.
Кроме того, отчет задает для компаний дедлайн - 1 января 2026 года, к этой дате они должны создать и опубликовать дорожные карты безопасности памяти. «Для существующих продуктов, написанных на языках, небезопасных для памяти, отсутствие опубликованной дорожной карты безопасности памяти к 1 января 2026 года является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности», — говорится в отчете.
Также документ декларирует еще ряд требований к безопасности, например, к той же дате пароли по умолчанию должны быть удалены из учетных записей администраторов и ряд других.
Ссылка на сам документ: https://www.cisa.gov/resources-tools/resources/product-security-bad-practices
Cybersecurity and Infrastructure Security Agency CISA
Product Security Bad Practices | CISA
This voluntary guidance provides an overview of product security bad practices that are deemed exceptionally risky, particularly for software manufacturers who produce software used in service of critical infrastructure or national critical functions (NCFs).
🤔9🔥2🐳2👍1
Судебные приставы во всех российских регионах начали использовать программы-роботы для автоматического вынесения решений по должникам.
Как рассказал директор ФССП и главный судебный пристав России Дмитрий Аристов, программы-роботы уже работают БЕЗ участия судебных приставов, что позволяет ускорить вынесение отдельных процессуальных решений. По его словам, это нововведение успешно функционирует по всей территории России, обеспечивая более оперативное и беспристрастное рассмотрение дел.
https://tass.ru/interviews/22288059
Как рассказал директор ФССП и главный судебный пристав России Дмитрий Аристов, программы-роботы уже работают БЕЗ участия судебных приставов, что позволяет ускорить вынесение отдельных процессуальных решений. По его словам, это нововведение успешно функционирует по всей территории России, обеспечивая более оперативное и беспристрастное рассмотрение дел.
https://tass.ru/interviews/22288059
🫡4🖕2👍1🤔1👾1
Google переводит Android SDK на более частые обновления с 2025 года. Теперь API Level будет не целым числом, а состоять из мажорной и минорной цифры.
Android 16.0 - 2 квартал 2025. Мажорный релиз. Суть релиза:
- Это единственный релиз с изменением поведения, который может затронуть приложения
- Предоставит новые API для разработчиков
Android 16.5 - 4 квартал 2025. Минорный релиз:
- Добавит новые API для разработчиков
- Будет содержать обновления фичей, оптимизации и исправления багов со второго квартала
В 1 и 3 квартал 2025 выйдут только новые фичи для пользователей без API для разработчиков. Первая Beta станет доступна разработчикам уже до конца 2024. До Android 16 мажорный и минорный релиз не разделялись и выходили вместе с августа по октярбь.
https://android-developers.googleblog.com/2024/10/android-sdk-release-update.html
Android 16.0 - 2 квартал 2025. Мажорный релиз. Суть релиза:
- Это единственный релиз с изменением поведения, который может затронуть приложения
- Предоставит новые API для разработчиков
Android 16.5 - 4 квартал 2025. Минорный релиз:
- Добавит новые API для разработчиков
- Будет содержать обновления фичей, оптимизации и исправления багов со второго квартала
В 1 и 3 квартал 2025 выйдут только новые фичи для пользователей без API для разработчиков. Первая Beta станет доступна разработчикам уже до конца 2024. До Android 16 мажорный и минорный релиз не разделялись и выходили вместе с августа по октярбь.
https://android-developers.googleblog.com/2024/10/android-sdk-release-update.html
👍1
Индекс HH.ru для профобласти ИТ впервые держится выше значения 8 второй месяц подряд. Этот индекс показывает отношение количества резюме к количеству вакансий.
Судя по данным, минимальное значение индекса за последние 5 лет наблюдалось в феврале 2019 года и составляло 2.5. Это означает, что специалистов в отрасли критически не хватало, и это способствовало росту зарплат.
В последнее время индекс рос и с 2023 года редко падал ниже показателя в 7 пунктов.
https://habr.com/ru/articles/855608/
Судя по данным, минимальное значение индекса за последние 5 лет наблюдалось в феврале 2019 года и составляло 2.5. Это означает, что специалистов в отрасли критически не хватало, и это способствовало росту зарплат.
В последнее время индекс рос и с 2023 года редко падал ниже показателя в 7 пунктов.
https://habr.com/ru/articles/855608/
👍3🖕1
В течение месяца в Telegram появятся 10 новых функции для мини-приложений, которые позволят разработчикам создавать новые виды приложений и игр, сообщил Павел Дуров.
В частности, появятся:
Полноэкранный режим работы мини-приложений;
Возможность добавления иконок мини-приложений на рабочий стол;
Разные варианты платных подписок внутри мини-приложений;
Использование мини-приложениями геолокации телефона и градуса поворота экрана с помощью гироскопа и акселерометра
https://t.me/durov/362
В частности, появятся:
Полноэкранный режим работы мини-приложений;
Возможность добавления иконок мини-приложений на рабочий стол;
Разные варианты платных подписок внутри мини-приложений;
Использование мини-приложениями геолокации телефона и градуса поворота экрана с помощью гироскопа и акселерометра
https://t.me/durov/362
Telegram
Pavel Durov
🔜 Telegram is about to introduce 10 new features for Mini Apps, enabling developers to create dozens of new kinds of apps and games on Telegram.
📺 Full-Screen Mode
📱 Home Screen Shortcuts
✍️ Subscription Plans
📍 Geolocation Access (with permissions)
📱 Device…
📺 Full-Screen Mode
📱 Home Screen Shortcuts
✍️ Subscription Plans
📍 Geolocation Access (with permissions)
📱 Device…
👍3
Как выучить 42 языка за месяц - написать свою подцветку синтаксиса
https://justine.lol/lex/
В реальности не думаю, что она реально выучила все 42 языка, скорее просто получила представление
https://justine.lol/lex/
В реальности не думаю, что она реально выучила все 42 языка, скорее просто получила представление
👍4😁3
This media is not supported in your browser
VIEW IN TELEGRAM
Шпаргалка по созданию безопасных систем
👍4