Учебник CSS
Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Самоучитель CSS
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Новости
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник CSS
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
| Помогли мы вам |
- 25 апреля 2024, 01:19
Из-за багов данные пользователей Amazon Alexa были доступны для посторонних - «Новости»
В июне текущего года исследователи из компании Check Point обнаружили ряд опасных уязвимостей, которые открывали для атак виртуального помощника Amazon Alexa и его пользователей.
Проблемы представляли собой CORS и XSS баги, а также проблемы в конфигурации, и они затрагивали некоторые поддомены Amazon. Эксплуатируя эти баги, злоумышленники могли получить доступ к личным данным (имена пользователей, телефонные номера, домашние адреса, голосовая история) и выполнять различные действия от имени жертв (к примеру, удалять и устанавливать навыки для Alexa).
«Для успешной эксплуатации [проблем] требовался всего один щелчок по ссылке, специально созданной злоумышленником», — пишут исследователи.
Для успешной атаки злоумышленнику действительно необходимо было создать вредоносную ссылку, которая направляла бы пользователя на amazon.com, и отправить ее жертве (каким-то образом вынудив пользователя кликнуть по ней). Исследователи предложили использовать для этих целей уязвимую track.amazon.com, — эта страница не связана с Alexa, а используется для отслеживания посылок с Amazon, и ранее на нее можно было внедрить вредоносный код.
После злоумышленник отправлял Ajax-запрос с полученными файлами cookie пользователя на amazon.com/app/secure/your-skills-page, что позволяло получить список навыков, установленных для этой учетной записи Alexa.
Ответ на такой запрос содержал и токен CSRF, который атакующий мог использовать для удаления одного навыка из списка. Затем злоумышленник мог таким же образом установить на устройство собственный вредоносный навык для Alexa. Подмена удаленного навыка собственным открывала перед преступником немало возможностей, в зависимости от навыков, установленных на устройстве пользователя. К примеру, можно было получить доступ к голосовой истории жертвы, а затем к именам пользователей, номерам телефонов, домашним адресам, банковским данным (Alexa не записывает учетные данные для входа в банкинг, однако фиксирует прочие взаимодействия).
«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать иные вредоносные действия без ведома пользователя, — говорит Одед Вануну (Oded Vanunu), глава отдела исследования уязвимостей Check Point Software Technologies. — Цель нашего исследования — освещение необходимости обеспечения безопасности таких устройств, как Alexa. К счастью, специалисты Amazon быстро исправили уязвимости в поддоменах Amazon/Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые потенциально могут компрометировать конфиденциальность пользователей».
В настоящее время инженеры Amazon уже исправили все обнаруженные уязвимости. Также представители компании заявили, что им неизвестно о каких-либо случаях использования этих проблем или о раскрытии какой-либо информации о клиентах.
- © Amazon готовит планшет со встроенным голосовым помощником Alexa - «Новости сети»
- © iMCO CoWatch: смарт-часы с голосовым помощником Amazon Alexa - «Новости сети»
- © Голосовой ассистент Amazon Alexa начнёт общаться с автомобилями Nissan - «Новости сети»
- © Amazon Echo Spot: смарт-будильник с голосовым ассистентом Alexa - «Новости сети»
- © Amazon Smart Plug: голосовой ассистент Alexa в каждой розетке - «Новости сети»
- © Amazon тестирует смарт-динамики с Alexa для автомобилей - «Новости сети»
- © Голосовой ассистент Amazon Alexa поселится в автомобилях BMW и MINI - «Новости сети»
- © Подключаемый смарт-динамик Moto Mods с поддержкой Amazon Alexa обойдётся в $150 - «Новости сети»
- © Исследователи добавили Alexa 234 вредоносных навыка - «Новости»
- © Исследователи заставили колонки Amazon Echo подслушивать пользователей - «Новости»
|
|
|
|
АВТОРИЗАЦИЯ
|
• Мы информационный портал, на котором публикуются новости веб-дизайна и мелкие хитрости, а так же информация и советы которые вам смогут помочь по созданию сайтов, шаблонов, и многое другое. Вы также сможете найти интересные уроки по CSS3, HTML5, jQuery, Photoshop и и многое другое, интересное, с интернет мира. Вся информация размещенная на сайте предназначена исключительно в ознакомительных целях и ошибки в учении не кто не отменял .. Как говориться - "Не бойся, когда не знаешь: страшно, когда знать не хочется." «Самоучитель CSS » © Мы транслируем с 2006 года. Все для веб-дизайнера - CSS. Все материалы публикуют на сайте гости и пользователи сайта. Администрация сайта не несет ответственности за публикации. |
|