Новая страшилка: злоумышленники могут взрывать батареи в ноутбуках Apple на расстоянии

Исследователь безопасности Чарли Миллер обнаружил уязвимость, позволяющую с помощью кодовых слов управлять прошивкой микроконтроллера, отвечающего за управление работой аккумуляторной батареи в ноутбуках Apple, сообщает CNews.ru со ссылкой на журнал Forbes.

Аккумуляторы, которыми снабжены портативные компьютеры, не остались в стороне от новейших информационных технологий: они располагают особым чипом — микроконтроллером, который управляет их работой и обеспечивает взаимодействие с ноутбуком и его операционной системой. Чип, например, "знает" когда следует прекратить зарядку, а также регулирует температуру батареи для предотвращения перегрева. За надлежащее исполнение обязанностей микроконтроллера отвечает его прошивка.

Изменив прошивку микроконтроллера литиево-ионной аккумуляторной батареи в MacBook, MacBook Pro и MacBook Air, можно вывести ее из строя и даже взорвать, предупреждает эксперт. Более того, далеко не каждый специалист при инспекции системы проверяет прошивку аккумуляторной батареи.

Пользуясь этой невнимательностью, хакеры могут записать в контроллер компьютерный вирус, который будет заражать операционную систему вновь и вновь после каждой переустановки или удаления вредоносного ПО с помощью антивирусных программ.

Эксперт не раскрывает механизм проникновения в микроконтроллер аккумуляторной системы, с которым взаимодействует операционная система Mac OS X. Однако, по его словам, Apple никогда не рассматривала данный канал как возможный для проведения хакерских атак, поэтому найти уязвимость в соответствующем интерфейсе не составит труда.

C результатами своих изысканий Миллер намерен познакомить общественность на хакерской конференции Black Hat в августе.

В марте 2009 года Apple выпустила программное обновление, продлевающее время автономной работы MacBook. Оно вышло в ответ на жалобы пользователей на то, что при хранении устройства в выключенном состоянии батарея слишком быстро разряжалась. В описании обновления на сайте компании указано, что это именно прошивка для аккумулятора.

Проанализировав код прошивки, Миллер выяснил, что для программного доступа к чипу производитель использовал весьма слабые механизмы защиты. И если хакер сможет их раскрыть и научится изменять код, это откроет ему практически безграничные возможности по управлению батареей — начиная от ухудшения ее свойств и заканчивая полным выводом из строя. Более того, батарею возможно перегреть, вызвав взрыв или пожар.

Новая утечка данных: "поисковики" индексируют данные об интернет-покупках, в том числе в секс-шопах

Строго конфиденциальные данные интернет-пользователей второй раз за несколько дней утекли в открытый доступ. Как передает радиостанция Business FM, буквально все пользователи поисковиков "Яндекс" и Google могут изучить данные о частных покупках в различных интернет-магазинах, в том числе и секс-шопах.

Информация о заказчиках с фамилиями, адресами доставки и IP-адресами таким образом оказалась доступна всем пользователям (ссылка еще работает).

Если вбить в поисковую строку определенный набор символов и статус заказа, то появятся данные десятков магазинов, торгующих столовыми приборами, электроникой, игрушками, автозапчастями, одеждой, интимными товарами.

Корреспонденты Business FM дозвонились до одного из секс-шопов. Там уже знают о проблеме и на вопрос о гарантии конфиденциальности посоветовали не делать заказы именно сейчас, сославшись на "небольшие проблемы". Сотрудник магазина пообещал, что они будут улажены в ближайшее время: "мы прилагаем все усилия, программисты работают".

По словам пресс-секретаря компании "Яндекс" Очира Манджикова, которого цитирует РИА "Новости", утечка информации произошла из-за некорректного использования файла robots.txt. Он защищает информацию от индексирования поисковиками. "Мы рекомендуем администраторам сайтов внимательно изучать информацию о файле robots.txt и его корректном использовании", — сообщил представитель поискового гиганта.

Председатель правления Арт-бюро Creator Вячеслав Семенчук считает, что вина лежит на самих интернет-магазинах.

"Яндекс — глобальная система, которая имеет доступ ко всем сайта, но здесь речь идет о двух факторах. Первый фактор — это криворукость создателей этих интернет-магазинов. Утекли данные пользователей, соответственно, банально данные о заказах, которые доступны курьерам в службе доставки, доступные любым пользователям без пароля. Помимо того, что это просто не защищено и банально имеет дырку в защите, так же на сайте не применена защита этих вещей от индексации. Все мы в профессиональной тусовке знаем, что существует такой файл, как робот, в котором возможно указать директивы, которая запрещает индексация определенной области сайтов. В данном случае это не сделано, и, соответственно, "Яндексу" ничего не помешало, как обычному пользователю или как поисковой системе, найти и посмотреть на все эти заказы", — заметил эксперт.

На прошлой неделе аналогичный скандал разразился, когда обнаружилось, что поисковая система индексировала тексты SMS-сообщений, отправленных с сайта "МегаФона". "Яндекс" обвинил в небрежности сотового оператора, который не поставил файл robots.txt. "Мегафон" в свою очередь эту версию опроверг.