В минувшую пятницу, после продолжительного закрытого тестирования, вышла первая публичная бета-версия клиента обмена сообщения Briar для Android.
Briar — система мгновенного обмена сообщениями, отличающаяся от своих аналогов работой по принципу P2P (peer-to-peer), т.е. отсутствием центрального сервера. Сообщения в Briar синхронизируются напрямую между устройствами её пользователей. Если у пользователя Briar доступен интернет, синхронизация может осуществляться через анонимную распределённую сеть Tor, а если интернета нет — синхронизация между устройствами возможно через Bluetooth или Wi-Fi. Подключение между устройствами в любом случае является зашифрованным, т.к. авторы проекта делают большой акцент на безопасности и анонимности (невозможности наблюдать за действиями пользователей и ограничивать их).
Одновременно с публичным бета-релизом Briar разработчики опубликовали результаты независимого аудита безопасности проекта (его протоколов и кода), выполненного компанией Cure53, которая известна своими проверками для SecureDrop, Cryptocat и Dovecot. В заключении сообщается, что Briar «предлагает хороший уровень конфиденциальности и безопасности», а также отмечается исключительное качество и читаемость исходного кода приложения.
На данный момент бета-версия Briar доступна для пользователей мобильной платформы Android (установить её можно из Google Play). Ожидается также выпуск IM-клиента Briar для десктопов. Исходный код приложения доступен в публичном Git-репозитории проекта (авторы используют GitLab) на условиях свободной лицензии GNU GPLv3.
Исследователи из компании Senrio, специализирующиеся на безопасности для интернета вещей (IoT), обнаружили проблему переполнения буфера в купольной камере Axis M3004. Как выяснилось позже, ей оказались подвержены многочисленные устройства со всего мира.
Уязвимость в безопасности, получившая название «Devil’s Ivy» и номер CVE-2017-9765, проявляет себя при попытке обработать большой XML-файл (более 2 Гб) веб-серверами некоторых устройств (вопреки популярной политике отказа от таких запросов, принятой во многих веб-серверах по умолчанию). Проблема приводит к тому, что сформированное специальным образом содержимое большого файла позволяет злоумышленникам исполнять удалённо (т.е. на устройстве, подверженном уязвимости) произвольный код или вызывать отказ в его обслуживании (denial of service). Источником уязвимости оказалась Open Source-библиотека gSOAP для работы с SOAP/XML в веб-сервисах. Её код поддерживает компания Genivia.
По данным Senrio, на 1 июля в интернете было обнаружено 14 тысяч уязвимых камер Axis Communications, которые популярных в разных областях (здравоохранение, транспорт, государственные службы, розничная продажа, банки). Производитель уязвимых камер выпустил обновления прошивки для проблемных моделей ещё 10 июля, однако, судя по всему, она затрагивает и другие устройства. По данным Genivia, стоящей за библиотекой gSOAP, библиотеку только из её источников скачали более миллиона раз, а ещё она задействована в популярных дистрибутивах GNU/Linux: соответствующий баг появился у Red Hat, Ubuntu, SUSE, — а патч с исправлением CVE-2017-9765 «Devil’s Ivy» был доступен ещё с 21 июня.
Комментарий от Senrio: «Мы назвали уязвимость Дьявольский плющ (Devil’s Ivy), потому что её, как и это растение, практически невозможно истребить, и она быстро распространяется из-за повторного использования кода [применения одной Open Source-библиотеки в разных приложениях и устройствах — прим. перев.]. Её источник находится в стороннем наборе инструментов, который скачали миллионы раз, что означает, оно попало на тысячи устройств, и полностью его истребить будет сложно».