Mac App Store раздает платные программы бесплатно

Ксения Ренселаева 09 Января 2011 - 20:32

...

Спустя сутки после запуска сервиса Mac App Store из Apple вылетел радостный пресс-релиз о миллионе загрузок в первый день работы. В Сети тут же пошутили по этому поводу, что 900 тысяч из них приходится на официальный твиттер-клиент для Мака ака Tweetie 2. Однако у специалистов в области информационной безопасности иное мнение на этот счет.

Эксперты полагают, что запущенный накануне интернет-магазин программного обеспечения Mac App Store содержит серьезные уязвимости, используя которые можно получать платные программы бесплатно. Сейчас значительное число сторонних разработчиков или уже разместили свои программы в Mac App Store, либо подали заявки на размещение и сейчас их программы находится на рассмотрении. Все они рискуют столкнуться с риском пиратства.

Информация о проблемах в новом магазине появилась вчера вечером и пока Apple ее никак не прокомментировала. Напомним, что Mac App Store работает по аналогии с ранее представленными мобильными версиями App Store. Здесь автор платной программы получает 70% прибыли с продаж, а Apple, в обмен на предоставленный хостинг, продвижение и платежные сервисы забирает себе остальные 30%.

Так или иначе, но в британской антивирусной компании Sophos предупреждают, что в новом магазине "покупать" приложения могут любые пользователи Apple, достаточно простой регистрации. Система, согласно данным Sophos, смотрит на Apple ID, где указываются платежные реквизиты (номер банковской карты) уже после покупки, когда пользователь получил доступ на скачку.

Очевидно, что назвать это программным багом сложно, это, скорее, можно отнести к категории логических недочетов программистов Apple, поставленных в жесткие временные рамки по запуску Apple Mac App Store. Кроме того, стоит отметить, что на мобильных версиях App Store такой трюк не проходит - скачать там можно только бесплатные программы, а за платные придется сначала заплатить, а потом уже качать.

Тем не менее, по крайней мере сейчас ряд популярных программ, в частности хитовая игра Angry Birds, проверяет лишь подлинность учетной записи Apple, не запрашивая платежные реквизиты до покупки.

Нет сомнений, что подобная ситуация на руку пользователям, но она явно вбивает клин между Apple и создателями программ, так как кому-то за проявленную оплошность придется заплатить - либо это будут программисты, разместившие платные программы и недосчитавшиеся части продаж, либо это будет Apple, которая из тех 52 млрд долларов, что скопились на банковских счетах компании (данные из квартальной отчетности компании) заплатит создателям программ за свой "аукцион невиданной щедрости".

Источник

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.