книги хакеры / журнал хакер / 183_Optimized

РЕКОМЕНДОВАННАЯ ЦЕНА 360

№04

(183)

Дата выхода: 02.04.2014

12+

Так ли отличаются мобильные гаджеты от привычного десктопа? В плане угроз безопасности — ничем. Тут все тебе хорошо знакомо: вирусы, бэкдоры, разнообразные троянцы и даже буткиты. А у мно-

гих ли на смартфонах стоят антивирусы? А часто ли тебе приходит в голову помониторить исходящий трафик? Малварь для твоего любимого Android развивается уже почти четыре года, а вот средства защиты — от силы год-два. Словом, Android вобрал в себя все лучшее, что было в PC, включая открытую платформу, многообразие софта и устройств и почти полную свободу для разработчиков. Но за все это приходится платить теми же «болячками», которыми страдают обычные компы.

Но есть и своя специфика. Например, максимально полная интеграция платежных средств. На ПК такого доступа к кошельку пользователя никогда не было — даже если твой телефон не подключен к банковской карте, то всегда есть твой мобильный счет. Наконец, твой телефон (или планшет) почти всегда собирает о тебе кучу данных — от переписки, звонков, писем и поисковых запросов до физических перемещений. Так что защищать смартфон на самом деле надо еще больше, чем ПК. Именно поэтому в апрельском номере мы подготовили для тебя максимально полный обзор того, что происходит сейчас в мире Android-малвари, от ретроспективы главных вредоносов в истории платформы до обзора главных антивирусов.

Также не могу не похвастаться тем, что в этом номере просто куча всего поменялось: у UNIXOID и SYN/ACK теперь новый редактор, а рубрика «Кодинг» продолжает свою экспансию и, возможно, в одном из следующих номеров чуть ли не впервые за всю историю журнала попадет на обложку. Даже новостная рубрика в этот раз сделана по-другому. В общем, stay tuned, с нами будет весело! :)

Илья Илембитов, шеф-редактор ][ @ilembitov

В случае возникновения вопросов по качеству печати: claim@glc.ru. Адрес редакции: 115280, Москва, ул. Ленинская Слобода, д. 19, Омега плаза. Издатель: ООО «Гейм Лэнд», 119146, г. Москва, Фрунзенская 1-я ул., д. 5. Учредитель: ООО «Принтер Эдишионс», 6141111, Пермский край, г. Пермь, ул. Яблочкова, д. 26. Зарегистрировано в Министерстве Российской Федерации по делам печати, телерадиовещанию и средствам массовых коммуникаций ПИ № ФС77-56756 от 29 января 2014 г. Отпечатано в типографии

Scanweb, PL 116, Korjalankatu 27, 45101 Kouvola, Финляндия. Тираж 96 500 экземпляров. Рекомендованная цена — 360 рублей.

Мнение редакции не обязательно совпадает с мнением авторов. Все материалы в номере предоставляются как информация к размышлению. Лица, использующие данную информацию в противозаконных целях, могут быть привлечены к ответственности. Редакция не несет ответственности за содержание рекламных объявлений в номере. По вопросам лицензирования и получения прав на использование редакционных материалов журнала обращайтесь по адресу: content@glc.ru. © ООО «Хакер», РФ, 2014

14

Малварь для Android

•главные эпидемии в истории Android

•как устроен мобильный вредонос

•тест антивирусов под Android

34

ДВУЛИКИЙ ТЕЛЕФОН:

ОБЗОР ПЕРВОГО РОССИЙСКОГО СМАРТФОНА

YOTAPHONE

АЙНУР АБДУЛНАСЫРОВ:

ОСНОВАТЕЛЬ И РУКОВОДИТЕЛЬ

LINGUALEO

Мы думали, что запустим сервис

и в первый же месяц заработаем 10 тысяч долларов. Но не тут-то было. Мы заработали 500 долларов :)

Мария «Mifrill» Нефёдова mifrill@real.xakep.ru

Нечасто компания Apple оказывается в такой луже, в какую в прошлом месяце села с багом goto fail, который прерывает процесс SSLсоединения на этапе проверки хоста. Суть обнаружившейся в «яблочном» софте бреши заключалась вот в чем: уязвимость CVE-2014- 1266 позволяет злоумышленнику из «привиле-

гированной позиции в сети» перехватывать и модифицировать пакеты в сессиях, защищенных SSL/TLS. То есть речь идет о MITM-атаке с подменой трафика. И, что важно, дырка присутствует во всех версиях iOS до 7.0.5 и в OS X до 10.9.1 включительно.

Многие тут же усмотрели в этом «теорию заговора». Дело в том, что уязвимость появилась в iOS 6.0, в сентябре 2012 года, в предыдущей версии 5.1.1 ее не было. Согласно давно утекшему в сеть документу, рассказывающему о том, как АНБ развивало свою программу PRISM, Apple присоединилась к программе в октябре 2012 года. Видеть ли в этих фактах заговор или лишь совпадение, зависит от личной степени паранойи каждого. АНБ могло вообще не знать о баге, могло обнаружить его давно и использовать в своих целях, а могло и вовсе приложить руку к его возникновению. Так как вся суть проблемы по большому

Новость

месяца

A Guy Taking Pictures @ Flickr.com

NOKIA ПОКАЗАЛА ПЕРВЫЕ

ANDROID-АППАРАТЫ

ДОСТУПА К GOOGLE PLAY У СМАРТФОНОВ НЕ БУДЕТ

Свидетелями эпохального события стали посетители Mobile World Congress 2014 в Барселоне — там компания Nokia показала смартфоны Nokia X, Nokia X+ и Nokia XL, работающие под управлением ОС на базе Android. Предвосхищая твое удивление: Nokia по-прежнему продана Microsoft, и последняя не подру-

жилась вдруг с Google. Операционная система новых аппаратов действительно базируется на Android Open Source Project, но значительно модифицирована (по сути, это форк). Устройства не получат доступа к Google Play, только к сторонним магазинам приложений и Nokia Store. Та же ситуация и со службами Nokia

и Microsoft, вместо привычных сервисов Google мы увидим здесь карты Here, файлохранилище

OneDrive (бывший SkyDrive) и почту Outlook.com.

Неудивительно, что интерфейс смартфонов похож не на привычный Android, а скорее напоминает внешний вид Nokia Lumia (которая работает на Windows Phone, если кто-то вдруг забыл). Nokia X уже поступил в продажу и стоит 89 евро. Nokia X+ и XL выйдут в апреле и будут стоить 99 и 109 евро соответственно. Как и аппараты Lumia, смартфоны будут доступны в корпусах разных цветов.

А тем временем Google вместе с новым Nexus 5 выпустила и фирменный лаунчер, получивший название «Google Старт». Лаунчер появился отдельным приложением в Play Market, и установить его можно на любой аппарат с Android 4.4 и выше. Функций у лаунчера немало, но главное — он поможет вернуть почти любой кастомной прошивке привычный облик, если ты понимаешь, о чем я :).

RASPBERRY PI

СВОБОДЕН

ОТКРЫТ КОД СТЕКА ДРАЙВЕРОВ GPU

Из-за того что железо Raspberry Pi не является полностью открытым, у «малиновой» платформы уже возникали некоторые проблемы (так, OpenBSD

отказались делать порт, ссылаясь на это обстоятельство). В этой связи компания Broadcom, вообще известная своим стремлением к открытости, отметила двухлетие Raspberry Pi, выложив в открытый доступ исходный код стека драйверов OpenGL ES 1.1 и 2.0 для микросхем SoC. Это значит, что разработчики получают полный доступ «к телу» графической подсистемы Broadcom VideoCore IV 3D. Здесь стоит отметить, что графическая подсистема чипов Broadcom вообще отличается от подсистем других производителей и представляет собой, по сути, самодостаточный процессор. GPU может выполнять приложения независимо от остальной системы, самостоятельно компилировать шейдеры, на него завязан загрузчик системы и так далее.

Руководство Raspberry Pi Foundation объяви-

ло в честь этого события конкурс: первый разработчик, сумевший запустить Quake III с хорошим фреймрейтом (1920 × 1080, 20 FPS минимум) на Raspberry Pi со свободными драйверами, получит 10 тысяч долларов.

1,9%

Почти удвоилась доля Linux в американском трафике

Американская рекламная сеть Chitika изучила трафик 100 тысяч сайтов, где размещается ее реклама, и собрала статистику примерно по 300 миллионам показов с американских и канадских

IP. Linux и Chrome OS улучшают свои позиции в западном трафике. За пять месяцев наблюдений Chrome OS вырос с 0,1 до 0,2%, а Linux — с 1,1 до 1,9%.

96%

уязвимостей

в Windows не страшны

В прошлом году Microsoft выпустила 333 заплатки, закрывающие какие-либо уязвимости (из них 147 критические).

Британская компания Avecto подсчитала: если пользователь работает в системе без прав администратора, то 96% этих критических уязвимостей Windows ему просто не страшны. Как и 100% критических уязвимостей IE и 91% критических уязвимостей Microsoft Office.

ВЗЛЕТ И ПАДЕНИЕ FLAPPY BIRD

УДИВИТЕЛЬНАЯ ИСТОРИЯ УСПЕХА ОДНОВРЕМЕННО САМОЙ ПРОСТОЙ И СЛОЖНОЙ ИГРЫ ГОДА