Bạn sẽ làm gì khi phát hiện ra một lỗ hổng được đặt vào ứng dụng của mình để lấy cắp từ người dùng của bạn? Câu trả lời của nhà sản xuất ví tiền điện tử Komodo: hack ứng dụng của mình và lấy tiền của người dùng trước tin tặc. Nó thậm chí đã hoạt động.
Komodo là một công ty khởi nghiệp dành cho nhà phát triển nổi tiếng với công việc về tiền điện tử và tạo ra ví tiền điện tử Agama. Ví đó phụ thuộc vào thư viện JavaScript được duy trì trong npm (trình quản lý gói nút) và một tác nhân độc hại đã cố gắng tận dụng bản chất nguồn mở của mã.
Một vài tháng trước, một người đóng góp ẩn danh đã thực hiện một “bản cập nhật hữu ích” cho thư viện, tạo ra một phần phụ thuộc mới. Họ đợi cho đến khi bản cập nhật đó được tích hợp vào ứng dụng Agama, sau đó thực hiện thay đổi đối với phần phụ thuộc mới để tạo một cửa sau vào ứng dụng.
Các nhân viên lúc npm đã nhận thấy những thay đổi, nhận ra điều gì đang xảy ra và liên hệ với Komodo. Thật không may, đến thời điểm này, cửa hậu đã được đặt sẵn. Chỉ cập nhật ứng dụng để xóa nó có thể là không đủ; bất kỳ ai không nhận được bản cập nhật trước khi tin tặc đột nhập sẽ mất tiền điện tử của họ.
Vì vậy, Komodo đã thực hiện một cách tiếp cận khá mới lạ, nó tự hack. Nó đã sử dụng chính cửa hậu mà tác nhân độc hại đã trồng để quét sạch số tiền điện tử trị giá 13 triệu đô la và chuyển nó đến một nơi mà hacker không thể tiếp cận.
Komodo đã xuất bản một blog để thông báo cho người dùng về những gì nó đã làm, tại sao nó lại làm như vậy và cách họ có thể lấy lại tiền của mình và chuyển nó trở lại ví mới, hy vọng là an toàn hơn.
Tất nhiên, tất cả những điều này là một bài học về những nguy hiểm và sức mạnh mà các nhà phát triển gặp phải khi sử dụng thư viện của bên thứ ba và phần mềm mở cho phép bất kỳ ai đóng góp.
Những kẻ xấu có thể thao túng phần mềm đang mở theo những cách mà phần mềm độc quyền không thể thực hiện được. Nhưng nó cũng có thể được kiểm tra kỹ lưỡng hơn để tìm các lỗ hổng. Những sự kiện này minh họa cả hai mặt của đồng tiền đó.
Tuy nhiên, chúng tôi sẽ nói điều đó một lần nữa: có lẽ tốt nhất là bạn nên tránh xa tiền điện tử. [ZDNet]
Trong những tin tức khác:
- Các bản nhạc phim gốc của Final Fantasy hiện được phát trực tuyến miễn phí: Trong một động thái bất ngờ, Square-Enix đã tải gần như mọi bản nhạc gốc của Final Fantasy lên Spotify và Apple Music. Đây không phải là dàn nhạc, mà là cách các bài hát phát ra trong trò chơi. Thật không may, hầu hết các tiêu đề và bài hát có giọng hát, như Suteki da ne, đều bằng tiếng Japenese. Nhưng nếu bạn yêu thích Final Fantasy, hãy lắng nghe chúng. [Engadget]
- Máy bay không người lái giao hàng mới của Amazon rất hoang dã: Amazon đã trình diễn máy bay không người lái giao hàng của mình ngày hôm qua và nó có một số thủ thuật gọn gàng. Nó không hoạt động giống như máy bay không người lái mà bạn có thể hình dung, và thay vào đó, thay đổi vị trí bay và hạ cánh / cất cánh. Các mục tiêu giả có thể di chuyển 15 dặm và mang theo một gói lăm pound, và Amazon cho biết họ sẽ bắt đầu phân phối trong những tháng tới. Nó sẽ giao hàng ở đâu? Amazon không trả lời. [TechCrunch]
- Google đang giết chết Trips, một ứng dụng khác mà bạn chưa từng sử dụng: Google tiếp tục phiên bản Thanos Snap của mình bằng cách xóa sổ các sản phẩm khác của mình không còn tồn tại. Thời gian này Các chuyến đi nằm trên khối chặt chẽ, một ứng dụng được sử dụng để tổ chức chuyến đi. Công ty cho biết Google Travel là sự thay thế của nó, nhưng như Ars Technica chỉ ra, đó là một trang web, không phải một ứng dụng. Tệ hơn nữa, đó là một đống quảng cáo vô tận. [Ars Technica]
- iOS 13 cung cấp một bộ điều khiển thích hợp cho ứng dụng Sony Remote Play: Chúng tôi thích ứng dụng Sony Remote Play, nhưng điểm rơi của nó là các điều khiển trên màn hình cảm ứng. Bạn có thể sử dụng bộ điều khiển của bên thứ ba, nhưng đó là một thứ khác để mua và các nút có thể không khớp. iOS13 giải quyết vấn đề đó bằng cách thêm hỗ trợ chống sốc kép cho PS4 và bao gồm ứng dụng Remote Play. Thời gian tốt. [MacRumors]
- Chrome Remote Desktop truy cập web: Chrome Remote Desktop là một cách dễ dàng để cấp quyền truy cập từ xa vào máy tính, rất hữu ích khi bạn cần hỗ trợ kỹ thuật từ xa. Google đã thử nghiệm Chrome Remote Desktop trên web hơn một năm nay, nhưng bây giờ dường như nó đã hết phiên bản beta và chính thức có sẵn cho tất cả mọi người. Rất đẹp. [9to5Google]
- Alexa sẽ trở nên tương tác nhiều hơn trong tương lai: Ngay bây giờ, việc sử dụng Alexa có thể khiến bạn hơi bực bội. Nói một lệnh, nhận một kết quả, đánh thức cô ấy trở lại và nói một lệnh mới, bắt đầu lại. Cô ấy sẽ sớm chuyển sang kỹ năng liên quan bằng cách sử dụng thông tin trước đó. Bạn đã mua vé xem phim chưa? Cô ấy có thể đề nghị đặt chỗ ăn tối gần rạp hát mà bạn không cần phải hỏi hoặc nói cho cô ấy biết rạp hát ở đâu nữa. Những thứ khá tuyệt. [VentureBeat]
- Cadillac thêm 70.000 dặm tương thích đường cao tốc để siêu tốc: Chương trình hỗ trợ lái xe của Cadillac, được gọi là SuperCruise, áp dụng một cách tiếp cận độc đáo để lái xe rảnh tay. Bạn có thể không cầm tay lái lâu hơn, nhưng chỉ khi bạn đang đi trên đường cao tốc được lập bản đồ trước và bạn tiếp tục quan sát đường. Máy ảnh quan sát bạn để đảm bảo rằng bạn đang chú ý. Cadillac chỉ mở rộng đường cao tốc lidar ánh xạ của nó bằng cách 70.000 dặm, có nghĩa là bạn sẽ có thể sử dụng siêu tốc hơn rất nhiều so với trước đây. [Digital Trends]
- Android Q beta đang gây ra các vòng lặp khởi động: Bạn không bao giờ nên đặt hệ điều hành beta trên thiết bị chính của mình, cho dù đó là máy tính, máy tính bảng hay điện thoại. Lý do cho lời khuyên đó ngày nay đã được chứng minh rõ ràng, vì Google vừa tạm dừng triển khai Android Q beta của mình sau khi biết điện thoại Android đang gặp khó khăn trong bootloop. Rõ ràng, cách duy nhất là khôi phục cài đặt gốc. Không đẹp, nhưng đây là bản beta. [The Verge]
Trong tin tức khoa học gọn gàng, các nhà thiên văn học cuối cùng đã phát hiện ra một đĩa bồi tụ được lý thuyết từ lâu để bao quanh lỗ đen siêu lớn ở trung tâm thiên hà của chúng ta.
Giống như hầu hết các thiên hà, trung tâm thiên hà của chúng ta là một lỗ đen siêu lớn được ký hiệu là Nhân Mã A *. Làm thế nào siêu lớn? Hình ảnh mặt trời sau đó nhân kích thước đó với bốn triệu. Đó là một trong những kích thước cực kỳ lớn mà thực sự không thể hiểu hết được.
Điều về Sag A * là nó khá yên tĩnh. Trong các thiên hà khác, các nhà thiên văn có thể dễ dàng phát hiện bằng chứng về các đĩa nóng của khí quay quanh quỹ đạo, được gọi là đĩa bồi tụ. Khi các chương trình truyền hình và các chuyển động cho thấy một lỗ đen, thứ xoáy đó mà bạn có xu hướng nghĩ rằng lỗ đen là đĩa bồi tụ.
Nhưng mặc dù rất gần Sag A * (so với các lỗ đen siêu lớn khác), các nhà khoa học không thể tìm thấy đĩa bồi tụ của nó. Hóa ra, thay vì ngấu nghiến mọi thứ xung quanh nó như con quái vật, Sag A * bú chậm hơn và khí xung quanh nó cũng mát hơn. Điều đó làm cho đĩa rất khó phát hiện.
Những đặc điểm rất khác thường ở trung tâm thiên hà của chúng ta nhấn mạnh rằng còn nhiều điều cần phải tìm hiểu và khám phá khi nói đến bản chất của vũ trụ của chúng ta. [Science News]