Wat doe je als je een kwetsbaarheid ontdekt die in je app is geplaatst om van je gebruikers te stelen? Het antwoord van Komodo, maker van cryptocurrency-portefeuilles: hack zijn app en neem het geld van zijn gebruikers voor de hackers. Het werkte zelfs.
Komodo is een ontwikkelaarstartup die bekend staat om zijn werk in cryptocurrency en het creëren van de Agama cryptocurrency-portemonnee. Die portemonnee is afhankelijk van een JavaScript-bibliotheek die wordt onderhouden in npm (node package manager), en een kwaadwillende actor probeerde te profiteren van het open source karakter van de code.
Een paar maanden geleden heeft een anonieme bijdrager een “nuttige update” van de bibliotheek gemaakt, waardoor een nieuwe afhankelijkheid is ontstaan. Ze wachtten tot die update was opgenomen in de Agama-app en brachten vervolgens een wijziging door in de nieuwe afhankelijkheid om een achterdeur in de app te creëren.
Het personeel van npm merkte de veranderingen op, realiseerde zich wat er aan de hand was en nam contact op met Komodo. Helaas was de achterdeur op dat moment al op zijn plaats. Alleen het bijwerken van de app om deze te verwijderen is misschien niet voldoende; iedereen die de update niet had ontvangen voordat de hacker inbrak, zou zijn cryptocurrency verliezen.
Dus Komodo koos voor een nogal nieuwe benadering, het hackte zichzelf. Het gebruikte de achterdeur die de kwaadwillende actor had geplant om 13 miljoen dollar aan cryptocurrency op te ruimen en naar een plek te verplaatsen waar de hacker niet bij kon.
Komodo publiceerde een blog om zijn gebruikers te informeren over wat het deed, waarom het het deed en hoe ze hun geld kunnen terugvorderen en het terug kunnen overboeken naar nieuwe, hopelijk veiligere portefeuilles.
Dit alles is natuurlijk een les in de gevaren en sterke punten die ontwikkelaars tegenkomen bij het gebruik van bibliotheken van derden en open software waarmee iedereen kan bijdragen.
Slechte actoren kunnen open software manipuleren op manieren die niet mogelijk zijn met propriëtaire software. Maar het kan ook grondiger worden onderzocht op kwetsbaarheden. Deze gebeurtenissen illustreren beide kanten van die medaille.
We zullen het echter nog een keer zeggen: misschien is het het beste om weg te blijven van cryptocurrency. [ZDNet]
In ander nieuws:
- Originele Final Fantasy-soundtracks kunnen nu gratis worden gestreamd: In een verrassende zet laadde Square-Enix bijna elke originele Final Fantasy-soundtrack naar Spotify en Apple Music. Dit zijn geen orkestraties, maar hoe de nummers klonken in de games. Helaas zijn de meeste titels en liedjes met zang, zoals Suteki da ne, in het Japenese. Maar als je van Final Fantasy houdt, luister dan eens naar ze. [Engadget]
- De nieuwe bezorgdrone van Amazon is wild: Amazon heeft gisteren zijn bezorgdrone laten zien en heeft een aantal leuke trucs achter de hand. Het werkt niet zoals drones die je je misschien voorstelt, en verandert in plaats daarvan van positie voor vliegen en landen / opstijgen. De drone kan 25 kilometer reizen en een pakket van vijf pond vervoeren, en Amazon zegt dat het de komende maanden zal beginnen met leveren. Waar zal het bezorgen? Amazon antwoordde niet. [TechCrunch]
- Google vermoordt Trips, een andere app die je nooit hebt gebruikt: Google zet zijn versie van de Thanos Snap voort door een ander van zijn producten weg te vagen. Deze keer Uitstapjes staat op het hakblok, een app die wordt gebruikt voor reisorganisatie. Het bedrijf zegt dat Google Travel de vervanging is, maar zoals Ars Technica opmerkt, is dat een website, geen app. Erger nog, het is een vuilnisbelt van eindeloze advertenties. [Ars Technica]
- iOS 13 geeft een goede controller aan de Sony Remote Play-app: We houden van de Sony Remote Play-app, maar de ondergang is de touchscreen-bediening. U kunt een controller van derden gebruiken, maar dat is iets anders om te kopen, en de knoppen komen mogelijk niet overeen. iOS13 lost dat probleem op door PS4 dual-shock-ondersteuning toe te voegen, en dat is inclusief de Remote Play-app. Goede Tijden. [MacRumors]
- Chrome Remote Desktop komt op internet: Chrome Remote Desktop is een gemakkelijke manier om externe toegang tot een computer te geven, wat handig is als u van een afstand technische hulp nodig heeft. Google test Chrome Remote Desktop nu al meer dan een jaar op internet, maar nu lijkt het uit de bèta en officieel beschikbaar voor iedereen. Heel fijn. [9to5Google]
- Alexa zal in de toekomst meer gemoedelijk worden: Op dit moment kan het gebruik van Alexa een beetje frustrerend zijn. Zeg een commando, verkrijg een resultaat, maak haar weer wakker, zeg een nieuw commando, begin opnieuw. Binnenkort zal ze op basis van eerdere informatie vragen om naar gerelateerde vaardigheid te gaan. Heb je kaartjes voor een film gekocht? Ze kan een reservering voor een diner in de buurt van het theater voorstellen, zonder dat je haar hoeft te vragen of te vertellen waar het theater ook is. Best cool spul. [VentureBeat]
- Cadillac voegt 70.000 mijl compatibele snelweg toe aan SuperCruise: Het rijhulpprogramma van Cadillac, SuperCruise genaamd, hanteert een unieke benadering van handsfree rijden. U kunt uw handen langer van het stuur houden, maar alleen als u zich op een vooraf in kaart gebrachte snelweg bevindt en naar de weg blijft kijken. Camera’s kijken naar je om er zeker van te zijn dat je oplet. Cadillac heeft zojuist zijn door lidar in kaart gebrachte snelwegen met 70.000 mijl uitgebreid, wat betekent dat u SuperCruise veel meer kunt gebruiken dan voorheen. [Digital Trends]
- Android Q beta veroorzaakt bootloops: Zet nooit een bèta-besturingssysteem op uw primaire apparaat, of dat nu een computer, tablet of telefoon is. De reden voor dat advies wordt vandaag duidelijk aangetoond, aangezien Google zojuist de uitrol van Android Q-bèta heeft onderbroken nadat hij had geleerd dat Android-telefoons vast kwamen te zitten in een bootloop. Blijkbaar was de enige uitweg een fabrieksreset. Niet mooi, maar hey, het is een bèta. [The Verge]
In net wetenschappelijk nieuws hebben astronomen eindelijk een accretieschijf ontdekt waarvan de theorie lang was dat deze het superzware zwarte gat in het centrum van onze melkweg omgeeft.
Zoals de meeste sterrenstelsels is het centrum van ons melkwegstelsel een superzwaar zwart gat dat wordt aangeduid als Boogschutter A *. Hoe superzwaar? Stel je de zon voor en vermenigvuldig die grootte met vier miljoen. Het is een van die ongelooflijk grote maten die echt onmogelijk volledig te begrijpen is.
Het ding over Sag A * is dat het redelijk stil is. In andere sterrenstelsels kunnen astronomen gemakkelijk het bewijs zien van hete schijven van ronddraaiende gassen, een zogenaamde accretieschijf. Wanneer tv-shows en moves een zwart gat laten zien, is dat swirly spul dat je vaak ziet als het zwarte gat de accretieschijf.
Maar ondanks dat ze zo dicht bij Sag A * waren (in vergelijking met andere superzware zwarte gaten), konden wetenschappers de aanwasschijf niet vinden. Het blijkt dat Sag A * niet alles eromheen opslokt zoals het monster dat het is, maar langzamer voedt en de gassen eromheen koeler zijn. Dat maakte de schijf erg moeilijk te herkennen.
De zeer ongebruikelijke kenmerken van het centrum van onze melkweg benadrukken hoeveel meer er te leren en te ontdekken valt als het gaat om de aard van ons universum. [Science News]