Реверс-инжиниринг *

Программист и энтузиаст электроники Харишанкар Нараянан выяснил, что его умный пылесос iLife A11 стоимостью $300 постоянно обменивался данными со своим китайским производителем, отправляя подробную 3D-карту дома на другой конец света.

Представлен репозиторий под названием Ghost in opcode, который содержит Proof-of-Concept и исследование 25-летней архитектурной «слепой зоны» (Blind Spot), влияющей на современные инструменты реверс-инжиниринга.

Оказывается, система штрафов работала через открытый API без авторизации. Райли Уолц просто первым догадался это использовать.

PT MAZE — первый в России сервис для защиты мобильных приложений от реверс-инжиниринга. Услуга призвана сделать взлом дорогим для злоумышленника и заставить его отказаться от идеи атаковать.

Недостаточная защищенность кода остается одной из самых распространенных проблем современных приложений. С помощью реверса хакеры могут искать уязвимости, создавать клоны приложений, почти не отличимые от оригиналов, похищать интеллектуальную собственность разработчиков, а также атаковать граждан, чтобы украсть деньги или персональные данные.

Более 10 лет этичные хакеры Positive Technologies проводили исследования, в том числе по реверс-инжинирингу тысяч приложений, накопив уникальный опыт и знания, как сделать их трудноатакуемыми.

PT MAZE подойдет любой компании, независимо от отраслевой специфики, в бизнес-процессах которой участвуют мобильные приложения. В первую очередь сервис может быть интересен банкам, финтех-компаниям и ритейлерам. На данный момент PT MAZE работает с двумя самыми популярными мобильными ОС — Android и iOS — и предоставляется с полной сервисной поддержкой Positive Technologies.

Nintendo обновила текст пользовательского соглашения и получила право удалённо отключать консоли Switch и Switch 2 в случае обнаружения пиратской активности или модификации устройства. Ранее японская компания запрещала пользователям изменять, декомпилировать или взаимодействовать с аккаунтом несанкционированными способами, но без особых последствий для устройств со своей стороны.

Разработчик и энтузиаст ретро-ПК Ахмад Бьягови представил открытый проект по реверс-инжинирингу всех компонентов карманного ноутбука IBM PalmTop PC110.

Исследователь безопасности Джейн Манчун Вонг из Сан-Франциско обнаружила невышедшую функцию в приложении Waymo, которая позволяет клиентам давать чаевые за поездки на роботакси.

Разработчик Анна Антоненко (Anna Antonenko, на Хабре — @portasynthinca3) подробно рассказала в своём техническом блоге, как у неё в рамках процесса обратного инжиниринга получилось запустить удалённое выполнение кода на уровне прошивки на музыкальном синтезаторе Yamaha PSR-E433 через MIDI-сообщения.

На днях смотрел один из ютуб каналов человека, который занимается ремонтом электронных устройств.

Канал не сказать что огромный большой 100к подписчиков, но подача материала мне очень заходит.

Марк, автор этого канала часто занимается ремонтом винтажной техники, как правило аудио-направления, проигрыватели, усилители и т.д.

Совсем недавно к нему обратился человек, у которого был неисправный усилитель наушников, жутко аудиофильского направления. Цена такого устройства порядка 30к долларов. Заказчик обратился в фирму производитель, на что фирма выставила ему счет(по разным источникам) 2000-6000 долларов США. Заказчика цена не устроила, и он обратился к Марку за ремонтом.

Марк еще не знал, в какие бурления обернется этот ремонт...

Исследователь по ИБ Андрей Коновалов (aka xairy) опубликовал в открытом доступе инструменты для удалённой перепрошивки блока камеры и перехвата управления светодиодом веб-камеры на ThinkPad X230. Проект получил название Lights Out и представлен в качестве практической демонстрации того, что вредоносное ПО может записывать видео через веб-камеру без светодиодной индикации на ноутбуках различных производителей.

Разработчик Джордан Элдридж (автор проекта Webamp) рассказал с подробными техническими деталями, как он смог запустить рендеринг «современных» скинов Winamp в браузере после реверс-инжиниринга байт-кода MAKI (Make a killer interface) и внедрения нужного интерпретатора в JavaScript. Обсуждение этой темы на Reddit.

Уже второй год подряд «Доктор Веб» организует CTF-марафон для студентов и молодых IT-специалистов, чьи интересы связаны с кибербезопасностью. С помощью этих соревнований мы хотим выявить и поддержать начинающих профессионалов, а самые талантливые получат шанс устроиться на работу в нашу компанию.

Буквально за пару дней, используя мэд-скилл в фотошопе и нашу кастомную утлиту Deroute, для восстановления нетлиста была получена долгожданная схема системного контроллера ZX Spectrum 16/48K - ULA 6C001E-7.

На форуме UnknownCheats пользователь timoxa5651 выложил информацию о возможности забанить любого игрока в играх, защищаемых античитом BattleEye. Некоторые игры предоставляют возможность выступать хостом на локальном компьютере, при этом BE будет работать и в таких игровых сессиях. Проблема заключается в том, что можно подменить идентификатор игры и игрока, а затем выполнить любые действия, которые приведут к бану за использование читов.

Энтузиаст Джеймс Воган поделился, что он приобрел несколько колонок со встроенными стриминговыми сервисами, но остался недоволен их системой регулировки громкости. Он решил настроить их так, чтобы получить более точный контроль в комфортном диапазоне воспроизведения.