Que faites-vous lorsque vous découvrez une vulnérabilité placée dans votre application pour voler vos utilisateurs? La réponse du fabricant de portefeuilles de crypto-monnaie Komodo: piratez son application et prenez l’argent de ses utilisateurs avant les pirates. Cela a même fonctionné.
Komodo est une startup de développement connue pour son travail dans la crypto-monnaie et la création du portefeuille de crypto-monnaie Agama. Ce portefeuille dépend d’une bibliothèque JavaScript maintenue dans npm (gestionnaire de packages de nœuds), et un acteur malveillant a tenté de tirer parti de la nature open source du code.
Il y a quelques mois, un contributeur anonyme a fait une «mise à jour utile» de la bibliothèque, créant une nouvelle dépendance. Ils ont attendu que cette mise à jour soit intégrée à l’application Agama, puis ont modifié la nouvelle dépendance pour créer une porte dérobée dans l’application.
Le personnel de npm remarqué les changements, a réalisé ce qui se passait et a contacté Komodo. Malheureusement, à ce stade, la porte dérobée était déjà en place. La simple mise à jour de l’application pour la supprimer peut ne pas suffire; toute personne qui n’aurait pas reçu la mise à jour avant que le pirate ne s’introduise perdrait sa crypto-monnaie.
Alors Komodo a adopté une approche plutôt nouvelle, il s’est piraté. Il a utilisé la porte dérobée que l’acteur malveillant a plantée pour récupérer 13 millions de dollars de crypto-monnaie et la déplacer vers un endroit que le pirate informatique ne pouvait pas atteindre.
Komodo publié un blog pour informer ses utilisateurs de ce qu’il a fait, pourquoi il l’a fait et comment ils peuvent récupérer leur argent et le transférer vers de nouveaux portefeuilles, espérons-le, plus sécurisés.
Tout cela est, bien sûr, une leçon sur les dangers et les forces que les développeurs rencontrent lorsqu’ils utilisent des bibliothèques tierces et des logiciels ouverts qui permettent à quiconque de contribuer.
Les mauvais acteurs peuvent manipuler un logiciel ouvert d’une manière qui n’est pas possible avec un logiciel propriétaire. Mais il peut également être examiné plus en détail pour les vulnérabilités. Ces événements illustrent les deux côtés de cette médaille.
Nous le dirons une fois de plus: il vaut peut-être mieux rester à l’écart de la crypto-monnaie. [ZDNet]
Dans d’autres nouvelles:
- Les bandes sonores originales de Final Fantasy peuvent désormais être diffusées gratuitement: Dans un mouvement surprise, Square-Enix a chargé presque tous les Bande originale de Final Fantasy à Spotify et Apple Music. Ce ne sont pas des orchestrations, mais comment les chansons sonnaient dans les jeux. Malheureusement, la plupart des titres et chansons avec des voix, comme Suteki da ne, sont en japonais. Mais si vous aimez Final Fantasy, écoutez-les. [Engadget]
- Le nouveau drone de livraison d’Amazon est sauvage: Amazone a montré son drone de livraison hier, et il a quelques astuces dans sa manche. Cela ne fonctionne pas comme les drones que vous pourriez imaginer, mais change à la place des positions de vol et d’atterrissage / décollage. Le drone peut parcourir 15 miles et transporter un colis de cinq livres, et Amazon dit qu’il commencera à livrer dans les mois à venir. Où va-t-il livrer? Amazon n’a pas répondu. [TechCrunch]
- Google tue Trips, une autre application que vous n’avez jamais utilisée: Google continue sa version du Thanos Snap en supprimant un autre de ses produits. Cette fois, c’est sur le billot, une application utilisée pour l’organisation de voyages. La société dit que Google Travel est son remplaçant, mais comme le souligne Ars Technica, il s’agit d’un site Web, pas d’une application. Pire encore, c’est un tas d’ordures d’annonces sans fin. [Ars Technica]
- iOS 13 donne un contrôleur approprié à l’application Sony Remote Play: Nous aimons l’application Sony Remote Play, mais sa chute est les commandes de l’écran tactile. Vous pouvez utiliser un contrôleur tiers, mais c’est une autre chose à acheter et les boutons peuvent ne pas correspondre. iOS13 résout ce problème en ajoutant la prise en charge du double choc PS4, et cela inclut l’application Remote Play. Bon temps. [MacRumors]
- Chrome Remote Desktop arrive sur le Web: Chrome Remote Desktop est un moyen simple de donner un accès à distance à un ordinateur, ce qui est utile lorsque vous avez besoin de prêter une aide technique à distance. Google a testé Chrome Remote Desktop sur le Web depuis plus d’un an maintenant, mais maintenant il est apparemment sorti de la version bêta et officiellement disponible pour tous. Très agréable. [9to5Google]
- Alexa deviendra plus conversationnelle à l’avenir: À l’heure actuelle, utiliser Alexa peut être un peu frustrant. Dites une commande, obtenez un résultat, réveillez-la, dites une nouvelle commande, recommencez. Bientôt, elle vous invitera à passer à la compétence associée en utilisant les informations précédentes. Avez-vous acheté des billets pour un film? Elle peut suggérer une réservation pour le dîner près du théâtre, sans que vous ayez à lui demander ou à lui dire où se trouve à nouveau le théâtre. Des trucs assez cool. [VentureBeat]
- Cadillac ajoute 70000 miles d’autoroute compatible à SuperCruise: Le programme d’aide à la conduite de Cadillac, appelé SuperCruise, adopte une approche unique de la conduite mains libres. Vous pouvez garder vos mains sur le volant plus longtemps, mais seulement si vous êtes sur une autoroute pré-cartographiée et que vous continuez à regarder la route. Les caméras vous surveillent pour s’assurer que vous faites attention. Cadillac vient d’étendre ses autoroutes cartographiées au lidar de 70000 miles, ce qui signifie que vous pourrez utiliser SuperCruise beaucoup plus qu’auparavant. [Digital Trends]
- Android Q beta provoque des boucles de démarrage: Vous ne devez jamais installer de système d’exploitation bêta sur votre appareil principal, qu’il s’agisse d’un ordinateur, d’une tablette ou d’un téléphone. La raison de ce conseil est clairement démontrée aujourd’hui, car Google vient de suspendre son déploiement bêta d’Android Q après avoir appris que les téléphones Android étaient bloqués dans un bootloop. Apparemment, la seule issue était une réinitialisation d’usine. Pas joli, mais bon c’est une bêta. [The Verge]
Dans l’actualité scientifique, les astronomes ont finalement repéré un disque d’accrétion théorisé depuis longtemps pour entourer le trou noir supermassif au centre de notre galaxie.
Comme la plupart des galaxies, le centre de notre galaxie est un trou noir supermassif désigné Sagittaire A *. Comment supermassif? Imaginez le soleil puis multipliez cette taille par quatre millions. C’est l’une de ces tailles incroyablement grandes qu’il est vraiment impossible de comprendre pleinement.
Le truc avec Sag A *, c’est qu’il est assez calme. Dans d’autres galaxies, les astronomes peuvent facilement repérer des preuves de disques chauds de gaz en orbite, appelés disque d’accrétion. Lorsque les émissions de télévision et les mouvements montrent un trou noir, ce truc tourbillonnant que vous avez tendance à considérer comme le trou noir est le disque d’accrétion.
Mais en dépit d’être si proche de Sag A * (par rapport à d’autres trous noirs supermassifs), les scientifiques n’ont pas pu trouver son disque d’accrétion. En fait, plutôt que de tout engloutir autour de lui comme le monstre qu’il est, Sag A * se nourrit plus lentement et les gaz qui l’entourent sont plus froids. Cela a rendu le disque très difficile à repérer.
Les caractéristiques très inhabituelles du centre de notre galaxie soulignent combien il reste encore à apprendre et à découvrir en ce qui concerne la nature de notre univers. [Science News]
