IT-новости 24 сентября: iOS-приложения применяют скрытые методы для идентификации пользователей, GitHub внедряет новый формат токена доступа npm, “белым хакерам” заплатят за найденные уязвимости в бесплатном ПО

Сегодня в подборке новостей:

• iOS-приложения применяют скрытые методы для идентификации пользователей.
• GitHub внедряет новый формат токена доступа npm.
• Беларусь: нехватка кадров в IT вынуждает нанимать учителей математики и физики.
• Среда исполнения Liberica JDK 17 получила поддержку до 2030 года.
• “Яндекс.Облако” запускает виртуальные рабочие столы.
• “Белым хакерам” заплатят за найденные уязвимости в бесплатном ПО.
• Apple выпускает iOS 12.5.5 и обновление для macOS Catalina.

iOS-приложения применяют скрытые методы для идентификации пользователей

Совместное исследование компании Lockdown и газеты The Washington Post показало, что некоторые популярные iOS-приложения используют скрытые приемы идентификации владельцев iPhone. Мобильные приложения определяют хозяина смартфона даже если он запретил отслеживать свои действия. Формально правила Apple Tracking Transparency не нарушаются, поскольку приложения не отслеживают действия пользователя, а анализируют настройки его гаджета. Данные включают десятки параметров: от времени последнего перезапуска iPhone до точной настройки яркости экрана и уровня заряда батареи. Благодаря тому, что Apple присваивает каждому своему устройству уникальный идентификатор, приложения опознают пользователя при посещении им определенных веб-ресурсов. Таким образом, если владелец устройства посещал сайт, посвящённый, например, бытовой технике, его идентифицируют по настройкам и показывают персонализированную рекламу. Джонни Лин, бывший инженер Apple iCloud, считает, что такой способ обхода конфиденциальности делает правила Apple Tracking Transparency “бесполезными”. Источник: The Washington Post

GitHub внедряет новый формат токена доступа npm

Сервис GitHub сообщил, что токены доступа npm будут соответствовать тому же формату, что и токены аутентификации GitHub. Прежний формат токенов доступа npm имел свои ограничения, такие как неточное обнаружение скомпрометированных токенов npm в пакетах и ​​репозиториях GitHub. Ранее токены доступа npm создавались по шаблону UUID из 36 символов, тогда как токены аутентификации GitHub представляют собой 40-символьные строки в шестнадцатеричной кодировке, неотличимые от других закодированных данных, таких как хэши SHA. Введение нового формата токена доступа для клиентов сервиса означает значительное снижение риска взлома токенов и улучшение точности процесса secret scanning. Источник: GitHub

Беларусь: нехватка кадров в IT вынуждает нанимать учителей математики и физики

Из-за нехватки IT-специалистов минская компания “БелТрансСпутник” решила нанять учителей математики и физики. Речь идет о вакансии специалиста по внедрению и сопровождению ПО, размещенной на специализированных сайтах и в LinkedIn. Как выяснили журналисты Dev.by, идея о найме учителей естественных наук принадлежит руководителю “БелТрансСпутника” Ядвиге Товстик. По ее мнению, учителя математики и физики справятся с обязанностями на джуниорской должности даже при отсутствии опыта работы в IT. В условиях вакансии, на которую планируется нанять 3-4 специалистов, обещана зарплата на уровне 900-1500 белорусских рублей “на руки” (360-600 долларов). Рекрутер компании-работодателя сообщила, что на объявление откликнулось примерно 40 человек, из них около десяти уже побывали на собеседовании. Источник: Dev.by

Среда выполнения Liberica JDK 17 получила поддержку до 2030 года

Петербургская компания BellSoft выпустила новый LTS-релиз среды выполнения Liberica JDK 17. Версия имеет долгосрочную поддержку до 2030 года и 70 JEP, внесенных участниками сообщества. Дистрибутив Liberica JDK 17 предназначен для коммерческой разработки программных продуктов на основе Java. Клиенты BellSoft могут рассчитывать на круглосуточную техподдержку на русском языке и дополнительные функции от разработчика среды. Среди них — поддержка более широкого спектра платформ, включая AArch64 и Alpine Linux для создания самых компактных в мире контейнеров, совместимость с российскими ПО и оборудованием, а также универсальный компилятор для ускорения запуска приложений Liberica Native Image Kit. Liberica JDK 17 будет использоваться в качестве базовой среды выполнения в проекте Spring Framework, начиная с версии 11, в рамках глобального сотрудничества BellSoft с VMware Tanzu. Источник: CNews

“Яндекс.Облако” запускает виртуальные рабочие столы

Платформа “Яндекс.Облако” открывает доступ к сервису Yandex Cloud Desktop для корпоративных клиентов. С его помощью компании смогут создавать до тысячи виртуальных рабочих мест в облаке. Одинаковый рабочий стол можно открывать и в офисе, и на удаленном режиме. Также сервис позволит компаниям сэкономить на покупке лицензий для ПО. Программы на виртуальных машинах открываются и работают с посекундной тарификацией. Пока что Yandex Cloud Desktop представлен в режиме публичной предварительной версии. В будущем цена за виртуальное рабочее место составит от 3,65 рублей в час, включая лицензию Windows. Также “Яндекс.Облако” начинает реализацию проекта G-Cloud — отдельной инсталляции для размещения государственных информационных систем. Ожидается, что платформу G-Cloud запустят к концу 2022 года. Источник: VC

“Белым хакерам” заплатят за найденные уязвимости в бесплатном ПО

Сообщество HackerOne объявило о запуске программы поиска уязвимостей в open source проектах. Участвовать в ней можно через платформу HackerOne Internet Bug Bounty. Спонсорами новой программы обнаружения уязвимостей стали Elastic, Facebook, Figma, GitHub, Shopify и TikTok. В число проектов с открытым кодом, попадающих под программу выплаты вознаграждений, входят: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne гарантирует выплаты от 300 до 5000 долларов, в зависимости от критичности бага. Каждое вознаграждение за ошибку разделят на 5 частей — четыре пятых награды сразу получит исследователь, нашедший проблему. Пятую часть вознаграждения перечислят разработчику, который занимается в открытом проекте поддержкой или разработкой направления, где найдена новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости. Источник: HackerOne

Apple выпускает iOS 12.5.5 и обновление для macOS Catalina

Apple выпустила очередное обновление — операционную систему iOS 12.5.5, доступную, в том числе, для старых моделей iPhone и iPad. Компания заявляет, что новая версия рекомендуется для всех пользователей поскольку содержит исправление критической ошибки “нулевого дня” CVE-2021-30869 и другие улучшения безопасности. Обновление доступно для iPad Air, iPad mini 2 и iPad mini 3, а также для iPod touch 6-го поколения, iPhone 5s, iPhone 6 и iPhone 6 Plus. Несколько месяцев назад, в июне, Apple уже выпускала подобное обновление безопасности — iOS 12.5.4 в июне. Тогда речь шла об исправлении уязвимостей в WebKit и других проблем. Также Apple выпустила обновление для macOS Catalina. Оно устраняет аналогичную уязвимость в ядре XNU, влияющую на движок браузера WebKit. Источник: 9to5mac