Компания Mozilla в браузере Firefox 57 работает над новым пользовательском интерфейсом под названием Photon. Среди прочего будут представлены прямоугольные вкладки вместо скруглённых, изменится страница новых вкладок, будет обновлена адресная строка. Последняя получит меню с несколькими командами в нём, такими как:

• Копировать URL
• Ссылка на Email
• Сохранить в Pocket
• Установить напоминание
• Отправить на устройство
• Скриншот
• Расширение X
• Поделиться

Новая вкладка содержит Activity Stream, тестируемую в программе Test Pilot функцию. Там же тестируется команда Скриншот из вышеописанного меню.

Это изменение дизайна станет первым с 2014 года, когда Mozilla представила интерфейс Australis с плавными вкладками. Firefox 57 ожидается в ноябре. В августе Photon и Firefox 57 станут доступны тестерам в канале обновления Aurora. Firefox 57 также принесёт поддержку веб-расширений вместо классических, многие из которых перестанут функционировать.

Через неделю в центре обновления Windows 10 будет начато распространение Creators Update, а пока в преддверии этого события Microsoft решила предоставить больше информации относительно того, какие диагностические данные собираются в этой системе. 5 апреля был опубликован список собираемых данных на уровнях конфиденциальности Основной и Полный. Впервые опубликован полный список собираемых данных на уровне Основной. Ранее в этом году Microsoft обещала дать более полную информацию по конфиденциальности при установке обновления Creators Update.

В процессе установки обновления уже имеющиеся настройки будут сохранены. Далее у пользователя есть возможность включить или отключить сбор данных о местоположении, вводе речи и текста, таргетированную рекламу и т.д. Если выполняется настройка нового устройства или чистая установка Windows 10, все настройки сбора данных будут отключены, по умолчанию будет выбран Основной уровень конфиденциальности. При желании пользователи смогут поменять эти настройки вручную. Естественно, сама Microsoft рекомендует включать сбор местоположения, речь, рекламу и установить диагностику на полный уровень. Разработчики утверждают, что это повысит качество работы с операционной системой.

Не в первый раз Microsoft говорит, что сбор диагностических данных помогает компании улучшать продукты и сервисы. В число этих диагностических данных входят информация об использовании браузера, приложений и функциональных возможностей, набираемого на клавиатуре и вводимого стилусом текста.

Глава подразделения Windows Терри Мейерсон пишет, что после релиза Anniversary Update разработчики проанализировали, какие данные необходимы на уровне Основной для улучшения работы и поддержания безопасности. В результате объём собираемых данных был сокращён примерно наполовину.

За минувшие полтора года Microsoft пришлось не раз столкнуться с недовольством сбором данных не только от простых пользователей, но и от организаций различных стран. В частности, в феврале представители Евросоюза заявили, что не удовлетворены анонсированными Microsoft изменениями сбора конфиденциальности и потребовали дальнейшего прояснения. В последнем сообщении в блоге Microsoft говорит, что планируют поделиться новой информацией относительно соответствия Windows 10 требованиям Евросоюза.

Операционная система Samsung Tizen с открытым исходным кодом используется в некоторых устройствах интернета вещей и иногда позиционируется как конкурент Android. Израильский специалист по информационной безопасности Амихай Нидерман уверен, что для повышения конкурентоспособности ей нужно значительно усилить безопасность.

Samsung работает над этой системой уже много лет. Начали этот проект компании Intel и Nokia, а Samsung включила сюда код своей операционной системы под названием Bada в 2013 году. Как и Android, система создана на основе ядра Linux, поверх которого работает открытое программное обеспечение. Разработка Tizen ведётся с применением языка C++ и HTML5.

Нидерман был участником саммита лаборатории Касперского по информационной безопасности и высказался относительно состояния кода Tizen. По его словам, система может обладать худшим когда-либо виденным им кодом, разработчики допустили в нём все возможные ошибки.

Значительная часть кода взята из предыдущих проектов Intel и Samsung, однако большая часть ошибок была найдена в новом коде. Часто встречается проблема переполнения буфера из-за неправильного использования функции strcry(), опасности которые хорошо известны программистам на С и С++. Эти опасности вынуждают многих разработчиков использовать альтернативные функции, но не в случае с Tizen, где она встречается повсюду. Кроме того, сказано о непостоянном использовании шифрования SSL, что подвергает пользовательские данные риску.

Сейчас Tizen чаще всего используют в смарт-устройствах, хотя Samsung не отказалась от идеи создавать на ней смартфоны. Недавно WikiLeaks опубликовала данные о взломах телевизоров южнокорейского производителя со стороны ЦРУ посредством эксплоита на флешке. На прошлой неделе было рассказано о другой атаке на Smart TV Samsung, где использовались вредоносные команды в телесигнале. Нидерман также является обладателем телевизора под управлением Tizen, почему и начал исследовать её.

Если в описанной атаке ЦРУ нужен личный доступ к устройству, то исследователь нашел возможность дистанционных атак посредством примерно 40 уязвимостей нулевого дня. В частности, уязвимым оказался магазин приложений TizenStore. Здесь он нашёл уязвимость в приложении, использование которой компрометирует всё устройство, не только телевизоры, но и смартфоны и смарт-часы.

Попытавшись связаться с представителями Samsung, Нидерман не добрался дальше автоответчика. После публичного описания уязвимостей Samsung заявила, что готова сотрудничать с исследователем в деле закрытия этих уязвимости. Для таких ситуаций у компании есть программа поиска багов SmartTV Bug Bounty.

Магазин приложений на платформе Windows 10 недавно получил очередное важное обновление, которое среди прочего приносит интерактивные уведомления. В них пользователи могут запускать приложения или закреплять их в меню «Пуск». Обновление доступно участникам программы предварительного тестирования в канале «Ранний доступ», после его установки версия магазина становится 11703.1000.156.0.

Уведомления позволяют быстрее взаимодействовать с приложениями, которые пользователи ранее установили в магазине. Прежде после установки на Windows 10 пользователи получали уведомление о том, что процесс установки завершён. Нажатие на уведомление приводило к запуску приложения. После нынешнего обновления у уведомлений две опции, помимо запуска приложения можно закрепить его в меню «Пуск». Оба этих действий отображаются также в центре уведомлений.

Кроме уведомлений обновления приносят новую шкалу загрузки, где показывается размер приложений и скорость скачивания. Новый дизайн этой шкалы позволяет ей занимать на экране меньше места. Также обновлена кнопка «Поделиться», которая позволяет отправить контактам пользователя ссылку и которую теперь лучше видно прямо рядом с кнопкой «Установить». Такая кнопка уже существует у конкурирующих магазинов приложений, в том числе у компании Apple.

Пока новшества магазина доступны только инсайдерам; возможно, до остальных они доберутся 11 апреля, когда начнётся процесс распространения обновления Windows 10 Creators Update. Желающие могут с сегодняшнего дня установить это обновление вручную через приложение Windows 10 Update Assistant.

У владельцев мобильных устройств на платформе Android появился ещё один повод для беспокойства. Специалисты по безопасности из компаний Google и Lookout предупреждают о новом вредоносном приложении, которое виновно в одной из самых сложных и целенаправленных мобильных атак среди всех зафиксированных к настоящему моменту. Приложение носит название Chrysaor и первоначально было разработано как эксплоит Pegasus для уязвимости нулевого дня на платформе iOS. Он использовался для шпионажа за правозащитником из Объединённых Арабских Эмиратов, а теперь появилась версия для Android.

После установки на устройство программа позволяет злоумышленникам отслеживать телефонные звонки и текстовые сообщения, письма по электронной почте, следить за камерой и даже за нажатиями клавиш на экранной клавиатуре. Между версиями  на Android и iOS имеются различия. Приложение на iPhone было разработано для взлома устройств с применением трёх уязвимостей нулевого дня. Ещё в августе прошлого года Apple закрыла эти уязвимости, после чего программа стала бесполезной.

На Android используется другой подход. Если программа не может выполнить рут устройства, она требует разрешений от пользователя, после получения которых может красть данные. Приложение запрограммировано уничтожать себя, если имеется угроза обнаружения, поэтому увидеть его непросто.

Chrysaor не является распространённой программой, но её жертвам от этого вряд ли будет легче. Исследователи не нашли приложений с Chrysaor в магазине Play Store, поэтому рекомендуют не скачивать программ из сторонних магазинов.