Dirty dancing

Dirty Stream agite le Net depuis quelques jours. Il faut dire que cette « faille » fait les gros titres à coups de milliards de smartphones Android touchés. Suivant comment les applications sont programmées, elles peuvent se laisser berner par un pirate qui peut écraser des fichiers pour en prendre le contrôle. Inutile de paniquer pour autant, des correctifs sont déployés.

La semaine dernière, Microsoft a publié un billet de blog pour présenter Dirty Stream, présenté comme un « modèle de vulnérabilité courant dans les applications Android ». Les risques sont réels puisque cela peut aller jusqu’à l’exécution de code arbitraire et au vol de jetons d’identification, deux situations très dangereuses.

Avant de paniquer, un point important : Microsoft a prévenu les développeurs bien en avance afin de pouvoir corriger le tir. C’est notamment le cas des applications de gestionnaire de fichier de Xiaomi et WPS Office. Elles ont été mises à jour dès le mois de février, bien avant la publication de ce bulletin d’alerte. Microsoft s’est également rapproché de Google, qui a mis en ligne une page sur son site dédié aux développeurs Android (et une autre ici) afin de prévenir les développeurs et leur proposer des protections à mettre en place.

Content Provider : gare à l’implémentation

Mais de quoi s’agit-il exactement ? Microsoft commence par un rappel sur le fonctionnement du système d’exploitation : « Android impose l’isolation en attribuant à chaque application son propre espace dédié pour le stockage des données et la mémoire. Pour faciliter le partage des données et des fichiers, Android propose un composant appelé Content Provider, qui agit comme une interface pour gérer et exposer les données aux autres applications, de manière sécurisée ».

Utilisé correctement, le Content Provider est décrit par Microsoft comme « une solution fiable ». Mais, comme souvent, une implémentation « inappropriée peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application ».

On est donc face à un cas malheureusement assez classique où il faut distinguer le protocole ou la fonctionnalité de son implémentation (c’est-à-dire sa mise en œuvre de manière pratique) dans les applications. Comme on a pu le voir par le passé (ici, là et encore ici ou là… et ce n’est que la partie visible de l’iceberg), il peut y avoir une grande différence entre les deux.

On vous épargne le fonctionnement précis du Content Provider (détaillé ici par Google), mais il arrive que des applications « ne valident pas le contenu du fichier qu’elle reçoive et, ce qui est le plus inquiétant, utilisent le nom de fichier fourni » par l’application qui envoie les données. Ce fichier est alors stocké dans le répertoire de données interne de l’application ciblée. Voyez-vous venir le risque ?

Remplacer des fichiers par ceux des pirates

Avec des noms de fichier taillés sur mesure, l’application d’un pirate peut donc remplacer les fichiers clés de l’application cible et ainsi en prendre le contrôle. Dans tous les cas, l’impact varie en fonction des applications et de leur mise en œuvre.

« Par exemple, il est très courant que les applications Android lisent les paramètres de leur serveur à partir du répertoire shared_prefs. Dans de tels cas, l’application malveillante peut écraser ces paramètres, ce qui l’oblige à communiquer avec un serveur contrôlé par l’attaquant et à envoyer les jetons d’identification de l’utilisateur ou d’autres informations sensibles », explique Microsoft. Ce serait un peu comme si une application pouvait venir remplacer n’importe quel fichier sur votre ordinateur…

Microsoft en ajoute une couche : « Dans le pire des cas (et ce n’est pas si rare), l’application vulnérable peut charger des bibliothèques natives à partir de son répertoire de données dédié (par opposition au répertoire /data/app-lib, plus sécurisé, où les bibliothèques sont protégées contre toute modification). Dans ce cas, l’application malveillante peut écraser une bibliothèque avec du code malveillant, qui est alors exécuté lors du chargement ».

Dans le cas du gestionnaire de fichier de Xiaomi, cette technique a permis d’exécuter du « arbitraire avec l’ID utilisateur et les autorisations du gestionnaire de fichiers ». On vous laisse imaginer le boulevard que cela ouvre au pirate, qui peut ainsi contrôler l’application et accéder à l’ensemble des fichiers ou presque.

Google confirme et donne des « astuces »

Google confirme les risques sur cette page : « Si un pirate informatique parvient à écraser les fichiers d’une application, cela peut entraîner l’exécution de code malveillant (en écrasant le code de l’application) ou sinon, permettre la modification du comportement de l’application (par exemple, en écrasant les préférences partagées de l’application ou d’autres fichiers de configuration) ».

Au-delà des applications mises à jour, d’autres peuvent encore être vulnérables. Microsoft et Google proposent donc des méthodes pour éviter de tomber dans ce piège.

« La solution la plus sûre consiste à ignorer complètement le nom renvoyé par l’application lors de la mise en cache du contenu. Certaines des approches les plus robustes que nous avons rencontrées utilisent des noms générés aléatoirement, de sorte que, même dans le cas où le contenu d’un flux entrant est mal formé, il n’altère pas l’application ». Une autre solution serait d’enregistrer les fichiers dans un répertoire dédié.

Mille milliards de mille sabords

Terminons avec un mot sur l’emballement autour de cette affaire. On entend souvent parler de milliards de terminaux affectés, ce n’est pas aussi simple. Microsoft explique avoir « identifié plusieurs applications vulnérables dans le Google Play Store qui représentaient plus de quatre milliards d’installations ». Quatre milliards d’installations (dont plus d’un milliard pour la seule application de Xiaomi) ne signifie pas que quatre milliards de smartphones sont touchés, loin de là.

La question est aussi de savoir si on doit parler d‘une mauvaise gestion des données du côté des développeurs qui laissent des données de leur application se faire écraser par des fichiers externes, ou bien d’une faille d’Android qui laisse ce genre d’action passer, peu importe ce qu’en disent les applications.

Cela fait maintenant près de quatre ans que la fondation éponyme propose son Raspberry Pi 4 en version Compute Module. Il reprend le gros des caractéristiques de la v4 du Single Board Computer (SBC), dont son SoC Broadcom BCM2711.

Mais ce Compute module 4 introduisait un nouveau format, avec une connectique différente. Par la suite, un Compute Module 4S a été proposé, en reprenant le format SO-DIMM du Compute Module 3(+), afin de permettre une évolution à ceux qui le souhaitent.

• Raspberry Pi : le Compute Module 3+ disponible avec ou sans eMMC, dès 25 dollars – Next

Le Compute Module 4S était uniquement proposé avec 1 Go de mémoire, mais de nouvelles variantes sont désormais disponibles, avec 2, 4 ou 8 Go de mémoire. La fondation annonce au passage que la production de son Compute Module 4S sera assurée « au moins jusqu’en janvier 2034 ».

Le tarif varie de 25 dollars (1 Go de mémoire, pas d’eMMC) à 75 dollars pour 8 Go et 32 Go respectivement. Raspberry Pi propose le product brief et une fiche technique.

Vous fantasmez sur un remake du jeu Star Wars Republic Commando ? Oleksandr Maziura nous dévoile sur sa chaine YouTube l'intro du jeu sous Unreal Engine 5 et c'est magnifique ! On ne peut qu'admirer le travail réalisé, cette "simple" intro, d'une durée d'un peu plus de deux minutes, a nécessité un an et demi de travail ! En effet, l'artiste a recréé des scènes dans le moteur graphique d'Epic, malheureusement, il s'agit d'un portfolio et aucune version jouable est en développement... […]

Lire la suite

More than 90% of stablecoin transaction volumes aren't coming from genuine users, according to a new metric co-developed by Visa, suggesting such crypto tokens may be far away from becoming a commonly used means of payment. Bloomberg: The dashboard from Visa and Allium Labs is designed to strip out transactions initiated by bots and large-scale traders to isolate those made by real people. Out of about $2.2 trillion in total transactions in April, just $149 billion originated from "organic payments activity," according to Visa. Visa's finding challenges stablecoin proponents' argument that the tokens, pegged to an asset like the dollar, are poised to revolutionize the $150 trillion payments industry. PayPal and Stripe are among the fintech giants making inroads into stablecoins, with Stripe co-founder John Collison in April citing "technical improvements" for being bullish on the tokens. [...] Visa itself, which handled more than $12 trillion worth of transactions last year, is among companies that could stand to lose out should stablecoins become a generally accepted means of payment.

Read more of this story at Slashdot.

The Fedora Engineering and Steering Committee (FESCo) has signed off on the plans for Fedora 41 to build its Python using the "-O3" compiler optimization level rather than the "-O2" default for Fedora packages in the name of better performance...

The Linux 6.10 kernel is poised to remove support for old DEC Alpha EV5 platforms and earlier...

Minimachines.net en partenariat avec TopAchat.com

Le AceMagic M2A StarShip est un drôle d’engin. A la fois dans la forme mais aussi surtout sur le fond. Sous couvert d’un hommage à StarWars et à ce mois de mai aux US (May the fourth be with you…)  il se présente comme les premier MiniPC au refroidissement à « 4 dimensions ».

J’imagine que cette quatrième dimension est celle de l’emphase car je ne vois pas très bien sur quel autre axe la marque pourrait communiquer avec cet engin. On a bien droit à un système de 7 caloducs répartis dans le dispositifs et un tas de LEDs qui décorent les « ailes » de ce AceMagic M2A StarShip.. Mais rien de vraiment innovant d’un point de vue technique.

Cette dégaine de X-Wing réhaussée de lumières LEDs n’indique pas grand chose sur les capacités de l’engin. On sait que quatre ventilateurs sont intégrés pour refroidir chacun une série d’ailettes qui seront alimentées par les 7 caloducs. Mais on ne sait rien sur l’équipement interne de l’appareil. La marque parle d’un engin qui serait apte a piloter des jeux AAA très gourmands. Mais sans préciser son processeur, son circuit graphique ou ses capacités mémoire et stockage pour le moment.

Un petit écran LCD situé au centre du dispositif permettra de lire l’état de l’engin ; température du processeur, mémoire vive consommée, vitesse de ventilation et autres… Comme sur de précédents modèles proposés par la marque. Ce qui me laisse a penser que ce AceMagic M2A StarShip est encore et toujours une solution fabriquée par un tiers de manière générique. Il est donc fort possible que cette machine débarque chez les nombreux concurrents de la marque sur ce segment MiniPC. Possible également que AceMagic ait « sécurisé » ce design pour son usage propre en payant pour son exclusivité. 

On devrait en savoir plus très bientôt… ou pas. La marque propose une remise de 35% si on s’inscrit sur sa page de prévente. Il faut bien sûr accepter de recevoir des « emails marketing » en échange mais aussi et surtout rester focalisé sur ce modèle. Il est fort possible qu’il ne s’agisse que d’une pré annonce plus générale et que les images 3D présentées ici soient reprises par d’autres marques dans les mois ou les semaines qui viennent.

AceMagic M2A StarShip : un MiniPC plus si Mini que cela © MiniMachines.net. 2024.

On teste aujourd’hui la nouvelle version de la souris gaming ergo de chez Pulsar, la Xlite V3, en taille normale (‘’size 2’’) et un nouveau format en plus grande taille (‘’size 3’’) ! Par rapport aux V1 et V2, Pulsar change de capteur pour aller sur le dernier flagship, le PixArt 3395, les switchs principaux passent en optique et enfin, l’esthétique change aussi au profit d’une coque pleine pour un design plus feutré. Pour terminer, cette nouvelle V3 est compatible avec le dongle 4K du constructeur. Toutes ces nouveautés ont également un impact sur le prix, qui passe de 99€ à 109€, ce qui reste entendable. On fait le tour ensemble ?

Avec la Xlite V3, Pulsar est de retour et fait de mauvais tours à ses concurrents. Une souris sans fil à la forme travaillée, avec un dongle 4K en bundle ou encore des switches optiques, tout est là pour satisfaire les joueurs les plus exigeants. Vendue environ 110 U+20AC, serait-ce la nouvelle reine sur ce segment ? Amateurs de câble USB ou de 2.4 GHz, vous pouvez foncer ! Tous les détails sont ici : Pulsar Xlite V3 ou sur la source. […]

Lire la suite

Gearbox va proposer un nouveau jeu à la fin du mois de mai, il s'agit de RKGK, un jeu de plateforme 3D solo, dans une ville futuriste bien terne, Cap City, vos actions devraient pimper le quotidien des citoyens ! Faites tourner les têtes et décrocher les mâchoires. Soyez brillant. Dans ce jeu de plateforme 3D solo, affronter M. Buff et ses laquais pour redonner couleur et vie aux citoyens de Cap City. Accompagnez Valah et la bande de RKGK dans leur aventure pour mettre un terme à l'oppression de B Corp. […]

Lire la suite

Wednesday Rest of World noticed an overlooked tech story in Argentina: Olga de León looked confused as she walked out of a nightclub on the edge of Buenos Aires on a recent Tuesday afternoon. She had just had her iris scanned. "No one told me what they'll do with my eye," de León, 57, told Rest of World. "But I did this out of need." De León, who lives off the $95 pension she receives from the state, had been desperate for money. Persuaded by her nephew, she agreed to have one of her irises scanned by Worldcoin, Sam Altman's blockchain project. In exchange, she received nearly $50 worth of WLD, the company's cryptocurrency. De León is one of about half a million Argentines who have handed their biometric data over to Worldcoin. Beaten down by the country's 288% inflation rate and growing unemployment, they have flocked to Worldcoin Orb verification hubs, eager to get the sign-up crypto bonus offered by the company. A network of intermediaries — who earn a commission from every iris scan — has lured many into signing up for the practice in Argentina, where data privacy laws remain weak. But as the popularity of Worldcoin skyrockets in the country, experts have sounded the alarm about the dangers of giving away biometric data. Two provinces are now pushing for legal investigations. "Seeing that [iris scans have] been banned in European countries, shouldn't we be trying to stop it, too?" Javier Smaldone, a software consultant and digital security expert, told Rest of World. Last month Worldcoin's web site announced that more than 10 million people in 160 countries had created a World ID and compatible wallet (performing 75 million transactions) — and that 5,195,475 people had also verified their World ID using Worldcoin's iris-scanning Orb. But the article notes a big drop in the number of countries even allowing Worldcoin's iris-scanning — from 25 to just eight. While in less than a year Worldcoin opened nearly 60 centers across Argentina...

Read more of this story at Slashdot.

Minimachines.net en partenariat avec TopAchat.com

Une modification amusante et assez impressionnante d’une ConsolePC Asus ROG Ally a été proposée par un internaute surnommé YesItsKira. Il s’agit d’un second écran pour l’appareil.

Soyons d’emblée très clairs, je ne suis pas sûr que ce soit une bonne idée en mobilité. Le poids et le déport du point de gravité proposé par ce MOD ainsi que l’impact sur la batterie de l’engin ne sont probablement pas très confortables à l’usage. Cela d’autant que le processeur embarqué n’est pas spécialement prévu pour gérer du double écran de cette manière. 

Mais le travail réalisé est proprement impressionnant et cette ROG Ally double écran à un style inimitable. De l’aveu même de son créateur, il ‘agit plus d’une modification faite pour le fun qu’un réel besoin personnel. Mais il est possible qu’un dispositif de ce type intéresse certains utilisateurs. L’ajout d’un second écran 7″ IPS prévu au départ pour Raspberry Pi se fait grâce à une connexion USB Type-C et u dock désossé pour transformer le signal en un HDMI plus classique.

Le tout est intégré dans une coque imprimée en 3D qui vient se coller à celle d’origine… Ce qui est sans doute la partie la moins élégante du dispositif. Ce type de collage ayant un impact sur le châssis de base en terme de traction et de mouvements mécaniques. Il laissera probablement également une trace lors du décollage de l’ensemble.

C’est pour cela que l’auteur a au préalable démonté le châssis de sa ROG Ally et imprimé un substitut qui ne risque rien. Pour en savoir pus vous pouvez retrouver le détail de ce MOD sur Github avec la liste complète des composants. Une liste des éléments a imprimer en 3D est également disponible sur Thingiverse.

Vous pourrez trouver l’ensemble du châssis de la ROG Ally en fichiers 3D a imprimer sur Printables.

Source : Hackaday

Un MOD double écran pour la ROG Ally d’Asus © MiniMachines.net. 2024.

À peine testé, le MSI MPG 321URX est mis à jour par la marque au dragon, ajoutant plusieurs options dans l'OSD. On retrouve notamment le contrôle du DSC (la compression du flux vidéo), ainsi qu'un commutateur "Power LED" et de nombreux correctifs. Nous dressons donc la liste de toutes ces corrections apportées par le Firmware FW0.10, qui s'appliquent également au MPG 271QRX. […]

Lire la suite

Le concours 25AnsTopAchat se poursuit avec un lot numéro 2 d'une valeur de 3359 euros en jeu ! […]

Lire la suite

The modular/upgradeable Framework Laptops employ an open-source embedded controller (EC) firmware derived from Google's Chrome OS EC project. This is great for open-source fans and allows re-using much of the same Chrome OS EC software support that already exists. But there is also vendor-specific commands supported by the Framework Laptop EC and thus a dedicated Linux kernel driver is now being worked on for handling those vendor/device-specific features...

The first beta of FreeBSD 14.1 is now available for testing in kicking off what will be the first point release building off last November's FreeBSD 14.0 release...

There's a new release of the open-source nvidia-vaapi-driver available, the third-party VA-API implementation that in turn targets NVIDIA's NVDEC interface to allow software like Mozilla Firefox that only targets VA-API for video acceleration to work on NVIDIA GPUs...

Dillo 3.1 has been released to succeed the Dillo 3.0.5 release all the way back from 2015... Dillo is a lightweight web browser making use of the FLTK toolkit and is cross-platform, maintains few dependencies, and implements its own rendering engine...

Minimachines.net en partenariat avec TopAchat.com

La Radxa Rock 5 ITX embarque un SoC ARM Rockchip RK3588, une puce 8 cœurs qui contrôlera une carte pensée pour piloter un NAS.

Il s’agit d’une SBC un peu particulière de part son format et sa spécialisation. L’idée de la Radxa Rock 5 ITX est  avant tout orientée vers du stockage réseau. Compatible avec le format Mini-ITX, elle pourra être intégrée dans la majorité des boitiers de PC.

Le Rockchip RK3588 embarqué développe 4 cœurs Cortex A76 et 4 cœurs Cortex A55 associés à un circuit graphique ARM Mali-G610 MC4. La puce embarque également un NPU qui propose 6 TOPS de performance de calcul. Il s’agit d’une puce employée régulièrement depuis quelques temps pour développer des solutions de ce genre.Elle est compatible avec des distributions Linux classiques comme des solutions spécialisées . Android est également mis en avant pour cette carte mais je n’en vois pas vraiment l’intérêt. 

A noter plusieurs choix intéressants d’alimentation. On pourra piloter la carte avec une alimentation ATX classique, via un jack standard 12V ou en utilisant une alimentation réseau POE. Même si je ne  suis pas sur que cela suffise a alimenter les différents stockages embarqués. 

La Radxa Rock 5 ITX sera déployée en diverses capacité de mémoire, de 4 à 32 Go de LPDDR5 soudée directement sur la carte. La partie stockage sera plus variée. On retrouve tout d’abord le classique lecteur de cartes MicroSDXC pour embarquer un système mais également un eMMC 8 Go et un port M.2 2280 NVMe PCIE 3.0 x2. Pas moins de 4 ports SATA3 sont également disponibles sur la carte pour piloter la partie stockage NAS de l’ensemble. Un seconde port M.2 2242 permettra d’ajouter une carte Wi-Fi6.

Pour le reste on trouve une connectique classique avec deux HDMI, un DisplayPort, des ports audio, USB et deux Ethernet 2.5 Gigabit. Des ports MIPI CSI et DSI sont présents ainsi qu’un contrôleur pour écran tactile. Le tout est proposé en import chez Allnet à partir de 119.90$ pour la version 8 Go de LPDDR5. Attention il s’agit d’un prix HT et hors dédouanement. Comptez une bonne grosse poignée d’euros en plus une fois devant votre porte.

Radxa Rock 5 ITX : une carte mère ARM pour NAS © MiniMachines.net. 2024.