Vulnerabilidades en iOS que
discutimos la semana pasada, ha llegado el turno de las vulnerabilidades en Android. El 4 de septiembre, los investigadores de Zero Day Initiative publicaron información sobre el problema en Android
noticias, boletín ), y en el momento de la publicación, no estaba cerrado. En el parche para Android lanzado el día anterior, se corrigieron dos errores críticos en Media Framework, pero este problema en el controlador Video4Linux 2 sigue siendo relevante.
Por lo tanto, se revelan pocos detalles. ZDI estima vulnerabilidad en 7.8 según CVSS. La esencia del problema es que el controlador no verifica la existencia del objeto antes de realizar operaciones en él. Un error de funcionamiento requiere acceso local al sistema. En otras palabras, una aplicación con código malicioso y bajos privilegios puede obtener acceso completo al teléfono inteligente, pero esta aplicación debe instalarse de alguna manera.
Los representantes de Google aún no han comentado sobre el informe de vulnerabilidad. Según ZDI, el desarrollador de Android recibió información sobre el problema en marzo de este año, en junio dijo que estaba trabajando en el parche, pero no respondió a las solicitudes posteriores para la fecha de lanzamiento del parche. La evaluación del proveedor sigue siendo importante: por ejemplo, Apple respondió la semana pasada a la exploración de vulnerabilidades de Google en iOS con una
declaración que confirma la existencia de una campaña maliciosa, pero refuta las afirmaciones sobre la duración del ataque. Según Apple, la campaña duró dos meses, no dos años.
Microsoft y Facebook, con la participación de varias universidades estadounidenses, se embarcan en un camino de guerra contra las falsificaciones profundas. Las compañías organizaron un concurso (
noticias ,
sitio del proyecto) del Deepfake Detection Challenge, cuya tarea será encontrar métodos efectivos para lidiar con contenido falso utilizando métodos de aprendizaje automático. A finales de este año, el proyecto publicará un conjunto de datos (videos originales y modificados), en función del cual los participantes podrán capacitar herramientas de detección falsas. En la primavera de 2020, se realizará una prueba de caja negra, que determinará los desarrollos más efectivos.
Ni un solo Nicolas Cage resultó herido al crear el gif. FuenteDeepfake es un tema relativamente reciente, que comenzó una amplia discusión en 2017. Luego, en las redes sociales comenzaron a aparecer videos en los que la cara de la persona fue reemplazada por otra, a veces con una credibilidad increíble. El término en sí apareció gracias a uno de los usuarios de Reddit con el apodo deepfakes, que insinúa el tipo de producto final (falso) y su método de producción (tecnología de aprendizaje profundo). Desde entonces, se han lanzado varios proyectos con código fuente para hacer falsificaciones en casa. La tecnología ha recibido un uso generalizado, con una variedad de resultados, desde relativamente inocente (que si pegas la cara de Mel Gibson en la película Mad Max: Fury Road, en la que no protagonizó), hasta dudosos y realmente peligrosos (pornografía y falsificaciones de discursos de políticos).
Antes del fenómeno deepfake, se podría suponer que cualquier texto en Internet podría ser falso, mientras que el video merece un poco más de confianza. Ahora esto no es así, y no se trata solo de videos. El 30 de agosto, el Wall Street Journal
informó el primer caso documentado de fraude inteligente relacionado con el fraude de la voz humana. Una compañía de energía no identificada sufrió: los estafadores lograron reproducir casi sin problemas la voz de su director, después de lo cual llamaron a un empleado de la organización y exigieron que se transfirieran 220 mil euros. La "tarea" se completó, el dinero fue a los atacantes. Este no es solo un ejemplo de fraude telefónico avanzado, sino también un escenario donde las tecnologías para crear falsificaciones que son difíciles de distinguir de la realidad se desconectan.
En el sitio web del proyecto Deepfake Detection Challenge, la lucha contra las falsificaciones se compara con un juego de ajedrez: el desarrollo de sistemas inteligentes de oponentes debe responderse con algoritmos de reconocimiento falsos aún más potentes. Esta es una tarea honorable, pero parece que en un futuro cercano todos tendremos que aplicar métodos aún más estrictos para filtrar el contenido de la red. En la nueva realidad maravillosa, uno no debe confiar de inmediato no solo en los mensajes de correo electrónico supuestamente de una gran empresa, sino también en mensajes de video de personas conocidas. Y llamadas telefónicas. Hasta ahora, solo las reuniones cara a cara están protegidas de la interferencia digital. Con suerte, este último bastión durará mucho tiempo.
Los problemas de seguridad tradicionales, en particular el uso de software obsoleto, no van a ninguna parte. Kaspersky Lab
investigó qué versiones de Windows utilizan las empresas medianas y grandes, las pequeñas empresas y los usuarios comunes. Los resultados de los consumidores están en línea con los datos recientes de
otras fuentes : Windows 10 recientemente ocupó un poco más de la mitad del mercado. El Windows más moderno está instalado en el 53% de los usuarios finales, y la participación entre las pequeñas empresas es incluso ligeramente superior: 55%.
En segundo lugar está Windows 7, cuyo soporte extendido finaliza el 14 de enero de 2020. Cuanto más grande es la compañía, más lenta es la migración a nuevas versiones de SO; entre las empresas medianas y grandes, la participación de Windows 7 alcanza el 47%. En tercer lugar está la versión de Windows 8.1 (7% de los consumidores, 5% de las empresas), cuyo soporte continuará hasta 2023. Windows XP no compatible y francamente inseguro está instalado en el 2% de los usuarios, mientras que las empresas más grandes prácticamente no se utilizan. Tanto los consumidores como las compañías pueden tener diferentes argumentos en contra de la actualización, pero desde un punto de vista de seguridad, una actualización será necesaria tarde o temprano. En el caso del aún popular Windows 7, será necesario muy pronto.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.