Les vulnérabilités dans iOS dont nous avons
discuté la semaine dernière, le tour des vulnérabilités dans Android est venu. Le 4 septembre, des informations sur le problème dans Android ont été publiées par des chercheurs de la Zero Day Initiative (
nouvelles, bulletin ), et au moment de la publication, il n'était pas fermé. Dans le jeu de correctifs pour Android publié la veille, deux erreurs critiques ont été corrigées dans le Media Framework, mais ce problème dans le pilote Video4Linux 2 est toujours d'actualité.
Par conséquent, peu de détails sont divulgués. ZDI estime la vulnérabilité à 7,8 selon CVSS. L'essence du problème est que le conducteur ne vérifie pas l'existence de l'objet avant d'effectuer des opérations sur celui-ci. Un bug de fonctionnement nécessite un accès local au système. En d'autres termes, une application avec un code malveillant et des privilèges faibles peut avoir un accès complet au smartphone, mais cette application doit être installée d'une manière ou d'une autre.
Les représentants de Google n'ont pas encore commenté le rapport de vulnérabilité. Selon ZDI, le développeur Android a reçu des informations sur le problème en mars de cette année, en juin, a déclaré qu'il travaillait sur le correctif, mais n'a pas répondu aux demandes ultérieures de date de sortie du correctif. L'évaluation du fournisseur est toujours importante: par exemple, Apple a répondu la semaine dernière à la recherche de Google sur les vulnérabilités dans iOS avec une
déclaration confirmant l'existence d'une campagne malveillante, mais réfutant les affirmations sur la durée de l'attaque. Selon Apple, la campagne a duré deux mois, pas deux ans.
Microsoft et Facebook, avec la participation de plusieurs universités américaines, se lancent dans une guerre contre les deepfakes. Les entreprises ont organisé un concours (
actualités ,
site du projet) du Deepfake Detection Challenge, dont la tâche sera de trouver des méthodes efficaces pour traiter les faux contenus à l'aide de méthodes d'apprentissage automatique. À la fin de cette année, le projet affichera un ensemble de données (vidéos originales et modifiées), sur la base desquelles les participants pourront former de faux outils de détection. Au printemps 2020, un test de boîte noire aura lieu, qui déterminera les développements les plus efficaces.
Pas un seul Nicolas Cage n'a été blessé lors de la création du gif. SourceDeepfake est un sujet relativement récent, qui a commencé une large discussion en 2017. Puis, sur les réseaux sociaux, des vidéos ont commencé à apparaître dans lesquelles le visage de la personne était remplacé par un autre, parfois avec une crédibilité incroyable. Le terme lui-même est apparu grâce à l'un des utilisateurs de Reddit avec le surnom de deepfakes, faisant allusion au type de produit final (faux) et au mode de fabrication (technologie d'apprentissage profond). Depuis lors, plusieurs projets ont été publiés avec du code source pour faire des faux à la maison. La technologie a été largement utilisée, avec une variété de résultats - de relativement innocent (que si vous
collez le visage de Mel Gibson dans le film Mad Max: Fury Road, dans lequel il n'a pas joué), à douteux et vraiment dangereux (pornographie et faux discours de politiciens).
Avant le phénomène de deepfake, on pouvait supposer que tout texte sur Internet pouvait être faux, tandis que la vidéo mérite un peu plus de confiance. Maintenant, ce n'est pas le cas, et il ne s'agit pas seulement de vidéos. Le 30 août, le Wall Street Journal a
rapporté le premier cas documenté de fraude intelligente impliquant une fraude à la voix humaine. Une société d'énergie anonyme a souffert: des fraudeurs ont réussi à reproduire presque parfaitement la voix de son directeur, après quoi ils ont appelé un employé de l'organisation et ont demandé 220 000 euros pour être transférés. La "tâche" étant terminée, l'argent est allé aux assaillants. Ce n'est pas seulement un exemple de fraude téléphonique avancée, mais aussi un scénario où les technologies pour créer des contrefaçons difficiles à distinguer de la réalité se déconnectent.
Sur le site du projet Deepfake Detection Challenge, la lutte contre les contrefaçons est comparée à un jeu d'échecs: il faut répondre au développement de systèmes intelligents d'opposants avec des algorithmes de reconnaissance de contrefaçon encore plus puissants. C'est une tâche honorable, mais il semble que dans un proche avenir, nous devrons tous appliquer des méthodes encore plus strictes de filtrage du contenu du réseau. Dans la nouvelle réalité merveilleuse, il ne faut pas immédiatement faire confiance non seulement aux messages électroniques prétendument d'une grande entreprise, mais aussi aux messages vidéo de personnes bien connues. Et les appels téléphoniques. Jusqu'à présent, seule la réunion en face à face est protégée contre les interférences numériques. Espérons que ce dernier bastion durera longtemps.
Les problèmes de sécurité traditionnels, en particulier l'utilisation de logiciels obsolètes, ne vont nulle part. Kaspersky Lab a
étudié les versions de Windows utilisées par les moyennes et grandes entreprises, les petites entreprises ainsi que les utilisateurs ordinaires. Les résultats des consommateurs sont conformes aux données récentes d'
autres sources : Windows 10 occupait récemment un peu plus de la moitié du marché. Le Windows le plus moderne est installé dans 53% des utilisateurs finaux, et la part parmi les petites entreprises est même légèrement plus élevée - 55%.
En deuxième place, Windows 7, dont la prise en charge étendue prend fin le 14 janvier 2020. Plus l'entreprise est grande, plus la migration vers de nouvelles versions de système d'exploitation est lente; parmi les moyennes et grandes entreprises, la part de Windows 7 atteint 47%. En troisième position, la version de Windows 8.1 (7% des consommateurs, 5% des entreprises), dont le support se poursuivra jusqu'en 2023. Windows XP non pris en charge et franchement dangereux est installé chez 2% des utilisateurs, tandis que les grandes entreprises ne sont pratiquement pas utilisées. Les consommateurs et les entreprises peuvent avoir des arguments différents contre la mise à jour, mais d'un point de vue de la sécurité, une mise à niveau sera nécessaire tôt ou tard. Dans le cas de Windows 7 toujours populaire, il sera nécessaire très bientôt.
Avertissement: Les opinions exprimées dans ce résumé peuvent ne pas coïncider avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.