Vulnerabilidades no iOS que
discutimos na semana passada, chegou a vez das vulnerabilidades no Android. Em 4 de setembro, informações sobre o problema no Android foram publicadas por pesquisadores da Zero Day Initiative (
boletim ) e, no momento da publicação, não estava fechado. No conjunto de patches para Android lançado no dia anterior, dois erros críticos foram corrigidos no Media Framework, mas esse problema no driver do Video4Linux 2 ainda é relevante.
Portanto, poucos detalhes são divulgados. O ZDI estima a vulnerabilidade em 7,8, de acordo com o CVSS. A essência do problema é que o driver não verifica a existência do objeto antes de realizar operações nele. Um bug para operação requer acesso local ao sistema. Em outras palavras, um aplicativo com código malicioso e baixos privilégios pode obter acesso total ao smartphone, mas esse aplicativo precisa ser instalado de alguma forma.
Representantes do Google ainda não comentaram o relatório de vulnerabilidade. De acordo com a ZDI, o desenvolvedor do Android recebeu informações sobre o problema em março deste ano, em junho disse que estava trabalhando em um patch, mas não respondeu aos pedidos subsequentes para a data de lançamento do patch. A avaliação do fornecedor ainda é importante: por exemplo, na semana passada, a Apple respondeu à exploração de vulnerabilidades do Google no iOS com uma
declaração confirmando a existência de uma campanha maliciosa, mas refutando as alegações sobre a duração do ataque. Segundo a Apple, a campanha durou dois meses, não dois anos.
Microsoft e Facebook, com a participação de várias universidades americanas, estão embarcando em um caminho de guerra contra deepfakes. As empresas organizaram um concurso (
notícias ,
site do projeto) do Deepfake Detection Challenge, cuja tarefa será encontrar métodos eficazes para lidar com conteúdo falso usando métodos de aprendizado de máquina. No final deste ano, o projeto publicará um conjunto de dados (vídeos originais e modificados), com base nos quais os participantes poderão treinar ferramentas de detecção falsas. Na primavera de 2020, será realizado um teste de caixa preta, que determinará os desenvolvimentos mais eficazes.
Nicolas Cage não se machucou ao criar o gif. FonteO Deepfake é um tópico relativamente recente, que iniciou uma ampla discussão em 2017. Então, nas redes sociais, começaram a aparecer vídeos nos quais o rosto da pessoa foi substituído por outro, às vezes com incrível credibilidade. O termo em si apareceu graças a um dos usuários do Reddit com o apelido deepfakes, sugerindo o tipo de produto final (falso) e o método de fabricação (tecnologia de aprendizado profundo). Desde então, vários projetos foram lançados com código-fonte para fazer falsificações em casa. A tecnologia recebeu amplo uso, com uma variedade de resultados - de relativamente inocente (que se você
colar o rosto de Mel Gibson no filme Mad Max: Estrada da Fúria, no qual ele não estrelou), a duvidosos e realmente perigosos (pornografia e falsos discursos de políticos).
Antes do fenômeno deepfake, era de se supor que qualquer texto na Internet pudesse ser falso, enquanto o vídeo merece um pouco mais de confiança. Agora não é assim, e não se trata apenas de vídeos. Em 30 de agosto, o Wall Street Journal
relatou o primeiro caso documentado de fraude inteligente envolvendo fraude de voz humana. Uma empresa de energia sem nome sofreu: os fraudadores conseguiram reproduzir quase perfeitamente a voz de seu diretor, após o que chamaram um funcionário da organização e exigiram a transferência de 220 mil euros. A "tarefa" foi concluída, o dinheiro foi para os atacantes. Este não é apenas um exemplo de fraude telefônica avançada, mas também um cenário em que as tecnologias para criar falsificações difíceis de distinguir da realidade ficam offline.
No site do projeto Deepfake Detection Challenge, a luta contra as falsificações é comparada a um jogo de xadrez: o desenvolvimento de sistemas inteligentes de oponentes precisa ser respondido com algoritmos de reconhecimento falso ainda mais poderosos. Essa é uma tarefa honrosa, mas parece que em um futuro próximo todos teremos de aplicar métodos ainda mais rigorosos de filtragem de conteúdo da rede. Na nova e maravilhosa realidade, não se deve confiar imediatamente não apenas em mensagens de e-mail supostamente de uma grande empresa, mas também em mensagens de vídeo de pessoas conhecidas. E telefonemas. Somente reuniões presenciais estão protegidas até o momento contra interferências digitais. Felizmente, este último bastião vai durar muito tempo.
Os problemas de segurança tradicionais, em particular o uso de software desatualizado, não vão a lugar algum. A Kaspersky Lab
investigou quais versões do Windows são usadas por empresas de médio e grande porte, pequenas empresas e usuários comuns. Os resultados do consumidor estão alinhados com dados recentes de
outras fontes : o Windows 10 ocupou apenas recentemente pouco mais da metade do mercado. O Windows mais moderno está instalado em 53% dos usuários finais, e a participação entre pequenas empresas é ainda um pouco maior - 55%.
Em segundo lugar, está o Windows 7, cujo suporte estendido termina em 14 de janeiro de 2020. Quanto maior a empresa, mais lenta é a migração para novas versões do sistema operacional; entre empresas de médio e grande porte, a participação do Windows 7 chega a 47%. Em terceiro lugar, está a versão do Windows 8.1 (7% dos consumidores, 5% das empresas), cujo suporte continuará até 2023. O Windows XP não suportado e francamente inseguro é instalado em 2% dos usuários, enquanto empresas maiores praticamente não são usadas. Tanto consumidores quanto empresas podem ter argumentos diferentes contra a atualização, mas do ponto de vista da segurança, uma atualização será necessária mais cedo ou mais tarde. No caso do ainda popular Windows 7, será necessário muito em breve.
Isenção de responsabilidade: as opiniões expressas neste resumo podem não coincidir com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.