Новости по теме «Посещение интернета легко деанонимизировать»

Организация EFF всегда боролась за продвижение шифрования и приватность в Сети, поэтому достигнутый показатель имеет большое значение.

Расширение использования шифрование связано с применением HTTPS крупнейшими игроками Интернет рынка, среди которых Facebook, Twitter, Google. Последняя даже использует факт шифрования страницы для определения порядка результатов поиска.

В EFF считают, что также важным фактором распространения шифрования стала простота его  реализации веб мастерами. Внедрение программ Let's Encrypt и Certbot позволило ранее нешифрованным сайтам получить бесплатный сертификат безопасности, и их количество, выданное Let's Encrypt, с октября уже увеличилось вдвое. Платформы интернет хостинга также интегрируют HTTPS в свои инструменты построения веб-сайтов.

И хотя шифрование в Интернете активно развивается, в этой сфере имеются большие проблемы. По уверению Google, 97% всего нешифрованного трафика генерируется мобильными устройствами. И если ваше устройство или посещаемый сайт не поддерживают шифрование, то вы ничего не сможете с этим поделать. В связи с этим EFF рекомендует использовать расширения для браузеров HTTPS Everywhere, созданное в сотрудничестве с командой Tor Project. Расширение активизирует HTTPS при возможности его использования, а также переписывает небезопасные запросы для активации шифрования.

Согласно данным свежего исследования от Duo Security, четверть всех Windows устройств используют уже неподдерживаемую версию Internet Explorer. Проблема заключается в том, что люди используют Windows XP, и соответственно браузер IE 7 или IE 8, которые содержат более 700 известных уязвимостей.

В исследовании отмечается, что Chrome является «самым обновлённым браузером». Порядка 82% пользователей имеют последнюю версию этого обозревателя, что заметно больше 58% для Microsoft Edge/IE и 66% для Firefox.

Аналитики отмечают, что скорее всего это вызвано  тихим обновлением, включённым в Chrome по умолчанию, и большинство пользователей даже не знают о текущей версии приложения.

Что касается пользователей Mac, то в этой ОС устаревших браузеров намного меньше. Главной причиной исследователи считают некоторую нестабильность Windows и опасения её пользователей, что обновления могут привести к проблемам. В то же время на Mac такой проблемы нет, и пользователи охотно обновляют все приложения, включая браузеры.

Обычно VPN сервисы позиционируются как безопасные способы передачи информации по незащищённым сетям или для получения доступа к запрещённым интернет ресурсам.

Проанализированные VPN провайдеры манипулируют таблицами маршрутизации для IPv4, но игнорируют IPv6. Кроме того, туннельный протокол PPTP, как правило используемый для VPN, также является частично уязвимым.

Для того, чтобы прекратить утечки трафика, исследователи рекомендовали провайдерам провести проверки, что все их средства безопасности также охватывают IPv6. Также изменения должны быть проведены и в туннельном протоколе, что обезопасит DNS.

Будем надеяться, что VPN провайдеры услышат критику и внесут все необходимые изменения в предлагаемые ими сервисы.

В прошлом году это соотношение было практически равно единице, но в этом году автоматизированные системы сгенерировали на 20% больше данных, чем люди. Исследователи, проанализировав данных из сетей 20 тысяч своих клиентов, сделали заключение, что в 2013 году за 61,5% трафика ответственны боты. Остальные 38,5% интернет-трафика создано людьми.

И такое разделение может говорить о проблеме. Хотя большинство ботов являются лишь различными сборщиками информации, например пауками поисковых систем, пытающихся проиндексировать веб-ресурсы, всё же треть трафика созданного ботами носит подозрительный характер.

Другой важной особенностью активности ботов стало уменьшение количества ботов-спаммеров, которые оставляли рекламные ссылки в комментариях и на форумах. Однако после того как их количество резко сократилось им на смену пришли боты «самозванцы другого вида». Эти самозванцы, по данным Incapsula, включают агентов по сборке маркетинговых данных, инструменты DDoS и прочие программы, занимающие канал связи и препятствующие нормальному функционированию веб-ресурсов.

Таковы результаты быстрого опроса, проведённого Newtek — The Small Business Authority. Из 2700 респондентов 86% считают, что их сайты находятся в безопасности. Кроме того, 41% бизнесменов уверены, что именно вебсайт является главной движущей силой для их бизнеса.

Конечно, нет нужды уточнять, что большинство экспертов в безопасности и хакеров скажут вам, что эти сайты крайне легко взломать. Фактически, недавний опрос показал, что 86% вебсайтов, протестированных WhiteHat Security, содержат как минимум одну серьёзную уязвимость.

«Мы ценим ответы наших клиентов, которые показали нам важность их нужд, проблем и восприимчивость их бизнесов. Мы считаем, что наши независимые владельцы бизнеса не очень озабочены кибер-безопасностью, хотя им следовало бы», — прокомментировал ситуацию Барри Слоен, глава, президент и исполнительный директор The Small Business Authority.

«Иронично, что они оценили своё присутствие в интернете как предельно важный аспект их бизнеса, но при этом имеют легкомысленное отношение к природе безопасности их контента и данных».

Однако на сей раз фирма решила вернуться к текущей версии IE10 и вооружившись исследованиями компании NSS Labs показала, что её собственный обозреватель безопаснее продукции конкурентов.

Стоит отметить, что NSS Labs — это «независимая организация по исследованиям в области безопасности и тестировании», так что этим результатам вполне можно доверять.

Согласно исследованиям, когда речь заходит о реальных атаках, браузер IE10 работает лучше своих конкурентов. По уверениям разработчиков, их собственный обозреватель блокирует не менее 99% вредоносного ПО.

Компания объявила: «Chrome, Firefox и Safari все используют API безопасного сёрфинга от Google для блокировки подозрительных ссылок с уровнем успеха примерно в 10%. Большинство защит Chrome происходит после того как пользователи уже загрузили подозрительное ПО в форме предупреждения. Для сравнения, фильтрация адресов SmartScreen в Internet Explorer 10 сама блокирует также много, как и Chrome, и когда добавлена репутация приложения, IE10 блокирует более 99% вредоносного ПО».

Что касается уровня уязвимостей, то и тут собственная разработка Рэдмонда уверенно держит преимущество. Так за этот год было найдена 41 уязвимость в IE, в то время как Google пришлось исправить 291 уязвимость, а 257 опасных ошибок было объявлено для Mozilla Firefox.

Ну а учитывая то, что Microsoft в ближайшее время выпустит IE11 со значительными модификациями в обозревателе, стоит ожидать ещё лучших результатов не только в безопасности, но и в скорости работы Internet Explorer.

Бернштайн установил, что TLS и SSL совмещены с другой схемой шифрования, известной как RC4. Система, разработанная в 1987 году, является наиболее популярной среди рекомендуемых механизмов защиты трафика в банкинге, электронной почте и прочих приватных сайтах.

Кенни Патерсон (Kenny Paterson), профессор Лондонского Университета, работавший с Бернштайном, заявил, что RC4 имеет слабости по всем направлениям. Однако до сих пор никто не занялся вопросом взлома TLS. Схема RC4 была разработана легендарным криптографом Роном Райвестом (Ron Rivest) для фирмы RSA, работавшей в сфере безопасности. Эта система использует ключевое значение для генерации потока псевдослучайных чисел, которые объединяясь с частями сообщения спутывают их таким образом, что лишь имея такой же ключ можно расшифровать данные.

Слабость заключается в том, что поток этих псевдослучайных чисел на самом деле не настолько случайный, каким выглядит. Если несколько раз пропустить одно и то же сообщение через систему шифрования, то криптографы могут найти достаточно неслучайных «включений», характеризующих зашифрованные данные.

Для проведения реального взлома необходимо подготовить гигантское число одинаковых сообщений, поэтому в нынешних условиях для подбора ключа требуется порядка 32 часов, но иногда оно того стоит.

Исследование называлось Индекс компьютерной безопасности Microsoft (Microsoft Computing Safety Index) и включало результаты опросов, полученные от 10 000 пользователей персональных компьютеров, планшетов и смартфонов в 20 различных государствах и регионах.

В результате было установлено, меньше половины пользователей (42%) устанавливают обновления программного обеспечения на своих ПК и лишь 28% респондентов проводят регулярные апдейты ПО на своих мобильных устройствах.

В целом же, учитывая различные факторы, был определён общий мировой индекс безопасности вычислительных систем. При стобалльной системе оценивания (где 100 означает полную безопасность) индекс безопасности персональных компьютеров составил 34, а таковой для мобильных устройств оказался лишь немногим выше — 40 баллов.

С полными выводами проведенного исследования можно ознакомиться на сайте-источнике.

При этом всё больше и больше устройств повседневного использования оснащаются центральными универсальными процессорами и имеют подключение к Интернету, благодаря чему к своему названию они получают префикс «смарт». Однако у любой медали есть две стороны, а значит, все подобные устройства подвергнуты такому же риску инфицирования, как и любой другой компьютер.

Согласно недавнему исследованию Луиджи Ориемма (Luigi Auriemma) установлено, что смартТВ, в частности от Samsung, имеют широкий спектр всевозможных уязвимостей. Другой эксперт безопасности, Габриель Менезес Нунес (Gabriel Menezes Nunes), также заинтересовавшись подобными рисками, нашёл брешь в обороне телевизоров Sony Bravia. Утверждается, что обе найденные уязвимости могут быть использованы для серьёзного нарушения в работе экрана телевизора, делая его практически бесполезным.

Безопасность работы подключаемого к Сети бытового оборудования не может быть проконтролирована, поэтому производители должны в срочном порядке исправить сложившуюся ситуацию. Конечно, армия ботнетов из бытовых приборов не выглядит устрашающе, но кому на самом деле хотелось бы узнать, на что способны полчища зомби из бывших смарт телевизоров, смарт стиральных машин и смарт холодильников?

Пока статью он не опубликовал, но уже сделал анонс, в котором рассказал об использовании для этого квантового компьютера с логикой одновременных мультисостояний (то есть всех состояний одновременно), что означает гугол (10¹⁰⁰) возможных состояний. Он отметил, что эквивалент техник квантовых вычислений (которые используют IBM, Google и другие компании) был скрыт более 2 500 лет, со времён Пифагора.

Из-за подобного алгоритма, отмечает учёный, мир не готов к такому положению вещей, ведь он позволяет взломать шифрование RSA-2048, а все крупные фирмы и организации ещё не перешли к системам безопасности, подходящим для постквантовой эпохи. Особенно удивительно, что его алгоритм позволяет взламывать самые сильные ключи шифрования RSA, используя обычный смартфон, и всё благодаря математическому подходу «скрытому от нас около 2500 лет». Ему не требуется специальные маериалы, лишь алгоритм Шора, а система, основанная на квантовой механике может быть запущена на смартфоне.

Аннотация статьи Герка выглядит так, будто это теория, доказывающая различные гипотезы, а сами эти доказательства определенно под вопросом. Вполне вероятно, что другие ученые захотят увидеть выкладки, прежде чем говорить о сенсации и прорыве.

Подразделение компании Privacy Not Included проводит исследования различных смарт-устройств, от медицинских и носимой электроники до устройств умного дома. Теперь были исследованы 25 брендов автомобилей и определены наихудшие из них.

Возглавляет антирейтинг — Tesla. Всё из-за частых автомобильных аварий, включая смертельные, вызванные неправильной работой автопилота. Кроме того, с приватностью у Tesla также ужасное положение. Далее следуют Nissan и Kia, которые, кроме прочего, собирают информацию о сексуальной жизни владельца, а Hyundai обещает исполнять «законные запросы, формальные и неформальные», на передачу данных о владельце автомобиля правительственным и силовым органам.

Далее идут Renault, Dacia и BMW за «как минимум жутковатые» опции. Исследователи не смогли подтвердить, что Renault, которая владеет Dacia, шифрует собираемые данные пользователей, а также установили, что незначительно выходит за пределы законодательства о безопасности персональных данных, в сравнении с другими. В список попала и BMW за то, что не сообщает о продаже данных сторонним компаниям для рекламы, в то время как другие производители делают это открыто. Конечно, возможна она и не торгует данными, но специалисты в этом сомневаются.

Для составления этого рейтинга Mozilla потратила 600 часов, исследуя соглашения о приватности и изучая работу ПО компаний. «К сожалению, пользователи очень слабо могут управлять [безопасностью]. Вы можете просто не использовать приложение или подключенные устройства, но это просто означает, что ваша машине не работает так, как должна», — заявила Джен Калтрайдер, директор Privacy Not Included. «У потребителей практически нулевой контроль и возможности в плане приватности, разве что можно купить старшую модель. Регуляторы и создатели политик отстают на этом фронте».

По информации Independent, недавнее исследование, проведённое Университетом Калифорнии, установило, что автоматические боты способны ломать тесты Captcha куда быстрее, чем могут люди. Исследование проводилось на более чем двухстах самых популярных сайтах, из которых 120 используют капчу. Они проверили 1000 различных посетителей, чтобы взять 10 капча-тестов и одновременно с ними сравнить с результатами расшифровки капчи ботами, а также определить, кто оказался быстрее. Для человека решение капчи занимало от 9 до 15 секунд с точностью 50—84%, в то же время боты делали это менее чем за секунду при точности 95—100%.

Иронично, что методы, созданные для ограничения доступа ботам, создают проблемы людям, а вовсе не автоматическим системам. Будем надеться, что это исследование приведёт к осознанию неэффективности Captcha и необходимости создания новой более эффективной и менее раздражающей схемы препятствования доступа ботам.

Firefox Relay — это средство приватности, которое позволяет скрывать идентификатор электронной почты в онлайн-форме. При помощи псевдонимов Firefox Relay контролирует сообщения для вас и пересылает на оригинальный ящик. Таким образом, использование сервиса фактически скрывает реальный адрес, делая сложной рассылку спама. Когда вы закончили работу с сайтом, вы можете прекратить работу адреса-псевдонима, после чего связи теряются, и почта больше не доходит.

Выпущенный в 2020 году Relay был доступен только в виде расширения к браузеру, и большинство пользователей даже не знали, что есть аддон, позволяющий легко блокировать трекинг и спам по электронной почте. Применяя сервис, вы сможете блокировать свой настоящий адрес, затруднив хакерам вашу идентификацию. Если создать для каждого сайта по отдельному псевдониму, злоумышленникам будет сложно идентифицировать вашу личность.

Сервис Relay будет доступен в браузере Firefox уже в этом году.

Учёные достигли скорости в 1,53 петабита в секунду за счёт кодирования света в пятидесяти трёх различных частотах — техники, известной как мультиплексирование. Такой скорости достаточно, чтобы уместить весь мировой интернет-трафик, который, ориентировочно, оставляет 1 Пб/с, в единственном оптическом кабеле. Это в миллион раз больше, чем предлагают лучшие бытовые провайдеры, обеспечивающие скорость до 1 Гб/с.

Примечательно, что полученный результат является вторым в мире. Максимальная скорость передачи данных через оптоволоконные сети составляла 1,84 Пб/с, однако для её достижения приходилось применять фотонные чипы, развитие которых пока находится на начальном этапе. В то же время достижение японских учёных построено на существующей сетевой инфраструктуре. Более того, количество применяемых частот для кодирования может быть ещё увеличено, что только повысит скорость передачи данных, а значит, именно эта технология в первую очередь заинтересует бизнес.

Учёные из университета Ланкастера и университета Бата, что в Великобритании, проанализировали данные обычного использования смартфона в течение 4680 дней у 780 человек и создали модель их ежедневного использования. После этого они проверили, может ли эта модель позволить идентифицировать личность на основании лишь одного дня анонимного использования смартфона.

«Наши модели, которые мы обучили из данных только за 6 дней использования человеком, могут корректно идентифицировать человека по данным использования лишь в течение трети этого времени», — заявил доктор Эллис из университета Бата.

Модели позволили сгенерировать список наиболее вероятных кандидатов для дневной активности, из которых лучший десяток показал точность пользователей в 75%. Исследователи предупреждают, что ПО с доступом к данным ежедневной активности может с высокой точностью идентифицировать пользователей, даже, если он не вошёл в учётную запись и не имел доступ к общению внутри приложений.

«На практике это значит, что правоохранные усилия в расследовании и идентификации преступников с новыми телефонами на основе информации от их старых телефонов, может снизить выборку кандидатов из примерно 1000 телефонов до 10 телефонов с риском ошибиться 25%», — заявил профессор Тэйлор из университета Ланкастера.

Учёные разработали, по сути, уникальное решение в области безопасности. Их система выявления зловредов на основе Pi не использует какое-либо ПО на машине пользователей, не изучает пакеты данных и никак не подключается к компьютеру. Вместо этого используется Raspberry Pi, которые анализирует электромагнитные волны, излучаемые компьютером.

Создавая такую систему учёные присоединили Raspberry Pi к осциллоскопу (Picoscope 6407) и зонду ближнего поля для выявления электромагнитных полей. После чего они обучили этот одноплатный компьютер излучению, которое генерируется компьютером при исполнении безопасного и зловредного ПО, чтобы Pi мог сам выявлять потенциальные опасности. Исследователям пришлось загрузить огромное количество образцов ПО и собрать их электромагнитные образы. В результате Pi научили распознавать атаки с невероятной точностью в 99,82%.

Самым большим преимуществом данной системы является её полная автономность. Для выявления угроз не требуется никаких подключений к компьютерам, устройство совершенно независимо и является исключительно внешней системой мониторинга.

Прежде чем устройство будет готово к коммерческой реализации учёным предстоит ещё длительный процесс дополнительного обучения Pi, а также тестов на угрозах, которым Pi пока не обучен.

В тесте, проводившемся в октябре, принимали участие 21 антивирусная программа от различных разработчиков, включая Microsoft, с её Windows Defender.

На радость Microsoft её «защитник» набрал высочайшие баллы, то есть 18 баллов из 18, войдя в группу лучших продуктов в области безопасности. К лучшим аналитики отнесли антивирусы, которые набрали как минимум 17,5 баллов.

Также в эту группу вошли антивирусы Avira, AVAST, AVG, Bitdefender, ESET и другие, многие из которых также распространяются бесплатно. Тестирование проводилось по трём критериям: защита, производительность и юзабилити, и по каждой из категорий можно набрать максимально 6 баллов.

На слайде ниже приведены результаты проверки лучших продуктов. Исходя из них можно заключить, что Windows Defender работает наравне с другими конкурентными решениями, а потому смысла устанавливать сторонний антивирусный продукт нет. С другой стороны, все популярные антивирусы работают одинаково эффективно, быстро и удобно, а потому закрадывается мысль о необходимости изменения методики тестирования.

Компания уже предлагает собственный браузер Privacy Browser, который блокирует различные трекеры на сайтах. Теперь же разработчики пошли ещё дальше, внедрив функцию под названием App Tracking Protection. Эта функция входит в состав браузера DuckDuckGo для Android, и по своей сути повторяет возможности новой функции iOS, позволяя напрямую блокировать слежку за пользователями сторонними приложениями, установленными на телефоне. Приложение DDG позволяет выявлять рекламные трекеры в других приложениях и прекращать передачу данных от них рекламным компаниям, включая Google и Facebook.

Обновлённое приложение DuckDuckGo сможет предложить панель управления, где будет показано, какое приложение пытается передать данные слежения, с возможностью эффективной блокировки в реальном времени благодаря собственной работе в фоне. Периодически инструмент будет показывать обобщённый отчёт по заблокированным трекерам.

К сожалению, функция повышения приватности пока находится на этапе бета-тестирования и требует ручной настройки. Подписаться на ожидание этой функции можно в настройках браузера DuckDuckGo Android в разделе «Приватность» / «Защита от трекинга приложений».

По всей видимости хакеры даже не хотят заморачиваться, и в качестве своих целей не выбирают сложные длинные пароли, независимо от того, содержат ли они сложные символы. То, что смешивание чисел, маленьких и больших букв осложняет жизнь взломщику, известно годами. Большинство ресурсов даже не разрешает использовать «простые» пароли, состоящие лишь из букв. Но оказалось, что использование «какогонибудьзамысловатогопароля» из одних букв тоже достаточно эффективно, и хакеры скорее всего не станут его взламывать, а попробуют подобрать короткий пароль, типа «pArsew0rd».

Эту информацию опубликовал Росс Бевингтон, исследователь в области безопасности в Microsoft. Он сообщил, что после изучения миллиона брутфорс-атак на SSH за 30 дней в сети Microsoft, 77% попыток связаны с использованием паролей длиной от 1 до 7 символов. Пароли, длиной более 10 символов пытались взломать в 6% случаев.

Сам Бевингтон занимает в компании весьма интересную должность, которая называется Глава отдела дезинформации. Это значит, что у него довольно широкие полномочия и задачи, и среди них есть создание ловушек, законно-выглядящих систем, которые хакеры пытаются взломать, что позволяет изучать тенденции и применяемые пути взлома.

В настоящее время речь идёт об инфицировании более чем 10 миллионов Android-устройств в 70 странах. А жертвы потеряли миллионы долларов.

Исследователи в отечёте обозначили, что кампания по распространению GriftHorse велась с ноября 2020 по апрель 2021 года. Когда пользователь устанавливает одно из зловредных приложений, GriftHorse генерирует ряд всплывающих уведомлений, которые завлекают пользователей разными призами и скидками. Те, кто соглашается на предложение отправляют на веб-сайт, где его просят ввести номер телефона для получения спецпредложения.

В реальности же GriftHorse подписывает устройство на премиальный сервис SMS, который стоит в месяц 35 долларов. Предполагается, что таким образом операторы GriftHorse заработали от 1,5 до 4 миллионов долларов, а первые жертвы потеряли более 230 долларов, если не остановили этот обман.

Исследователь Zimperium Аазим Ясвант и Нипум Гупта отметили, что это весьма грамотно построенный зловред. Операторы применяли качественный код и широкий спектр веб-сайтов и вредоносных приложений, которые покрывают практически каждую категорию. Исследователи оповестили Google об этом факте, и последняя уже удалила приложения из Play, однако их по-прежнему можно встретить в сторонних магазинах.

Главная идея заключается в использовании полного гомоморфного шифрования, которое позволяет использовать зашифрованные данные без их расшифровки. Конечно, гомоморфное шифрование существует и сейчас, однако его применение непрактично, поскольку оно отнимает огромное время даже при выполнении простых операций.

Применение этой технологии позволит значительно улучшить безопасность. Главной проблемой современного шифрования, по словам Intel, является необходимость расшифровки данных для их обработки. И именно в этот момент, когда информация открыта, она наиболее уязвима для неавторизованного доступа.

Целью программы Data Protection in Virtual Environments является разработка акселератора для полного гомоморфного шифрования, более практичного и масштабируемого. Роль разработчика процессоров в этой программе заключается в проведении академических исследований и разработке специализированных интегральных схем, которые ускорят обработку задач полного гомоморфного шифрования.

Компания Intel сообщает, что когда проект будет завершён, её чип-акселератор сократит время обработки в таких задачах на 5 порядков, по сравнению с современными решениями

Мы все видим, какую шумиху подняло изменение в политике приватности WhatsApp. Раньше люди не думали, каким поисковым движком они пользуются, однако теперь этому стали уделять всё больше внимания.

Сервис DuckDuckGo (DDG) был основан в 2008 оду на принципах отказа от продажи персональной информации. Финансы же он получает за счёт продажи рекламы в движке. В 2010 году DDG обработала 16 413 461 поисковый запрос.

11 января 2021 года DDG сообщила о рекорде за всё время — 102 251 307 запросов в день. За этот год движок обработал более миллиарда запросов, что заметно больше результата, полученного за весь 2020 год.

Похоже, что продолжающиеся угрозы взлома и продажи персональной информации будут вести к дальнейшему росту популярности этого поискового движка и прочих анонимных систем.

Инженеры из KDDI Research, Xtera и Университетского колледжа Лондона, разработали новую технологию, которая позволяет пропускать больше данных по имеющейся сетевой инфраструктуре. Большинство современной сетевой инфраструктуры имеет спектральную пропускную полосу в 4,5 ТГц, некоторые технологии позволяют поднять её до 9 ТГц, а разработанная система обеспечивает 16,8 ТГц.

Большая ширина спектра обеспечивается за счёт новой технологии геометрического шейдирования. Чтобы разместить больше информации без интерференции, эта технология использует комбинации сигналов с различной яркостью, фазой и поляризацией световых волн. Гибридная система достигается использованием различных комбинаций существующих усилителей.

Новая технология использует нынешнюю сетевую инфраструктуру, замены потребуют лишь усилители, которые располагаются на расстоянии в 40—50 километров, что в десятки раз удешевляет переоборудование и модернизацию линий связи, по сравнению с заменой кабелей.

Компания Check Point нашла уязвимости в цифровом сигнальном процессоре (DSP) в Qualcomm Snapdragon. Всего найдено более 400 элементов уязвимостей, который вместе получили название Achilles. Эта уязвимость может воздействовать на смартфон тремя способами.

В любом случае, вначале злоумышленникам нужно заставить жертву установить приложение, которое обойдёт обычные меры безопасности. После этого хакеры могут превратить телефон в инструмент шпионажа.

Они могут получить доступ к фотографиям, видеозаписям, данным GPS и геолокации. Также они могут осуществлять запись звонков и включать микрофон без ведома хозяина.

Другой вариант использования уязвимости — окирпичивание устройства. Злоумышленники могут закрыть доступ ко всем данным на устройстве, что приведёт к отказу в работе.

И в последнем варианте есть возможность скрыть другой вредоносный код на устройстве так, чтобы он не был заметен жертве и его нельзя было удалить.

Одной из причин столь массивной уязвимости называется то, что DSP представляет собой типичный «чёрный ящик», и только производитель может понять, какие именно процессы в нём протекают.

Информация об уязвимости была опубликована после того, как Qualcomm предприняла меры по её устранению, однако некоторые производители устройств ещё не выпустили соответствующие патчи, а потому их смартфоны находятся в опасности.

Согласно исследованию «Тёмная реальность Open Source», опубликованному RiskSense, за последний год количество уязвимостей в 54 самых популярных проектах с открытым исходным кодом удвоилось. В 2019 году исследователи выявили 968 ошибок, а в 2018 — 421.

За период с 2015 по март 2020 года было выявлено 2694 ошибки в популярных проектах с открытым исходным кодом. Исследование не включало такие проекты как Linux, WordPress, Drupal, поскольку к ним привлечено огромное внимание и ошибки в их безопасности исправляются очень быстро.

Исследователи обратили внимание на другие популярные проекты, которые не так широко известны, но имеют огромную поддержку технологического и программистского сообществ. К ним относятся Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark, Puppet и другие.

Компания отметила, что основной проблемой, выявленной при исследовании, было то, что большое количество найденных ошибок в безопасности, были переданы в национальную базу данных уязвимостей (National Vulnerability Database) через много недель после их публичного открытия. Исследователи отметили, что в среднем между нахождением ошибки и передачей её в NVD проходило 54 дня. Рекордсменом стал проект PostgreSQL, в котором передача сведений об уязвимости заняла 8 месяцев.