Выбор редакции

Уязвимость смартфонов Google и Android позволяет злоумышленнику удаленно управлять камерами

Компьютерная экспертиза выявила, что злоумышленники эксплуатируют нулевого дня уязвимость в Android мобильной операционной системы от Google , которая может дать им полный контроль , по крайней мере , 18 различных моделей телефонов, в том числе четырех различных моделей пиксельных, член исследовательской группы Project Zero Google заявил в четверг ночь.

Есть свидетельства того, что уязвимость активно эксплуатируется либо разработчиком-разработчиком NSO Group, либо одним из ее клиентов, заявила член Project Zero Мэдди Стоун . Эксплойты требуют минимальной настройки или вообще не требуют настройки для полного рутинга уязвимых телефонов. Уязвимость может быть использована двумя способами: (1) когда цель устанавливает ненадежное приложение или (2) для сетевых атак, сочетая эксплойт со вторым эксплойтом, нацеленным на уязвимость в коде, который браузер Chrome использует для визуализации контента.

Комментируя это, Джонатан Кнудсен, старший стратег по безопасности в Synopsys , сказал: «Недавно анонсированное раскрытие Project Zero, касающееся уязвимости в ядре Android, иллюстрирует классическое разделение труда между командами разработчиков и командами безопасности. «Уязвимости неизбежно исчезнут, если механизмы тестирования безопасности не будут включены в фазу тестирования разработки программного обеспечения. Использование безопасного жизненного цикла разработки (SDLC), включая более качественное тестирование безопасности, означает, что до выпуска продуктов будет обнаружено и устранено больше уязвимостей.

«Когда нижестоящая группа безопасности, внешний исследователь или злоумышленник обнаруживают уязвимость, лучше всего определить, почему уязвимость не была обнаружена во время разработки, а затем улучшить процесс, чтобы любые подобные уязвимости были обнаружены и устранены уже на ранних этапах разработки. процесс разработки, насколько это возможно. Со временем SDLC становится все более точным и смертельным для уязвимостей, что приводит к уменьшению количества выпущенных уязвимостей и снижению общего риска ».

Информационная и управленческая поддержка - убедитесь, что сотрудники не только осознают риск визуального взлома, но и сами несут ответственность за защиту информации от посторонних глаз. Кроме того, как это часто бывает во многих инициативах, более вероятно, что визуальные меры по обеспечению конфиденциальности будут соблюдаться, если они поддерживаются на исполнительном уровне.
Популярные
Нашли ошибку
x