Перейти к содержанию


Agent013

Пользователь
  • Публикаций

    5
  • Зарегистрирован

  • Посещение

Репутация

46 Excellent

Информация о Agent013

  • Звание
    Rank №1
  1. Сканер лица в смартфонах LG G7 ThinQ, Samsung S9, Samsung Note 8 и OnePlus 6 можно обойти с помощью 3D-модели. Журналисту удалось успешно обойти систему распознавания лица на нескольких высококлассных смартфонах под управлением ОС Android с помощью напечатанной на 3D-принтере модели головы. Журналист Forbes Томас Брюстер (Thomas Brewster) решил проверить, так ли надежны набирающие популярность системы распознания лиц и пришел к интересным выводам. По просьбе журналиста дизайнерская студия Backface (Бирмингем, Великобритания) изготовила трехмерную модель его головы. Сначала Брюстера сфотографировали с помощью 50 фотокамер, после чего полученные снимки были объединены в одно 3D-изображение. Используя ПО для обработки фотографий, дизайнеры внесли в это изображение необходимые корректировки, а затем загрузили его для печати. По полученному изображению 3D-принтер напечатал гипсовую трехмерную модель головы Брюстера. Немного финальных корректировок, раскраска – и спустя два дня журналист получил правдоподобную копию своей головы всего за 300 фунтов стерлингов. Для эксперимента с гипсовой головой журналист взял iPhone X и четыре Android-устройства – LG G7 ThinQ, Samsung S9, Samsung Note 8 и OnePlus 6. Брюстер зарегистрировал свое настоящее лицо в системе биометрической аутентификации на этих устройствах, а затем проверил, можно ли обмануть смартфоны с помощью гипсовой модели. Журналисту удалось провести все четыре Android-смартфона (одни легко, другие сложнее), но iPhone X устоял. По словам представителей компании LG, сканер лица может использоваться только в качестве вторичного способа разблокировки устройства наряду с PIN-кодом или отпечатком пальца. Samsung S9 также предупреждает пользователей о возможности разблокировки устройства кем-то, внешне похожим на настоящего владельца, и рекомендует в качестве основного механизма аутентификации использовать PIN-код, пароль или графический ключ. Тем не менее, в процессе первоначальной настройки смартфон предлагает аутентификацию с помощью радужной оболочки глаза и лица. И хотя гипсовый глаз не обманул устройство, пройти аутентификацию с помощью гипсовой головы Брюстеру все же удалось, пусть и не с первого раза. Как пояснил представитель Samsung, функция разблокировки с помощью изображения лица предназначена исключительно для удобства пользователей и равнозначна разблокировке с помощью свайпа по экрану. То же самое Брюстеру сообщли представители OnePlus, порекомендовавшие для обеспечения безопасности использовать отпечаток пальца, PIN-код или пароль.
  2. Уязвимость в браузере весьма опасна, однако исправляющее ее обновление не намного лучше. В последнее время Microsoft испытывает явные трудности с обновлениями – чего только стоит Windows 10 October 2018 Update. Однако на этот раз проблемным оказалось другое, совсем простенькое обновление. После установки патча для уязвимости в Internet Explorer на компьютерах под управлением Windows 2016 Anniversary Update перестает загружаться операционная система. Обновление KB4467691 исправляет уязвимость в Internet Explorer, позволяющую вызвать повреждение памяти и выполнить произвольный код в контексте текущего пользователя. То есть, атакующий может получить те же привилегии, что и текущий пользователь. Если текущий пользователь является администратором, злоумышленник может получить полный контроль над системой. Для эксплуатации уязвимости через браузер атакующий должен создать вредоносный сайт и заманить на него жертву, например, отправив ей ссылку в электронном письме. Microsoft выпустила патч для этой серьезной уязвимости, однако с ним также возникли проблемы. Как оказалось, после установки обновления некоторые ноутбуки перестали загружать ОС. Проблема касается только ноутбуков Lenovo с 8 ГБ ОЗУ, работающих под управлением Windows 2016 Anniversary Update (1607). К счастью, проблему можно решить, заново запустив ОС через UEFI и отключив безопасную загрузку (Secure Boot). При включенном BitLocker после отключения безопасной загрузки может потребоваться запустить процесс восстановления BitLocker. В настоящее время Microsoft и Lenovo работают над решением проблемы, и в скором будущем будет выпущено обновление.
  3. Злоумышленники получили неавторизованный доступ к PoS-терминалам в кофейнях. Крупная американская сеть кофеен Caribou Coffee сообщила об утечке данных своих клиентов после обнаружения неавторизованного доступа к PoS-терминалам. Caribou Coffee насчитывает 603 кофейни по всей территории США. Инцидент затронул 239 из них (около 40%). В результате инцидента были скомпрометированы данные банковских карт посетителей кофеен, расплачивавшихся через PoS-терминалы в период с 28 августа по 3 декабря нынешнего года. Подозрительная активность в компьютерных сетях пострадавших кофеен была обнаружена IT-специалистами 28 ноября в процессе мониторинга безопасности. Для расследования инцидента руководство Caribou Coffee обратилось к ИБ-компании Mandiant. Спустя два дня исследователи сообщили о неавторизованной активности в PoS-терминалах. В руках у злоумышленников могли оказаться такие данные клиентов Caribou Coffee, как имена, а также номера, секретные коды и даты истечения срока кредитных карт. Данные клиентов, расплачивавшихся через сайт, не пострадали, поскольку система оплаты online-заказов отделена от PoS-терминалов в кофейнях.
  4. Серверы Amazon не выдержали наплыва запросов в рождественский день. 25 декабря тысячи людей включили свои новенькие «умные» колонки Amazon Echo, полученные в подарок на Рождество, но не смогли добиться от них ни одного умного ответа. Серверы Amazon не выдержали такого количества запросов, и голосовой помощник Alexa мог выдать только фразу: «Извините, в данный момент я не могу вас понять». Пользователи не могли включить рождественские песни, настроить праздничное освещение или получить рецепт рождественских блюд, и в результате для тысяч людей Рождество было испорчено. Alexa работает путем отправки голосовых команд через колонку Amazon Echo на сервер, где они интерпретируются компьютером в понятные устройству инструкции. Эти инструкции отправляются с сервера назад к Amazon Echo, и колонка воспроизводит музыку, зачитывает прогноз погоды, включает свет и пр. «Весьма подходящий день для Amazon Alexa, чтобы сломаться. Можно подумать, люди не захотят регистрировать новые устройства, слушать музыку или еще что-то», - отметил в Twitter один из пострадавших пользователей.
×