Ежегодное исследование ICO: бизнес плохо знаком с законодательством в области защиты данных

Ежегодное исследование ICO: бизнес плохо знаком с законодательством в области защиты данных

Информационный комиссариат Великобритании провел очередное ежегодное исследование из серии Annual Track, которое выявило, что большинство организаций общественного и частного секторов имеет довольно слабое представление о требованиях законодательства относительно хранения личных сведений.



Так, обнаружилось, что только 48% частных и 60% общественных организаций знают о необходимости соблюдения мер безопасности при хранении персональных данных. Кроме того, лишь 14% смогли вспомнить 8 базовых принципов Акта о защите информации без подсказки; отмечается, что в 2007 году этот показатель был на 8 процентов больше. Неудивительно, что количество британских компаний, допускающих те или иные утечки данных, по-прежнему велико.


В то же время итоги исследования внушают и некоторые надежды. Например, около 90% пользователей имеют четкое представление о своем праве требовать ознакомления со всем объемом их личных данных, которыми располагает та или иная организация, а 84% знают, что в соответствии с Актом о свободе информации они могут запрашивать определенные сведения у властей. Упомянутый акт назвали 'необходимым' около 80% индивидуальных респондентов; что касается Акта о защите информации, то его таким эпитетом удостоили уже 93%.


Инфокомиссар Кристофер Грэм в официальном заявлении отметил, что бизнесу следует уделить самое пристальное внимание результатам исследования. Пользователи определенно считают вопрос сбора и безопасного хранения их личных сведений существенно важным, и игнорирование обязательств по защите информации, таким образом, оказывается равнозначно игнорированию ключевых потребностей клиентов. По мнению г-на Грэма, предприятиям необходимо наглядно демонстрировать, что они самым серьезным образом относятся к обеспечению безопасности данных; ненадлежащая защита персональных сведений может привести как к юридическим, так и к репутационным рискам.


V3.co.uk

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

TapTrap: новая атака на Android с обходом системы разрешений

Исследователи из TU Wien и Университета Байройта придумали, как обойти систему разрешений Android — без рут-прав. Новый метод называется TapTrap и в отличие от классического tapjacking через наложения он использует прозрачные анимации, встроенные в саму систему Android.

Да-да, вы всё ещё можете думать, что нажимаете кнопку в любимом приложении, а на деле — даёте доступ к камере, геолокации или даже стираете данные на телефоне.

Как работает TapTrap

Суть атаки — в обмане пользователя с помощью прозрачных анимаций при запуске системных экранов. Вредоносное приложение запускает другую активность (например, системное окно с разрешением) с почти полностью прозрачной анимацией. А вы видите под ней обычный интерфейс — игру, чат, картинку… Но по факту нажимаете на невидимую кнопку «Разрешить».

Исследователи назвали (PDF) ключом к атаке анимацию, у которой и начальное, и конечное значение прозрачности (alpha) установлено, например, на 0.01. Иногда добавляется масштабирование, чтобы сделать нужную кнопку «весомее» — и увеличить шанс, что вы в неё попадёте.

 

Уязвимы 76% приложений

Команда изучила почти 100 тысяч приложений из Google Play и выяснила: 76% из них можно использовать в TapTrap-атаке. Главное, чтобы приложение:

  • запускало внешние активности;
  • не отменяло стандартные анимации перехода;
  • не ждало завершения анимации, прежде чем начать реагировать на нажатия.

Иными словами, всё работает по умолчанию — и на Android 15, и на свежем Android 16. Проверяли на Pixel 8a — уязвимость на месте.

Пока не исправлено, но обещают

Google уже в курсе. Представители компании пообещали устранить проблему в будущих обновлениях и напомнили, что Google Play следит за политиками безопасности приложений. А вот разработчики GrapheneOS — альтернативной защищённой версии Android — уже готовят исправление в следующем релизе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru