Беспечность при установке программы открывает путь киберпреступникам

Российские пользователи беспечно относятся к процессу установки новых программ на компьютеры и мобильные устройства, тем самым подвергая свой цифровой мир серьезному риску. К такому выводу пришла «Лаборатория Касперского» в результате исследования активных пользователей Интернета по всему миру.

Так, 35% россиян не ограничивают права приложений при их установке на мобильные гаджеты. Более того, 10% ошибочно уверены, что никак не могут повлиять на список прав, доступных приложениям. Беспечность и неосведомленность пользователей приводят к тому, что приложения на совершенно законных основаниях могут получить доступ к конфиденциальной информации на устройстве — контактам, фотографиям и геолокационным данным.

Важной мерой безопасности является внимательное чтение лицензионного соглашения. Однако при установке программы на ПК или мобильное устройство его игнорируют 65% пользователей, а каждый пятый владелец компьютера (22%) даже не вчитывается в содержание установочных окон, просто нажимая «далее, далее, согласен, далее». В результате приложения получают слишком широкие права, что может угрожать безопасности пользователя. Владельцы гаджетов, сами того не подозревая, могут разрешить выложить в общий доступ свои личные данные, установить дополнительные, например, платные, приложения или даже внести серьезные изменения в настройки операционной системы.

«Мало кто задумывается, что установленные приложения могут способствовать утечке конфиденциальных данных, хранящихся на устройстве. Игнорирование таких мер безопасности как контроль прав доступа, запрашиваемых программой при установке и первом запуске, дают злоумышленникам возможность обойти встроенные механизмы защиты и в конечном итоге получить доступ к персональной, а в некоторых случаях и финансовой информации. Чтобы этого избежать, нужно, как минимум, быть очень внимательным и не лениться читать все предложенные программой пункты при ее установке», — напоминает Юрий Наместников, антивирусный эксперт «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Valve игнорирует эксперта, эксперт публикует вторую 0-day в Steam

Российский исследователь в области кибербезопасности Василий Кравец опубликовал детали ещё одной уязвимости в клиенте Steam — это уже вторая 0-day, раскрытая Василием за последние две недели.

Кравец подчеркнул, что у него не было возможности сообщить Valve ещё об одной проблеме безопасности по той причине, что компания просто забанила его в своей программе по поиску багов (располагается на площадке HackerOne).

Вся ситуация с обнаруженными в Steam уязвимостями вызвала недоумение со стороны сообщества безопасников. Valve обвинили в непрофессионализме и странном подходе к обеспечению безопасности пользователей.

В этот раз Кравец опубликовал детали второй 0-day уязвимости в клиенте Steam. Эта брешь позволяет локально повысить права в системе (как и первая 0-day).

Таким образом, вредоносные приложения могут получить права администратора через Steam-клиент. Технические детали уязвимости Кравец опубликовал в своём отчете.

Проблема Valve заключается в том, что компания не расценивает возможность повышения прав в системе как уязвимость.

Напомним, что на просторах Сети появилась новая изощренная мошенническая схема, с помощью которой злоумышленники атакуют пользователей Steam. Специальный сайт, который якобы бесплатно раздаёт игры, на деле используется для взлома аккаунтов Steam.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru