Манипуляции Samsung с ядром Android создали дополнительный вектор атаки

Манипуляции Samsung с ядром Android создали дополнительный вектор атаки

Манипуляции Samsung с ядром Android создали дополнительный вектор атаки

Исследователи в области кибербезопасности из проекта Google Project Zero недовольны манипуляциями Samsung с ядром мобильной операционной системы Android. Эксперты считают, что корейский техногигант создал ещё больше векторов атак.

Специалист из команды Project Zero Дженн Хорн проанализировала ядро Android, поставляемое Samsung в устройствах Galaxy A50. В результате Хорн пришла к выводу, что меры безопасности, реализованные корейской корпорацией, лишь снизили общую защищённость смартфонов.

Например, Samsung пытался реализовать механизм защиты, который должен ограничивать доступ атакующих к чтению и модификации пользовательских данных.

Однако, по словам специалиста из Project Zero, эта функция не только не выполняла возложенную на неё задачу, но и создавала дополнительные уязвимости, приводящие к выполнению кода.

Хорн даже разработала пример эксплойта (PoC-код), демонстрирующий получение доступа к токенам аутентификации.

При этом процесс эксплуатации подразумевал использование другой уязвимости, но уже в ядре Linux — CVE-2018-17972. Эта брешь устранена в текущей версии ядер Linux и Android, однако Samsung поставляет смартфоны с уязвимым ядром.

«Защитные механизмы Samsung неспособны уберечь вас от атак злоумышленников, они лишь блокируют обычные инструменты для рутинга», — объясняет Хорн.

«Моё мнение: подобные манипуляции с ядром того не стоят — они создают дополнительный вектор атаки».

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru