Google: Грамотный патчинг избавил бы от 25% 0-day в 2020 году

Google: Грамотный патчинг избавил бы от 25% 0-day в 2020 году

Google: Грамотный патчинг избавил бы от 25% 0-day в 2020 году

Специалисты Google утверждают, что доброй четверти 0-day уязвимостей, которые злоумышленники эксплуатировали в 2020 году, можно было избежать банальным грамотным патчингом. Если бы разработчики своевременно и добросовестно устраняли бреши в своих продуктах, успешных кибератак было бы на порядок меньше, уверены в Google.

Команда Project Zero, специализирующаяся на поиске проблем безопасности, утверждает, что за весь прошлый год ей удалось выявить 24 уязвимости нулевого дня. Все эти дыры использовались в реальных атаках.

Шесть обнаруженных багов представляли собой вариации старых уязвимостей, которые уже были описаны экспертами в предыдущие годы. Другими словами, киберпреступники просто изучили отчёты о проблемах безопасности, выделили важные моменты и создали новые эксплойты для старых дыр.

«Для разработки некоторых новых эксплойтов потребовалось заменить всего одну-две строки в коде. В результате на выходе злоумышленники получили вполне рабочие инструменты для новых атак», — пишут специалисты Project Zero в блоге.

Исследователи имеют в виду эксплойты для 0-day в таких серьёзных продуктах, как Chrome, Firefox, Internet Explorer, Safari и Windows. Команда Project Zero даже опубликовала таблицу, в которой наглядно видно, из какой старой уязвимости появилась новая:

 

Ещё три 0-day бреши, выявленные и якобы устранённые в 2020 году, можно было использовать в атаках приблизительно похожим способом. По словам экспертов, потребовались дополнительные патчи для Chrome, Internet Explorer и Windows.

При этом в Project Zero подчёркивают, что если бы у злоумышленников была возможность изучить выпущенные патчи, они с большой долей вероятности смогли бы создать новые рабочие эксплойты.

Android 17 закручивает гайки: после 20 ошибок ПИН-код уже не перебрать

Google решила всерьез осложнить жизнь тем, кто пытается подобрать ПИН-код к чужому смартфону. В Android 17 компания радикально ужесточила защиту экрана блокировки, сократив допустимое число неверных попыток ввода практически в 90 раз.

В старых версиях системы злоумышленник теоретически мог сделать до 1800 попыток ввода ПИН-кода или пароля в течение пяти лет.

В Android 17 этот лимит сократили всего до 20 попыток. После двадцатой ошибки система полностью перестанет принимать новые варианты.

Ограничения начинают действовать практически сразу. Теперь в первую минуту разрешено лишь шесть неверных попыток, в течение шести минут — семь, за 25 минут — восемь, а за сутки — всего двенадцать.

По мнению Google, прежние лимиты оставляли слишком много пространства для атак. Многие пользователи выбирают простые ПИН-коды, связанные с датой рождения, годовщиной или другими легко угадываемыми комбинациями. Если злоумышленник знает подобную информацию, вероятность успешного подбора заметно возрастает.

Впрочем, о забывчивых владельцах смартфонов тоже подумали. Если пользователь несколько раз подряд случайно вводит один и тот же неправильный ПИН-код, Android 17 не будет считать такие ошибки отдельными попытками. Система распознает повторение и сообщит, что одинаковые неверные комбинации не засчитываются в общий лимит.

Google также немного переработала интерфейс блокировки. Вместо длинных таймеров вроде «Попробуйте снова через 1800 секунд» теперь будут отображаться привычные сообщения наподобие «Попробуйте снова через 30 минут».

Кроме того, на экране блокировки появится кнопка быстрого перехода к восстановлению доступа, чтобы пользователь мог быстрее найти инструкции по восстановлению учетной записи с другого устройства.

Для обычных пользователей изменения будут почти незаметны, а вот любителям подбирать чужие ПИН-коды станет значительно сложнее.

RSS: Новости на портале Anti-Malware.ru