Microsoft a rozpoznawanie twarzy


Grupa M12, venture od Microsoftu, zbyła swój mniejszościowy pakiet akcji w AnyVision, izraelskim startupie prowadzącym prace nad systemem rozpoznawania twarzy, i twierdzi, że nie dokona żadnych dalszych inwestycji mniejszościowych w firmach sprzedających taką technologię. AnyVision trafiła na nagłówki gazet w zeszłym roku z powodu raportu NBC w październiku, a wcześniej raportu Haaretza, które twierdziły, że jej technologia była wykorzystywana do masowego nadzoru Palestyńczyków na Zachodnim Brzegu.

Microsoft był krytykowany za udział w czerwcowej rundzie finansowania AnyVision serii A o wartości 74 mln USD. Niektórzy postrzegali tę inwestycję jako aprobatę firmy, która rzekomo wykorzystywała rozpoznawanie twarzy do masowego, ciągłego nadzoru, czyli w sposób sprzeczny z zasadami etycznymi Microsoftu. AnyVision w tym czasie potwierdziła, że jej technologia była używana na przejściach granicznych między Izraelem a Zachodnim Brzegiem, ale zaprzeczyła, że była używana jako część programu masowej inwigilacji Palestyńczyków na Zachodnim Brzegu. Microsoft powiedział również, że Izraelska firma zgodziła się przestrzegać zasad w ramach inwestycji M12 i że zastrzegł sobie prawo do przeprowadzenia audytu firmy pod kątem zgodności. Microsoft również zatrudnił byłego prokuratora generalnego USA Erica Holdera, pracującego w kancelarii prawnej Covington & Burlington, aby zbadał zarzuty dotyczące AnyVision.

W piątek na stronach M12 i AnyVision, zostały opublikowane wyniki audytu, który wykazał, że technologia AnyVision nie jest i nie była wykorzystywana do masowej inwigilacji na Zachodnim Brzegu.

Niemniej jednak Microsoft zdecydował o zbyciu udziałów mniejszościowych w AnyVision i zaktualizował swoją politykę inwestycyjną i zakończył inwestycje mniejszościowe w firmy, która sprzedają technologię rozpoznawania twarzy. „Dla Microsoft proces audytu wzmocnił wyzwania związane z byciem inwestorem mniejszościowym w firmie, która sprzedaje wrażliwą technologię, ponieważ takie inwestycje zasadniczo nie pozwalają na poziom nadzoru lub kontroli, jaki Microsoft sprawuje nad wykorzystaniem własnej technologii”, M12 powiedział w oświadczeniu. „Dokonując globalnej zmiany w polityce inwestycyjnej w celu położenia kresu inwestycjom mniejszościowym w firmach sprzedających technologię rozpoznawania twarzy, Microsoft skupił się na relacjach handlowych, które zapewniają mu większy nadzór i kontrolę nad wykorzystaniem wrażliwych technologii”.

Microsoft najbardziej spośród gigantów technologicznych ostrzegał przed ryzykiem technologii rozpoznawania twarzy. Prezes Microsoftu Brad Smith w grudniu 2018 r. Wezwał rządy do pilnego stworzenia przepisów regulujących rozpoznawanie twarzy. Jednak na początku tego roku wyraził sprzeciw wobec zaproponowanego przez Komisję Europejską pięcioletniego moratorium na stosowanie technologii rozpoznawania twarzy, które ostatecznie nigdy nie zostało przyjęte


Zainfekowany Android


Smartfony są częścią naszego codziennego życia. Zainstalowane są na nich miliony aplikacji wykorzystywanych do szerokiej gamy działań, jednak wiele z nich angażuje się w zachowania, które nigdy nie są ujawniane użytkownikom. Tysiące aplikacji mobilnych na Androida ma między innymi: backdoory i czarne listy. Takie tezy postawili przed sobą badacze z Ohio State University, New York University i CISPA Helmholtz Center for Information Security. Opracowali oni narzędzie, które może wykryć „kontekst wykonania weryfikacji danych wejściowych przez użytkownika, a także treść zaangażowaną w walidację” w ten sposób znajdując ukryte przed użytkownikiem zastosowania.

Narzędzie o nazwie INPUTSCOPE zostało następnie przetestowane na ponad 150 000 aplikacji na Androida z Google Play (100 000 najlepszych aplikacji ze sklepu), alternatywnym rynkiem (20 000) i wstępnie zainstalowanych na urządzeniach (30 000 aplikacji wyodrębnionych z oprogramowania smartfonów Samsung) .

Badanie ujawniło 12 706 aplikacji (8,47%) z backdoorem (tajne klucze dostępu, hasła główne i tajne polecenia zapewniające dostęp do funkcji tylko dla administratora) oraz 4028 aplikacji (2,69%), które zawierają czarne listy (blokowałyby zawartość na podstawie słowa kluczowe podlegające cenzurze, nękaniu w sieci lub dyskryminacji). INPUTSCOPE ujawniło klucze dostępu, które zapewniają dostęp do interfejsu administracyjnego aplikacji (umożliwiając zmiany konfiguracji, które nie są dostępne dla zwykłych użytkowników), które umożliwiają odzyskanie lub resetowanie haseł zwykłych użytkowników, lub które mogą być użyte do zakupu zaawansowanych usług w aplikacji za darmo. Ponadto w badaniu zidentyfikowano setki haseł głównych, a także tajne polecenia w tysiącach aplikacji, w tym polecenia do debugowania i uruchamiania ukrytych funkcji nieznanych zwykłym użytkownikom.


75 Kilo USD od Apple


White Haker twierdzi, że zarobił 75 000 USD od Apple za zgłoszenie kilku luk w zabezpieczeniach Safari, które można wykorzystać do przejęcia kontroli nad kamerą i mikrofonem urządzeń z systemem iOS lub macOS. Badacz Ryan Pickren zidentyfikował w sumie siedem luk w przeglądarce Safari, z których trzy można wykorzystać do szpiegowania użytkowników za pomocą kamery i mikrofonu w telefonie iPhone, iPadzie lub komputerze Mac. Atak wymaga jedynie ukierunkowanego użytkownika, aby uzyskać dostęp do złośliwej witryny – nie jest wymagana żadna inna interakcja.

Apple załatało luki, które pozwalają hakerom szpiegować użytkowników w styczniu, podczas gdy inne usterki zostały naprawione w marcu. Pickren powiedział, że jego exploit znalazł się w kategorii „Atak sieciowy bez interakcji użytkownika: Zero-Click Nieautoryzowany dostęp do poufnych danych” w programie nagrody za błędy firmy Apple. Za swoje odkrycia zarobił 75 000 $, ale najwyższa nagroda w tej kategorii to 500 000 $.

Według Pickrena, wady są związane z decyzją Apple, aby zezwolić użytkownikom na trwałe zapisywanie ustawień bezpieczeństwa dla poszczególnych witryn. Osoba atakująca może skonfigurować złośliwą witrynę internetową, która uzyskuje dostęp do kamery i mikrofonu, twierdząc, że jest zaufaną usługą wideokonferencji, taką jak Zoom lub Skype.

„Mówiąc wprost – błąd skłonił Apple do myślenia, że złośliwa strona internetowa jest rzeczywiście zaufana. W tym celu wykorzystano szereg błędów w sposobie, w jaki Safari analizuje identyfikatory URI, zarządza początkami sieci i inicjuje bezpieczne konteksty” – wyjaśnił badacz w poście na blogu podsumowującym jego odkrycia.