Zestawienie tygodniowe 16 – 23 listopada

Darmowe narzędzie do zwalczania dezinformacji

W tym tygodniu, Trend Micro wydał bezpłatne narzędzie, które ma pomóc użytkownikom zwiększyć ich prywatność w Internecie i zwalczać dezinformację. Nowe narzędzie, nazwane Trend Micro Check, ma pomóc chronić się przed naruszeniami prywatności, fałszywymi roszczeniami i dezinformacją.

Trend Micro twierdzi, że do uruchomienia tego narzędzia przyczyniła się lawina dezinformacji publikowanych w Internecie. Wcześniej Trend Micro Check został uruchomiony w Japonii i na Tajwanie. Nowa wersja testowana w Stanach Zjednoczonych zawiera jednak także nową funkcję NewsGuard, oferującą oceny zaufania dla wielu witryn z wiadomościami.

Narzędzie obejmuje: kontrolę bezpieczeństwa, która wykorzystuje analizę zagrożeń, (sprawdza czy witryna lub adres URL są fałszywe lub zainfekowane), a także kontrolę prywatności, która wykorzystuje usługę Trend Micro ID Security, aby sprawdzić, czy adres e-mail użytkownika został umieszczony na sprzedaż w dark necie. Inne możliwości narzędzia obejmują Fact Check, który wykorzystuje API Google Fact Check do uzyskiwania dostępu do informacji zewnętrznych witryn weryfikujących fakty i wiarygodność treści, oraz News Reputation Check, który dostarcza informacji o tym, czy serwisom informacyjnym należy ufać, opierając się na dziewięciu podstawowych, apolitycznych kryteriach.

Podobno Trend Micro Check może przeprowadzić pełne wykrywanie w czasie rzeczywistym, pomagając użytkownikom szybko działać na podstawie wyników. Od czasu premiery w Japonii i na Tajwanie dwa i pół roku temu, narzędzie zostało użyte 1,35 miliarda razy do zwalczania dezinformacji i oszustw.

Bug Bounty od Facebooka

Facebook ogłosił, że od 2011 r. wypłacił ponad 11,7 miliona dolarów z tytułu nagród w programie znajdowania błędów. Jak podaje firma, do tej pory ponad 50 000 badaczy zapisało się do firmowego programu, a około 1500 z nich ze 107 krajów otrzymało nagrody.

Od 2011 r. Facebook otrzymał ponad 130 000 zgłoszeń luk w zabezpieczeniach, ale tylko 6900 z nich zostało uznanych. W tym roku otrzymano około 17 000 raportów, a ponad 1000 z nich otrzymało nagrody. Tylko w 2020 roku firma przyznała ponad 1,98 miliona dolarów badaczom bezpieczeństwa z ponad 50 krajów i wypłaciła dwie z najwyższych dotychczas nagród.

Jak mówi Dan Gurfinkel, menedżer ds. Inżynierii bezpieczeństwa w Facebook, najbardziej znaczące zgłoszenia otrzymane w tym roku dotyczyły luk zidentyfikowanych w sieci dostarczania treści (CDN) i Messengerze dla Androida. Pierwszy z nich, zgłoszony przez Selameta Hariyanto, był początkowo uważany za błąd o niewielkim wpływie w globalnym CDN Facebooka, który dostarcza treści użytkownikom na całym świecie. Problem spowodował, że niektóre adresy URL CDN były dostępne nawet po ich wygaśnięciu. „Po naprawieniu tego błędu nasi wewnętrzni badacze znaleźli rzadki scenariusz, w którym bardzo wyrafinowany napastnik mógł przejść do zdalnego wykonania kodu. Jak zawsze, nagrodziliśmy badacza na podstawie maksymalnego możliwego wpływu ich zgłoszenia, a nie na podstawie zgłoszonego nam problemu o mniejszej wadze. To teraz nasza najwyższa nagroda – 80 000 $ ”- wyjaśnia Gurfinkel.

Druga luka została wykryta przez badaczkę bezpieczeństwa Google Project Zero Natalie Silvanovich w programie Messenger dla Androida i mogła umożliwić atakującemu połączenie audio z docelowym urządzeniem podczas nawiązywania połączenia z tym urządzeniem bez interakcji ofiary. Atakujący mógł „jednocześnie zainicjować połączenie i wysłać niezamierzony typ wiadomości do osoby zalogowanej w programie Messenger dla systemu Android i do innego klienta Messengera (tj. Przeglądarki internetowej). Spowodowałoby to scenariusz, w którym podczas dzwonienia urządzenia dzwoniący zacząłby odbierać dźwięk do czasu, aż osoba, do której dzwoni, odpowie lub upłynie limit czasu połączenia” – zauważa Facebook. Aby ten atak zadziałał, atakujący musiałby mieć uprawnienia do wykonywania połączenia i musiałby manipulować własną aplikacją Messenger, aby wysłać niestandardową wiadomość do ofiary, wskazuje Gurfinkel. Facebook zapłacił 60 000 dolarów za błąd, „co odzwierciedla jego maksymalny potencjalny wpływ”.

Program usuwania błędów Facebooka obejmuje produkty takie jak Instagram, WhatsApp, Oculus, Workplace i nie tylko.