La semana pasada, el especialista en seguridad Avinash Jain descubrió (
noticias , la
publicación original del
blog ) cientos de calendarios de usuarios en Google Calendar que se compartieron. Dichos calendarios están indexados por los servicios de búsqueda, y en Google están disponibles mediante una simple solicitud como
inurl: https: //calendar.google.com/calendar? Cid = .
La información sobre reuniones, llamadas en conferencia y negociaciones importantes resultó pública debido a un error elemental en la configuración del calendario: en lugar de compartir datos con usuarios específicos, hicieron que el calendario fuera accesible para todos. Google comentó sobre la historia, diciendo que no tenían nada que ver con eso, y que las acciones de los usuarios son voluntarias. Sin embargo, después de una semana, la mayoría de los resultados de búsqueda aún desaparecieron.
Esta no es la primera vez que se discuten estos problemas, se han hecho intentos para encontrar el extremo: o los desarrolladores de la interfaz engañan a los usuarios o los propios usuarios no saben lo que están haciendo. Y el punto no es en absoluto quién tiene la culpa, sino el hecho de que incluso los errores simples en la protección de datos deben corregirse. Aunque no son tan interesantes como las vulnerabilidades complejas. Durante la semana pasada, se han acumulado varios ejemplos de errores de cálculo elementales a la vez: en el administrador de contraseñas de LastPass, en la pantalla de bloqueo del iPhone (¡otra vez!), Y también en la tienda de extensiones de Google Chrome, que permite la aparición de bloqueadores de anuncios maliciosos.
Comencemos con Lockscreen en iPhones. El investigador José Rodríguez descubrió (
noticias ) un agujero en el sistema de bloqueo del dispositivo basado en iOS 13 en el verano, cuando se puso a prueba la última versión del sistema operativo móvil de Apple. Luego informó un problema en Apple, pero iOS 13 entró en producción la semana pasada sin un parche. La vulnerabilidad le permite ver solo los contactos en el teléfono y requiere acceso físico al dispositivo. El proceso de omitir la pantalla de bloqueo se muestra en el video. En resumen, debe llamar al teléfono, seleccionar la opción para responder la llamada con un mensaje, activar la función VoiceOver, desactivar la función VoiceOver, después de lo cual será posible agregar otro destinatario al mensaje. Y luego obtienes una lista completa de contactos en el teléfono de otra persona.
En toda la historia de iOS, ha habido muchos errores de este tipo. El mismo Rodríguez descubrió al menos tres problemas similares en iOS
12.1 (transfiere la llamada entrante al modo de video, después de lo cual puedes agregar otros participantes, lo que da acceso a la libreta de direcciones),
12 (el mismo VoiceOver da acceso a fotos en el teléfono) y
9.0-9.1 (acceso completo al teléfono mediante comandos al asistente de voz Siri). Según el investigador, el nuevo problema se cerrará en iOS 13.1, que se lanzará a finales de mes.
Se descubrió y cerró un problema un poco más complicado en el administrador de contraseñas de LastPass (
noticias ,
informe de errores ). El investigador del equipo de Google Project Zero, Tavis Ormandy, encontró una manera de robar el último nombre de usuario y contraseña ingresados en el navegador. El problema es simple, pero su funcionamiento es bastante complicado: no solo debe atraer al usuario a la página web preparada, sino también obligarlo a hacer clic varias veces, para que la contraseña se ingrese automáticamente en el formulario del atacante. En un script no estándar (pero usado) para abrir una página en una nueva ventana, la extensión LastPass para el navegador no verificó la URL de la página y sustituyó los últimos datos usados. El 13 de septiembre, la vulnerabilidad se
cerró .
El boletín LastPass ofrece un consejo útil: instalar un sistema de seguridad no es motivo para relajarse. En particular, puede cometer un error instalando una extensión de navegador incorrecta en el navegador Chrome. El 18 de septiembre, Google
eliminó dos complementos del catálogo de Extensiones de Chrome que imitan los bloqueadores de anuncios oficiales Adblock Plus y uBlock Origin. Los bloqueadores falsos se describen en detalle en el blog de
AdGuard .
Las extensiones falsas copian completamente la funcionalidad de los originales, pero agregan la técnica de relleno de cookies. Se identificó que el usuario que instaló esta extensión para varias tiendas en línea había llegado a través de un enlace de referencia. Si se realizó una compra en la tienda, la comisión por la "unidad del cliente" se envió a los autores de la extensión. Los bloqueadores falsos también intentaron ocultar actividades maliciosas: la publicidad comenzó solo 55 horas después de instalar la extensión y se detuvo cuando se abrió la consola del desarrollador. Ambas extensiones se eliminaron del catálogo de Google Chrome, pero más de un millón y medio de usuarios las han usado antes. La misma compañía de AdGuard
anunció el año pasado cinco extensiones falsas con la capacidad de rastrear al usuario, en total, se instaló más de 10 millones de veces.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.