في الأسبوع الماضي ، اكتشف متخصص الأمن Avinash Jain (
الأخبار ،
المنشور الأصلي
للمدونة ) مئات من تقاويم المستخدم في تقويم Google التي تمت مشاركتها. تتم فهرسة هذه التقاويم بواسطة خدمات البحث ، وتتوفر في Google نفسها بطلب بسيط مثل
inurl: https: //calendar.google.com/calendar؟ Cid = .
تبين أن المعلومات المتعلقة بالاجتماعات والمكالمات الجماعية والمفاوضات الهامة أصبحت عامة نظرًا لحدوث خطأ أساسي في إعدادات التقويم: بدلاً من مشاركة البيانات مع مستخدمين محددين ، جعلوا التقويم متاحًا للجميع. علقت Google على القصة ، قائلة إنه ليس لها أي علاقة بها ، وأن إجراءات المستخدم طوعية. ومع ذلك ، بعد أسبوع ، لا تزال معظم نتائج البحث تختفي.
ليست هذه هي المرة الأولى عند مناقشة مثل هذه المشاكل ، فقد بذلت محاولات للعثور على أقصى الحدود: إما أن مطوري الواجهة يضللون المستخدمين ، أو أن المستخدمين أنفسهم لا يعرفون ماذا يفعلون. وهذه النقطة ليست على الإطلاق من يقع اللوم ، ولكن حتى الأخطاء البسيطة في حماية البيانات تحتاج إلى إصلاح. على الرغم من أنها ليست مثيرة للاهتمام مثل نقاط الضعف المعقدة. خلال الأسبوع الماضي ، تراكمت العديد من الأمثلة على سوء التقدير الأولي في وقت واحد: في LastPass Password Manager ، في iPhone lockscreen (مرة أخرى!) ، وكذلك في متجر إضافات Google Chrome ، والذي يتيح ظهور مانع الإعلانات الضارة.
لنبدأ مع Lockscreen في أجهزة iPhone. اكتشف الباحث خوسيه رودريغيز (
الأخبار ) وجود ثغرة في نظام قفل الجهاز المستند إلى نظام iOS 13 في فصل الصيف ، عندما تم اختبار الإصدار الأخير من نظام تشغيل Apple المحمول. ثم أبلغ عن مشكلة في Apple ، لكن iOS 13 دخلت الإنتاج الأسبوع الماضي دون رقعة. تسمح لك مشكلة عدم الحصانة بمشاهدة جهات الاتصال على الهاتف فقط وتتطلب الوصول الفعلي إلى الجهاز. تظهر عملية تجاوز شاشة القفل في الفيديو. باختصار ، تحتاج إلى الاتصال بالهاتف ، حدد الخيار للرد على المكالمة برسالة ، وتشغيل وظيفة VoiceOver ، وإيقاف تشغيل وظيفة VoiceOver ، وبعد ذلك سيكون من الممكن إضافة مستلم آخر إلى الرسالة. ثم تحصل على قائمة كاملة من جهات الاتصال على هاتف شخص آخر.
في تاريخ iOS بأكمله ، كان هناك العديد من هذه الأخطاء. اكتشف رودريغيز نفسه ثلاث مشكلات مماثلة على الأقل في iOS
12.1 (نقل المكالمة الواردة إلى وضع الفيديو ، وبعد ذلك يمكنك إضافة مشاركين آخرين ، مما يتيح الوصول إلى دفتر العناوين) ،
12 (نفس VoiceOver يتيح الوصول إلى الصور على الهاتف) و
9.0-9.1 (الوصول الكامل إلى الهاتف من خلال أوامر إلى مساعد صوت سيري). وفقًا للباحث ، سيتم إغلاق المشكلة الجديدة في iOS 13.1 ، والتي سيتم إصدارها في نهاية الشهر.
تم اكتشاف مشكلة أكثر تعقيدًا وإغلاقها في مدير كلمة مرور LastPass (
news ،
bugreport ). اكتشف الباحث من فريق Google Project Zero ، Tavis Ormandy ، طريقة لسرقة آخر تسجيل دخول وكلمة مرور تم إدخالهما في المتصفح. المشكلة بسيطة ، ولكن تشغيلها معقد للغاية: لا تحتاج إلى جذب المستخدم إلى صفحة الويب المعدة فحسب ، بل يجب أيضًا إجباره على النقر فوق عدة مرات ، بحيث يتم إدخال كلمة المرور تلقائيًا في نموذج المهاجم. في برنامج نصي غير قياسي (لكن مستخدم) لفتح صفحة في نافذة جديدة ، لم يتحقق ملحق LastPass للمتصفح من عنوان URL للصفحة واستبدل آخر البيانات المستخدمة. في 13 سبتمبر ، تم
إغلاق الثغرة الأمنية.
توفر الرسالة الإخبارية LastPass معلومات مفيدة: تثبيت نظام أمان ليس سببا للاسترخاء. على وجه الخصوص ، يمكنك ارتكاب خطأ عن طريق تثبيت امتداد المتصفح الخاطئ في متصفح Chrome. في 18 سبتمبر ، قامت Google
بإزالة مكونين إضافيين من كتالوج ملحقات Chrome الذي يحاكي حاصرات الإعلانات الرسمية Adblock Plus و uBlock Origin. يتم وصف حاصرات وهمية بالتفصيل على مدونة
AdGuard .
تقوم الإضافات المزيفة بنسخ وظيفة النسخ الأصلية بشكل كامل ، ولكن إضافة تقنية حشو ملفات تعريف الارتباط. تم التعرف على المستخدم الذي قام بتثبيت هذا الامتداد لعدد من المتاجر عبر الإنترنت لأنه وصل عبر رابط إحالة. إذا تم إجراء عملية شراء في المتجر ، فقد تم إرسال عمولة "محرك العميل" إلى مؤلفي الامتداد. قام حاصرات مزيفة أيضًا بمحاولات لإخفاء النشاط الضار: بدأ الإعلان بعد 55 ساعة فقط من تثبيت الامتداد وتوقف عند فتح وحدة تحكم مطور البرامج. تمت إزالة كلتا الإضافتين من كتالوج Google Chrome ، لكن أكثر من مليون ونصف مستخدم قد استخدموه من قبل. أعلنت شركة AdGuard نفسها العام الماضي
عن خمسة ملحقات وهمية مع القدرة على تتبع المستخدم ، في المجموع ، تثبيت أكثر من 10 مليون مرة.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بشك صحي.