Letzte Woche entdeckte der Sicherheitsspezialist Avinash Jain (
Nachrichten , der ursprüngliche
Blog-Beitrag ) Hunderte von Nutzerkalendern im Google Kalender-Dienst, die gemeinfrei sind. Solche Kalender werden von Suchdiensten indiziert und sind in Google selbst auf einfache Anfrage wie
inurl verfügbar: https: //calendar.google.com/calendar? Cid = .
Informationen zu Besprechungen, Telefonkonferenzen und wichtigen Verhandlungen erwiesen sich aufgrund eines elementaren Fehlers in den Kalendereinstellungen als öffentlich: Anstatt Daten für bestimmte Benutzer freizugeben, wurde der Kalender für alle zugänglich gemacht. Google kommentierte die Geschichte mit den Worten, dass sie nichts damit zu tun hätten und dass Nutzeraktionen freiwillig seien. Nach einer Woche verschwanden die meisten Suchergebnisse jedoch immer noch.
Dies ist nicht das erste Mal, dass bei der Erörterung solcher Probleme versucht wurde, das Extreme zu finden: Entweder führen die Entwickler der Benutzeroberfläche Benutzer in die Irre, oder die Benutzer selbst wissen nicht, was sie tun. Dabei geht es nicht darum, wer schuld ist, sondern darum, dass auch einfache Datenschutzfehler behoben werden müssen. Obwohl sie nicht so interessant sind wie komplexe Schwachstellen. In der vergangenen Woche haben sich mehrere Beispiele für elementare Fehlkalkulationen gleichzeitig angesammelt: im LastPass-Passwort-Manager, im iPhone-Sperrbildschirm (erneut!) Sowie im Google Chrome-Erweiterungsspeicher, der das Auftreten bösartiger Werbeblocker ermöglicht.
Beginnen wir mit Lockscreen in iPhones. Der Forscher Jose Rodriguez entdeckte (
Nachrichten ) bereits im Sommer ein Loch im Gerätesperrsystem auf Basis von iOS 13, als die neueste Version von Apples mobilem Betriebssystem Beta-getestet wurde. Dann meldete er ein Problem bei Apple, aber iOS 13 ging letzte Woche ohne Patch in Produktion. Die Sicherheitsanfälligkeit ermöglicht es Ihnen, nur die Kontakte auf dem Telefon zu sehen und erfordert physischen Zugriff auf das Gerät. Der Vorgang des Umgehens des Sperrbildschirms wird im Video gezeigt. Kurz gesagt, Sie müssen das Telefon anrufen, die Option zum Beantworten des Anrufs mit einer Nachricht auswählen, die VoiceOver-Funktion aktivieren und die VoiceOver-Funktion deaktivieren. Anschließend können Sie der Nachricht einen weiteren Empfänger hinzufügen. Und dann erhalten Sie eine vollständige Liste der Kontakte auf dem Telefon eines anderen.
In der gesamten Geschichte von iOS gab es viele solcher Fehler. Derselbe Rodriguez entdeckte mindestens drei ähnliche Probleme in iOS
12.1 (Weiterleiten des eingehenden Anrufs in den Videomodus, wonach Sie weitere Teilnehmer hinzufügen können, die Zugriff auf das Adressbuch gewähren),
12 (derselbe VoiceOver ermöglicht den Zugriff auf Fotos auf dem Telefon) und
9.0-9.1 (Voller Zugriff auf das Telefon über Befehle an den Siri-Sprachassistenten). Laut dem Forscher wird das neue Problem in iOS 13.1 geschlossen, das Ende des Monats veröffentlicht wird.
Ein etwas komplizierteres Problem wurde entdeckt und im LastPass-Passwort-Manager (
Nachrichten ,
Fehlerbericht ) geschlossen. Der Forscher des Google Project Zero-Teams, Tavis Ormandy, hat einen Weg gefunden, das zuletzt im Browser eingegebene Login und Passwort zu stehlen. Das Problem ist einfach, aber seine Bedienung ist ziemlich kompliziert: Sie müssen den Benutzer nicht nur auf die vorbereitete Webseite locken, sondern ihn auch zwingen, mehrmals zu klicken, damit das Passwort automatisch in das Formular des Angreifers eingegeben wird. In einem nicht standardmäßigen (aber verwendeten) Skript zum Öffnen einer Seite in einem neuen Fenster hat die LastPass-Erweiterung für den Browser die Seiten-URL nicht überprüft und die zuletzt verwendeten Daten ersetzt. Am 13. September wurde die Sicherheitsanfälligkeit
geschlossen .
Der LastPass-Newsletter bietet einen nützlichen Tipp: Die Installation eines Sicherheitssystems ist kein Grund zur Entspannung. Insbesondere können Sie einen Fehler machen, indem Sie die falsche Browsererweiterung im Chrome-Browser installieren. Am 18. September
entfernte Google zwei Plugins aus dem Chrome Extensions-Katalog, die die offiziellen Adblock Plus- und uBlock Origin-Werbeblocker imitieren. Gefälschte Blocker werden im
AdGuard- Blog ausführlich beschrieben.
Gefälschte Erweiterungen kopieren die Funktionalität der Originale vollständig, fügen jedoch die Cookie-Fülltechnik hinzu. Der Benutzer, der diese Erweiterung installiert hat, wurde für eine Reihe von Online-Shops als über einen Empfehlungslink gekommen identifiziert. Wenn ein Kauf im Geschäft getätigt wurde, wurde die Provision für das „Kundenlaufwerk“ an die Autoren der Erweiterung gesendet. Gefälschte Blocker versuchten auch, böswillige Aktivitäten zu verbergen: Die Werbung begann erst 55 Stunden nach der Installation der Erweiterung und wurde beim Öffnen der Entwicklerkonsole gestoppt. Beide Erweiterungen wurden aus dem Google Chrome-Katalog entfernt, aber mehr als eineinhalb Millionen Nutzer haben sie bereits verwendet. Das gleiche AdGuard-Unternehmen
kündigte im vergangenen Jahr fünf gefälschte Erweiterungen an, mit denen der Benutzer verfolgt werden kann, der insgesamt mehr als 10 Millionen Mal installiert wurde.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.