La semaine dernière, le spécialiste de la sécurité Avinash Jain a découvert (
actualités ,
article de blog original) des centaines de calendriers d'utilisateurs dans le service Google Agenda du domaine public. Ces calendriers sont indexés par les services de recherche, et dans Google lui-même sont disponibles par une simple demande comme
inurl: https: //calendar.google.com/calendar? Cid = .
Les informations sur les réunions, les conférences téléphoniques et les négociations importantes se sont révélées publiques en raison d'une erreur élémentaire dans les paramètres du calendrier: au lieu de partager des données avec des utilisateurs spécifiques, ils ont rendu le calendrier accessible à tous. Google a commenté l'histoire, disant qu'ils n'avaient rien à voir avec cela, et que les actions des utilisateurs sont volontaires. Cependant, après une semaine, la plupart des résultats de recherche ont toujours disparu.
Ce n'est pas la première fois que l'on discute de tels problèmes, des tentatives ont été faites pour trouver l'extrême: soit les développeurs de l'interface induisent les utilisateurs en erreur, soit les utilisateurs eux-mêmes ne savent pas ce qu'ils font. Et il ne s'agit pas du tout de la faute, mais du fait que même de simples erreurs dans la protection des données doivent être corrigées. Bien qu'elles ne soient pas aussi intéressantes que des vulnérabilités complexes. Au cours de la semaine dernière, plusieurs exemples d'erreurs de calcul élémentaires se sont accumulés à la fois: dans le gestionnaire de mots de passe LastPass, dans l'écran de verrouillage de l'iPhone (encore!), Et également dans le magasin d'extensions Google Chrome, qui permet l'apparition de bloqueurs de publicités malveillants.
Commençons par Lockscreen dans les iPhones. Le chercheur Jose Rodriguez a découvert (
nouvelles ) un trou dans le système de verrouillage de l'appareil basé sur iOS 13 au cours de l'été, lorsque la dernière version du système d'exploitation mobile d'Apple a été testée en version bêta. Il a ensuite signalé un problème chez Apple, mais iOS 13 est entré en production la semaine dernière sans patch. La vulnérabilité vous permet de voir uniquement les contacts sur le téléphone et nécessite un accès physique à l'appareil. Le processus de contournement de l'écran de verrouillage est illustré dans la vidéo. En bref, vous devez appeler le téléphone, sélectionner l'option pour répondre à l'appel avec un message, activer la fonction VoiceOver, désactiver la fonction VoiceOver, après quoi il sera possible d'ajouter un autre destinataire au message. Et puis vous obtenez une liste complète des contacts sur le téléphone de quelqu'un d'autre.
Dans toute l'histoire d'iOS, il y a eu beaucoup de telles erreurs. Le même Rodriguez a découvert au moins trois problèmes similaires dans iOS
12.1 (transférer l'appel entrant en mode vidéo, après quoi vous pouvez ajouter d'autres participants, ce qui donne accès au carnet d'adresses),
12 (le même VoiceOver donne accès aux photos sur le téléphone) et
9.0-9.1 (accès complet au téléphone via les commandes de l'assistant vocal Siri). Selon le chercheur, le nouveau problème sera résolu dans iOS 13.1, qui sera publié à la fin du mois.
Un problème un peu plus compliqué a été découvert et fermé dans le gestionnaire de mots de passe LastPass (
actualités ,
rapport de bug ). Le chercheur de l'équipe Google Project Zero, Tavis Ormandy, a trouvé un moyen de voler la dernière connexion et le dernier mot de passe entrés dans le navigateur. Le problème est simple, mais son fonctionnement est assez compliqué: vous devez non seulement attirer l'utilisateur vers la page Web préparée, mais aussi le forcer à cliquer plusieurs fois, afin que le mot de passe soit automatiquement entré dans le formulaire de l'attaquant. Dans un script non standard (mais utilisé) pour ouvrir une page dans une nouvelle fenêtre, l'extension LastPass pour le navigateur n'a pas vérifié l'URL de la page et n'a pas remplacé les dernières données utilisées. Le 13 septembre, la vulnérabilité a été corrigée.
La newsletter LastPass fournit un conseil utile: l'installation d'un système de sécurité n'est pas une raison pour se détendre. En particulier, vous pouvez faire une erreur en installant la mauvaise extension de navigateur dans le navigateur Chrome. Le 18 septembre, Google a
supprimé deux plugins du catalogue des extensions Chrome qui imitent les bloqueurs de publicité officiels Adblock Plus et uBlock Origin. Les faux bloqueurs sont décrits en détail sur le blog
AdGuard .
Les fausses extensions copient entièrement la fonctionnalité des originaux, mais ajoutent la technique de bourrage des cookies. L'utilisateur qui a installé cette extension a été identifié pour un certain nombre de boutiques en ligne comme étant venu via un lien de parrainage. Si un achat a été effectué au magasin, la commission pour le «lecteur client» a été envoyée aux auteurs de l'extension. Les faux bloqueurs ont également tenté de masquer les activités malveillantes: la publicité n'a commencé que 55 heures après l'installation de l'extension et s'est arrêtée lorsque la console du développeur a été ouverte. Les deux extensions ont été supprimées du catalogue Google Chrome, mais plus d'un million et demi d'utilisateurs les ont utilisées auparavant. L'année dernière, la même société AdGuard a
annoncé cinq fausses extensions avec la possibilité de suivre l'utilisateur, au total, installées plus de 10 millions de fois.
Avertissement: Les opinions exprimées dans ce résumé peuvent ne pas coïncider avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.