Pekan lalu, spesialis keamanan Avinash Jain menemukan (
berita ,
posting blog asli) ratusan kalender pengguna di layanan Kalender Google di domain publik. Kalender semacam itu diindeks oleh layanan pencarian, dan di Google sendiri tersedia dengan permintaan sederhana seperti
inurl: https: //calendar.google.com/calendar? Cid = .
Informasi tentang rapat, panggilan konferensi, dan negosiasi penting ternyata bersifat publik karena kesalahan mendasar dalam pengaturan kalender: alih-alih berbagi data dengan pengguna tertentu, mereka membuat kalender dapat diakses oleh semua orang. Google mengomentari cerita itu, mengatakan bahwa mereka tidak ada hubungannya dengan itu, dan tindakan pengguna bersifat sukarela. Namun, setelah seminggu, sebagian besar hasil pencarian masih menghilang.
Ini bukan pertama kalinya ketika membahas masalah seperti itu, upaya telah dilakukan untuk menemukan yang ekstrem: apakah pengembang antarmuka menyesatkan pengguna, atau pengguna sendiri tidak tahu apa yang mereka lakukan. Dan intinya sama sekali bukan siapa yang harus disalahkan, tetapi fakta bahwa bahkan kesalahan sederhana dalam perlindungan data perlu diperbaiki. Meskipun mereka tidak semenarik kerentanan kompleks. Selama seminggu terakhir, beberapa contoh kesalahan perhitungan dasar telah terakumulasi sekaligus: di pengelola kata sandi LastPass, di layar kunci iPhone (lagi!), Serta di toko ekstensi Google Chrome, yang memungkinkan munculnya pemblokir iklan berbahaya.
Mari kita mulai dengan Lockscreen di iPhone. Peneliti Jose Rodriguez menemukan (
berita ) sebuah lubang di sistem penguncian perangkat berbasis iOS 13 di musim panas, ketika versi terbaru OS mobile Apple diuji beta. Kemudian dia melaporkan masalah di Apple, tetapi iOS 13 mulai berproduksi minggu lalu tanpa patch. Kerentanan ini memungkinkan Anda untuk hanya melihat kontak di telepon dan memerlukan akses fisik ke perangkat. Proses melewati layar kunci ditunjukkan dalam video. Singkatnya, Anda perlu menelepon telepon, pilih opsi untuk menjawab panggilan dengan pesan, aktifkan fungsi VoiceOver, matikan fungsi VoiceOver, setelah itu akan mungkin untuk menambahkan penerima lain ke pesan. Dan kemudian Anda mendapatkan daftar kontak lengkap di ponsel orang lain.
Di seluruh riwayat iOS, ada banyak kesalahan seperti itu. Rodriguez yang sama menemukan setidaknya tiga masalah serupa di iOS
12.1 (mentransfer panggilan masuk ke mode video, setelah itu Anda dapat menambahkan peserta lain, yang memberikan akses ke buku alamat),
12 (VoiceOver yang sama memberikan akses ke foto di telepon) dan
9.0-9.1 (akses penuh ke telepon melalui perintah ke asisten suara Siri). Menurut peneliti, masalah baru akan ditutup di iOS 13.1, yang akan dirilis pada akhir bulan.
Masalah yang sedikit lebih rumit ditemukan dan ditutup di pengelola kata sandi LastPass (
berita ,
laporan bug ). Peneliti dari tim Google Project Zero, Tavis Ormandy, menemukan cara untuk mencuri login dan kata sandi terakhir yang dimasukkan di browser. Masalahnya sederhana, tetapi operasinya cukup rumit: Anda tidak hanya perlu memikat pengguna ke halaman web yang disiapkan, tetapi juga memaksanya untuk mengklik beberapa kali, sehingga kata sandi secara otomatis dimasukkan ke dalam bentuk penyerang. Dalam skrip non-standar (tetapi digunakan) untuk membuka halaman di jendela baru, ekstensi LastPass untuk browser tidak memeriksa URL halaman dan mengganti data yang terakhir digunakan. Pada 13 September, kerentanan
ditutup .
Newsletter LastPass memberikan tip yang bermanfaat: memasang sistem keamanan bukan alasan untuk bersantai. Secara khusus, Anda dapat membuat kesalahan dengan memasang ekstensi browser yang salah di browser Chrome. Pada tanggal 18 September, Google
menghapus dua plugin dari katalog Chrome Extensions yang meniru Adblock Plus resmi dan blocker iklan uBlock Origin.
Blocker palsu dijelaskan secara rinci di blog
AdGuard .
Ekstensi palsu sepenuhnya menyalin fungsionalitas sumber asli, tetapi menambahkan teknik isian kuki. Pengguna yang memasang ekstensi ini diidentifikasi untuk sejumlah toko online yang datang melalui tautan rujukan. Jika pembelian dilakukan di toko, komisi untuk "penggerak pelanggan" dikirim ke penulis ekstensi. Blocker palsu juga berupaya menyembunyikan aktivitas jahat: iklan dimulai hanya 55 jam setelah menginstal ekstensi dan berhenti ketika konsol pengembang dibuka. Kedua ekstensi telah dihapus dari katalog Google Chrome, tetapi lebih dari satu setengah juta pengguna telah menggunakannya sebelumnya. Perusahaan AdGuard yang sama tahun lalu
mengumumkan lima ekstensi palsu dengan kemampuan untuk melacak pengguna, secara total, menginstal lebih dari 10 juta kali.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak sesuai dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.