Na semana passada, o especialista em segurança Avinash Jain descobriu (
notícias , a
postagem original do
blog ) centenas de calendários de usuários no Google Agenda que foram compartilhados. Esses calendários são indexados pelos serviços de pesquisa e, no próprio Google, estão disponíveis mediante uma solicitação simples como
inurl: https: //calendar.google.com/calendar? Cid = .
As informações sobre reuniões, teleconferências e negociações importantes se tornaram públicas devido a um erro elementar nas configurações do calendário: em vez de compartilhar dados com usuários específicos, eles tornaram o calendário acessível a todos. O Google comentou a história, dizendo que eles não tinham nada a ver com isso, e as ações dos usuários são voluntárias. No entanto, depois de uma semana, a maioria dos resultados da pesquisa ainda desapareceu.
Esta não é a primeira vez que se discute esses problemas, foram feitas tentativas para encontrar o extremo: os desenvolvedores da interface enganam os usuários ou os próprios usuários não sabem o que estão fazendo. E o ponto principal não é o culpado, mas o fato de que mesmo erros simples na proteção de dados precisam ser corrigidos. Embora não sejam tão interessantes quanto vulnerabilidades complexas. Na semana passada, vários exemplos de erros de cálculo elementares se acumularam de uma só vez: no gerenciador de senhas LastPass, na tela de bloqueio do iPhone (novamente!), Assim como na loja de extensões do Google Chrome, que permite o aparecimento de bloqueadores de anúncios maliciosos.
Vamos começar com o Lockscreen nos iPhones. O pesquisador Jose Rodriguez descobriu (
notícias ) um buraco no sistema de bloqueio de dispositivos baseado no iOS 13 no verão, quando a versão mais recente do sistema operacional móvel da Apple foi testada em beta. Então ele relatou um problema na Apple, mas o iOS 13 entrou em produção na semana passada sem um patch. A vulnerabilidade permite que você veja apenas os contatos no telefone e requer acesso físico ao dispositivo. O processo de ignorar a tela de bloqueio é mostrado no vídeo. Em resumo, você precisa ligar para o telefone, selecionar a opção para atender a chamada com uma mensagem, ativar a função VoiceOver, desativar a função VoiceOver, após o qual será possível adicionar outro destinatário à mensagem. E então você obtém uma lista completa de contatos no telefone de outra pessoa.
Em toda a história do iOS, houve muitos desses erros. O mesmo Rodriguez descobriu pelo menos três problemas semelhantes no iOS
12.1 (transferir a chamada recebida para o modo de vídeo, após o qual você pode adicionar outros participantes, o que dá acesso ao catálogo de endereços),
12 (o mesmo VoiceOver dá acesso a fotos no telefone) e
9.0-9.1 (acesso total ao telefone através de comandos para o assistente de voz Siri). Segundo o pesquisador, o novo problema será encerrado no iOS 13.1, que será lançado no final do mês.
Um problema um pouco mais complicado foi descoberto e fechado no gerenciador de senhas LastPass (
notícias ,
relatório de erros ). O pesquisador da equipe do Google Project Zero, Tavis Ormandy, encontrou uma maneira de roubar o último login e senha digitados no navegador. O problema é simples, mas sua operação é bastante complicada: você precisa não apenas atrair o usuário para a página da Web preparada, mas também forçá-lo a clicar várias vezes, para que a senha seja inserida automaticamente no formulário do invasor. Em um script não padrão (mas usado) para abrir uma página em uma nova janela, a extensão LastPass para o navegador não verificou o URL da página e substituiu os últimos dados usados. Em 13 de setembro, a vulnerabilidade foi
encerrada .
O boletim informativo do LastPass fornece uma dica útil: instalar um sistema de segurança não é motivo para relaxar. Em particular, você pode cometer um erro instalando a extensão do navegador errada no navegador Chrome. Em 18 de setembro, o Google
removeu dois plugins do catálogo de extensões do Chrome que imitam os bloqueadores de anúncios oficiais do Adblock Plus e do uBlock Origin. Bloqueadores falsos são descritos em detalhes no blog do
AdGuard .
As extensões falsas copiam totalmente a funcionalidade dos originais, mas adicionam a técnica de preenchimento de cookies. O usuário que instalou esta extensão foi identificado por várias lojas on-line como tendo chegado através de um link de referência. Se uma compra foi feita na loja, a comissão pela “movimentação do cliente” foi enviada aos autores da extensão. Os bloqueadores falsos também tentaram ocultar atividades maliciosas: a publicidade começou apenas 55 horas após a instalação da extensão e parou quando o console do desenvolvedor foi aberto. Ambas as extensões foram removidas do catálogo do Google Chrome, mas mais de um milhão e meio de usuários as usaram antes. A mesma empresa do AdGuard
anunciou no ano passado cinco extensões falsas com a capacidade de rastrear o usuário, no total, instalado mais de 10 milhões de vezes.
Isenção de responsabilidade: as opiniões expressas neste resumo podem não coincidir com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.