我们不会否认自己很高兴用白线缝制上周发生的两个事件。 首先,最现代的三星Galaxy手机
发现了发送消息的问题。 其次,
讨论了Yandex搜索引擎使用Google文档服务中的私人信息为公共文档建立索引的
问题,远远超出了计算机环聊的范围。
这些事件有一个共同点:经验丰富的安全新闻读者缺乏新颖性,设备和服务开发人员的反应并非如此。 但是最主要的是,自从发生这种情况以来,缺乏关于如何保护您的个人数据的明确建议。 通常,有充分的理由再次谈论用户和服务提供商的责任,现代技术的隐私和复杂性。
Yandex发生了什么事?
还是Google? The
Bell邮件列表中详细描述了私人文件大量泄漏的历史。 通常,对Google Documents文档建立索引这一事实是正常的。 las,通常是能够在骗子使用的平台上发布由搜索引擎索引的文档的功能。 通过对Google文档的流行查询,可以创建文档,然后将用户带到第三个网站-通常是受感染的网站,或者试图将用户诱骗到某些网站。 这是此博客的主题屏幕截图:
您可以在完全无害的搜索查询中遇到此问题,并且从普通用户的角度来看,一开始的一切看起来都是合法的:指向Google域的链接,适当的描述。 但是没有 但是,在有关Yandex的故事中,并不是故意出现公开文档,而是真正包含了其创建者的敏感信息。 他们是如何被引渡的也很容易猜到。 很少有人会使用特定人员的电子邮件地址来分配对Google文档的访问权限。 通常会创建一个链接,发送给所有相关人员。 是否应为这样的文件建立索引? 从访问设置的逻辑来看,它不应:
但是随后出现了技术难题。 Yandex索引文件及其链接是否可以公开发布,例如在公共网页上?
(是)参加文件发行的人的设置
是什么?
(不清楚)是否会发生错误的文档索引编制,而这些文档的链接未在任何地方发布?
(我们不会在没有证据的情况下介入阴谋论) Yandex的评论归结为Google方面是否存在robots.txt文件。 评论Google将泄漏的文档视为已知公开文档。
最有可能的是:隐私方面的差距影响了那些自己在创建文档时设置适当设置的人。 用户应该责怪它吗? 在信息安全专家社区中,一种逐渐普遍的观点是,指责用户是一种
死胡同 。 用户(公司员工)需要接受培训,但是如果由于“不正确的设置”导致某些内容泄漏,则表明需要更新界面。
三星怎么了?
无论三星发生了什么事,用户绝对不应该受到指责。 但是确切发生的事情也确实是未知的。 关于该问题的第一份报告出现在大约两周前的
Reddit和
三星论坛上 。 三星论坛对在三星消息应用程序中安装更新后出现的错误的描述相当拘束。 在Reddit,用户使用了一种措辞,该措辞迅速在媒体上传播:三星手机用于发送SMS / MMS的应用程序将照片集的内容发送给随机联系人。
有两个以上的证词,但它们对了解实际情况并没有多大帮助。 看来该问题仅影响了T-Mobile运营商的用户:在Rich Communications Services协议更新到达后,所有问题都开始了。 尽管另一名受害者声称他拥有AT&T的话务员电话。 在一种情况下,最后拍摄的照片被发送给已经有通信的联系人。 在另一种情况下-随机接触,整个(!)照相馆飞行了一整夜。 此外,受害人仅从收件人和运营商的账单中发现了有关此信息,因此没有有关手机本身发送的消息的信息。
媒体描述了谁是谁的问题。 在关于
Bleeping Computer的说明中,引用了已经提到的三星论坛,指出制造商已经意识到了这个问题,但这并不完全正确。 在没有官方描述的情况下,用户开始共享自制解决方案,例如:
我该如何启用Samsung Messages应用程序? 没事!赞扬Android中的高级访问设置。 没错,每个人都称其为Samsung Messages应用程序,尽管实际上它简称为Messages,因此,
那些不想共享随机照片的人找不到它。 但是,
有足够多的
人不想这么做 ,但仍然有些照片与联系人列表中的某些人(无论是妈妈,老板还是商业伙伴)不兼容。 不幸的是,关于Reddit的讨论中最清晰有效的建议是:
只有最现代的型号(再次,不准确)受制于-Samsung Galaxy S9和S9 Plus,注意8。尽管IXBT
声称 S8上也发生了奇怪的事情。 是的,禁用对“消息”应用程序的访问将导致其完全无法操作,并且您将必须安装替代程序(例如,来自Google的常规SMS客户端)。
现在该怎么办?
如果我们采用有关Yandex和Google文档的故事,那么这很简单:共享文档之前,请仔细查看文档,并考虑何时(不是何时,而是何时)泄漏该怎么办。 如果您使用
简单方便的工具(例如Google文档,Dropbox等),请三思而后行。 不一定要专门针对您或目标攻击。 可能是这样意外地出去的-他们在错误的地方打了勾,不小心将链接插入了错误的地方,出了点问题。 如果至少希望保持机密性,请使用电子邮件,或者使用加密。 是的,这不是那么方便,但是安全性也要付出代价。
但是,如果您的手机发送照片而没有问任何人怎么办? 或者至少据称有能力做到这一点? 这些建议基本上是相同的:看看您的照相馆。 如果那里有任何敏感或机密信息,请勿将其存储在手机上。 或加密。 尽管并不需要付出额外的努力,但这并不困难。 但是黑客入侵或悲惨的软件错误将导致仅电表的照片泄漏。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。
本出版物中显示的对位照片不是本文作者或卡巴斯基实验室所有的特定设备的照片。 该照片仅用于说明目的,由于偶然或故意的信息泄漏而尚未公开。