上周,安全专家Avinash Jain在公共领域的Google Calendar服务中发现了数百个用户日历(
新闻 ,原始
博客文章 )。 此类日历由搜索服务建立索引,并且在Google本身中可以通过简单的请求(如
inurl)访问:https://calendar.google.com/calendar?Cid = 。
由于日历设置中的一个基本错误,有关会议,电话会议和重要谈判的信息被公开了:与所有人共享日历而不是与特定用户共享数据。 Google对这个故事发表了评论,说他们与此无关,用户的行为是自愿的。 但是,一周后,大多数搜索结果仍然消失了。
这不是第一次讨论此类问题,而是试图找到一个极端:接口的开发人员误导用户,或者用户本身不知道他们在做什么。 关键不是要归咎于谁,而是事实是,即使是简单的数据保护错误也必须得到解决。 尽管它们不像复杂的漏洞那样有趣。 在过去一周中,一次出现了一些基本的错误计算示例:在LastPass密码管理器中,在iPhone锁屏中(再次!),以及在Google Chrome扩展程序存储中,该外观允许出现恶意的广告阻止程序。
让我们从iPhone的锁屏开始。 研究人员何塞·罗德里格斯(Jose Rodriguez)于今年夏天在基于iOS 13的设备锁定系统中发现了一个漏洞,当时最新版的苹果移动操作系统已经过Beta测试。 然后他报告了苹果的问题,但是iOS 13上周没有补丁就投入了生产。 利用此漏洞,您只能查看电话上的联系人,并且需要对设备进行物理访问。 视频中显示了绕过锁定屏幕的过程。 简而言之,您需要拨打电话,选择选项以通过消息接听电话,打开VoiceOver功能,关闭VoiceOver功能,之后便可以向该消息中添加其他收件人。 然后,您会在别人的电话上获得完整的联系人列表。
在iOS的整个历史中,存在许多此类错误。 相同的Rodriguez在iOS
12.1中发现了至少三个类似的问题(将来电转移到视频模式,之后您可以添加其他参与者,从而可以访问通讯簿),
12 (相同的VoiceOver可以访问电话中的照片)和
9.0-9.1 (通过对Siri语音助手的命令完全访问电话)。 据研究人员称,新问题将在本月底发布的iOS 13.1中解决。
在LastPass密码管理器中发现并关闭了一个稍微复杂的问题(
news ,
bugreport )。 Google Project Zero小组的研究人员Tavis Ormandy找到了一种方法,可以窃取在浏览器中输入的最后一个登录名和密码。 问题很简单,但是操作却非常复杂:您不仅需要诱使用户进入准备好的网页,还需要迫使其单击几次,以便密码自动输入到攻击者的表单中。 在用于在新窗口中打开页面的非标准(但已使用)脚本中,浏览器的LastPass扩展名未检查页面URL并替代了上次使用的数据。 9月13日,该漏洞已
关闭 。
LastPass时事通讯提供了一个有用的技巧:安装安全系统无须放松。 特别是,您可能会在Chrome浏览器中安装错误的浏览器扩展程序而犯错。 9月18日,Google从Chrome扩展程序目录中
删除了两个模仿官方Adblock Plus和uBlock Origin广告拦截器的插件。 假冒
阻止程序在
AdGuard博客中进行了详细说明。
伪扩展名完全复制了原始功能,但添加了cookie填充技术。 对于许多在线商店,安装此扩展程序的用户都被确定为通过引荐链接来的。 如果在商店进行了购买,则“客户驱动器”的佣金已发送给扩展程序的作者。 假冒拦截器还试图隐藏恶意活动:广告仅在安装扩展程序后的55小时开始,并在开发者控制台打开时停止。 这两个扩展程序均已从Google Chrome浏览器目录中删除,但已有超过一百五十万用户使用过。 去年,同一家AdGuard公司还
宣布了 5个伪造的扩展程序,它们具有跟踪用户的能力,总共安装了超过1000万次。
免责声明:本摘要中表达的观点可能与卡巴斯基实验室的官方立场不符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。