Google Опции

[hook]

Google также платила пользователям для шпионажа за ними


2
Компания платила вознаграждение за установку приложения Screenwise Meter и предоставление доступа к сетевому трафику. Буквально несколько дней назад SecurityLab сообщал о том, что Facebook уличили в плате пользователям за установку VPN-приложения Facebook Research, позволяющего компании отслеживать всю их активность на телефоне и в Сети. После многочисленных публикаций в СМИ Facebook закрыла iOS-версию Facebook Research. Как оказалось, Facebook была не единственной, кто платил деньги в обмен на данные, - Google также практиковала подобное. Согласно данным издания TechCrunch, компания платила вознаграждение за установку iOS-версии VPN-приложения Screenwise Meter и предоставление доступа к сетевому трафику. По сути, принцип работы Screenwise Meter сходен с приложением Facebook Research. В отличии от Facebook Google более открыта в том, что касается сбора данных пользователей. В приложении Screenwise Meter имеется "гостевой режим" для тех, кто против отслеживания своих данных (хотя злоупотребление режимом может привести отстранению от участия в программе). К тому же, в программе могут принимать участие пользователи от 18 лет и старше, а подростки от 13 до 18 лет - только с разрешения родителей. В прошлом Google уже запускала программы схожие с Screenwise. В 2012 году компания Google организовала программу вознаграждений, предусматривающую использование маршрутизаторов Cisco (так называемый Screenwise Panel) для сбора данных, передаваемых через домашнюю сеть. Программа, позже переименованная в Google Opinion Rewards, активна по сей день. По словам представителей Google, компания уже отключила приложение Screenwise Meter. Как подчеркнули в корпорации, использование приложения является и всегда являлось добровольным, к тому же, пользователи изначально информированы о сборе данных. "У нас нет доступа к зашифрованным данным в приложениях и на устройствах, и пользователи в любой момент могут отказаться от участия в программе", - отметили представители Google.

securitylab.ru

[hook]

Google разработала протокол шифрования данных для бюджетных смартфонов



Протокол Adiantum ориентирован на бюджетные устройства на платформах с малой производительностью. Компания Google представила новый протокол шифрования данных под названием Adiantum, ориентированный на недорогие смартфоны и прочие потребительские устройства, не обладающие мощными процессорами, в том числе «умные» часы и телевизоры. Идея корпорации заключается в том, что устройства в низком ценовом диапазоне работают на бюджетных платформах с малой производительностью, которые не могут справиться с AES шифрованием. В результате запуск приложений занимает больше времени и устройство работает значительно медленнее. Adiantum призван решить данную проблему. Вместо AES протокол использует алгоритм шифрования ChaCha – метод, оптимизированный для базовых двоичных операций, которые быстро может выполнить любой процессор. Для наглядности компания привела пример с производительностю процессорного ядра Cortex-A7. По словам инженеров, производительность в шифровании и дешифровании с использованием Adiantum в секторах размером 4096 байт достигает около 10,6 цикла на байт, что примерно в пять раз быстрее, чем при использовании AES-256-XTS.

securitylab.ru

[hook]

В работе сервисов Google и Gmail произошел сбой



Cбои в работе поисковой системы Google, хранилища файлов Google Drive и электронной почты Gmail зафиксированы в ряде стран мира в среду, 13 марта. Об этом свидетельствуют данные сайта Downdetector, который занимается мониторингом интернет-ресурсов. Перебои начали появляться в 5:13 мск. У 60% пользователей, которые сообщили о неполадках, возникли сложности с авторизацией, еще 37% пожаловались на проблемы с поиском в Google. Жалобы поступали из Японии, Китая, Малайзии, Индонезии, Индии, а также Европы и США. В прошлый раз о сбое в работе сервисов Google сообщалось 29 января. Тогда пользователи пожаловались на проблемы с электронной почтой Gmail.

iz.ru

[hook]

Все новости здесь

[hook]

Google анонсировала две новые функции безопасности в Chrome



Браузер будет по-новому обрабатывать cookie-файлы и защитит пользователей от отслеживания их активности. Google планирует добавить в свой браузер Chrome две новые функции безопасности – поддержку cookie-файлов с одних и тех же сайтов и защиту от сбора цифровых отпечатков. Компания анонсировала обе функции на ежегодной конференции I/O 2019 во вторник, 7 мая. В какой версии Chrome появится дополнительная защита, представители Google не уточнили. Наиболее существенное изменение затронет то, как Chrome обрабатывает cookie-файлы, и будет основываться на стандарте IETF, над которым разработчики Chrome и Mozilla работают уже более трех лет. IETF описывает новый атрибут для внедрения в заголовки HTTP. Атрибут заголовка "SameSite" должен настраиваться владельцем сайта и описывать ситуации, при которых могут загружаться cookie-файлы. Атрибут "strict" будет означать, что cookie-файлы могут загружаться только на одном и том же сайте, а "lax" или "none" – на других сайтах тоже. Другими словами, cookie-файлы будут делиться на "односайтовые" и "многосайтовые". Google надеется, что владельцы обновят свои сайты и конвертируют устаревшие cookie-файлы, используемые для чувствительных операций (авторизации, настройки сайтов и пр.) в новые. Для всех устаревших cookie-файлов без заголовка "SameSite" будет автоматически использоваться атрибут "none", и Chrome по умолчанию будет воспринимать их как "многосайтовые", то есть, используемые для отслеживания

securitylab.ru

[hook]

Apple, Google и Microsoft опубликовали открытое письмо британской спецслужбе



Технологические компании выступили против предложенного Центром правительственной связи фантомного протокола. Международная коалиция, в которую вошли общественные организации, эксперты по безопасности и технологические компании (в том числе Apple, Google, Microsoft и WhatsApp), опубликовала открытое письмо Центру правительственной связи Великобритании, в котором выступила против предложенной ЦПС инициативы по перехвату зашифрованной переписки. По мнению авторов письма, выдвинутое в прошлом году предложение спецслужбы нарушает права человека, несет угрозу безопасности и подрывает доверие граждан. Из открытого письма: «Фантомный протокол ЦПС представляет серьезную угрозу цифровой безопасности: в случае его реализации будет подорван процесс аутентификации, позволяющий пользователям удостовериться, что они общаются именно с тем, с кем думают. Протокол также добавит потенциальные скрытые уязвимости и увеличит риск неправильного и несанкционированного использования систем связи. Наличие угроз кибербезопасности будет означать, что пользователи больше не смогут доверять защите своих коммуникаций, поскольку не будут уверены, что действительно знают, с кем общаются. Таким образом, налицо нарушение основных прав человека, в том числе права на тайну личной жизни и свободу выражения мнения. Более того, в системах связи появятся новые потенциальные уязвимости, и возникнет риск их злонамеренной эксплуатации». Идея предложенного ЦПС фантомного протокола заключается в обеспечении возможности для правоохранительных органов и спецслужб втайне от пользователей добавлять в зашифрованные чаты скрытых собеседников. Предложение было опубликовано для обсуждения прошлой осенью. Авторами инициативы являются специалист Национального центра кибербезопасности Великобритании Иэн Леви (Ian Levy) и представитель ЦПС Криспин Робинсон (Crispin Robinson). По их мнению, подобный «механизм исключительного доступа» может быть встроен в платформы с целью предоставить правоохранителям возможность обходить сквозное шифрование. «Мы не имеем в виду ослабление шифрования или отказ от сквозного шифрования. Речь идет о блокировке уведомлений на целевом устройстве и, возможно, на устройствах собеседников. Это совершенно другое предложение для обсуждения без необходимости трогать шифрование», - заявили авторы проекта

securitylab.ru

[hook]

Google исправила в Android четыре критические уязвимости



Патчи уровней 2019-07-01 и 2019-07-05 в общей сложности исправляют 33 уязвимости. В рамках июльских плановых обновлений безопасности для Android компания Google исправила 33 уязвимости. Патчи уровней 2019-07-01 и 2019-07-05 исправляют уязвимости в системе Android, фреймворке, библиотеке, медиа-фреймворке и компонентах Qualcomm, в том числе с закрытым исходным кодом. «Бюллетень имеет два уровня патчей, что обеспечивает партнерам Android большую маневренность для быстрого исправления групп уязвимостей, одинаковых на всех Android-устройствах», - говорится в бюллетене безопасности. Четыре исправленные уязвимости являются критическими и позволяют удаленно выполнить код. Наиболее опасная уязвимость была исправлена в медиа-фреймворке. С ее помощью злоумышленник может удаленно выполнить произвольный код в контексте привилегированного процесса, используя особым образом сконфигурированный файл. Критические уязвимости CVE-2019-2106 и CVE-2019-2107 затрагивают все версии ОС, начиная от Android 7.0. CVE-2019-2109 затрагивает все версии, начиная от Android 7.0, за исключением Android 9. Уязвимости CVE-2019-2111 подвержены только устройства под управлением Android 9. Остальные проблемы либо связаны с повышением привилегий и раскрытием информации, либо не были классифицированы. Свидетельств их эксплуатации в реальных атаках не обнаружено. Партнеры Android были уведомлены об уязвимостях по крайней мере за месяц до раскрытия их широкой общественности.

securitylab.ru

[hook]

Google заплатит $13 млн за нарушение конфиденциальности частной жизни



Против компании был подан ряд исков о нарушении конфиденциальности. Компания Google готова заплатить 13 миллионов долларов в качестве урегулирования иска о нарушении неприкосновенности частной жизни, рассмотрение которого тянется еще с 2010 года. Судебный процесс был назван одним из самых громких дел о прослушивании в США и грозил интернет-гиганту ущербом в миллиарды долларов, сообщает Bloomberg. Скандал касается использования Google транспортных средств для картографического проекта компании - Street View. Легковые автомобили и грузовики со специальным оборудованием собирали электронные письма, пароли и другую личную информацию, которая передавалась по незащищенным сетям Wi-Fi, принадлежащим десяткам миллионов людей по всему миру. Дело, которое окрестили Wi-Spy, вызвало почти столько же шума, как и скандал вокруг Facebook и Cambridge Analytica. Согласно соглашению, предложенному 19 июля 2019 года, пользователи Wi-Fi, чья информация была собрана Google, не получат индивидуальные выплаты. Исключение составили примерно 20 истцов, которые подали жалобу в качестве коллективного иска. В общей сложности Google должна выплатить 13 миллионов долларов. Компания также обязуется уничтожить все имеющиеся персональные данные, полученные незаконным путем. Еще один иск к корпорации был связан с недостаточной защитой Google информации несовершеннолетних пользователей платформы потокового видео YouTube. Действия компании нарушали Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act), который запрещает отслеживание пользователей младше 13 лет. Проблема была урегулирована путем соглашения с Федеральной торговой комиссией США (US Federal Trade Commission). Компанию ожидает многомиллионный штраф, точная сумма которого пока не раскрывается.

securitylab.ru

[hook]

Google заблокировала в Chrome и Android сертификаты УЦ DarkMatter



Фирму обвиняют в предоставлении услуг шпионажа и взлома репрессивным режимам на Ближнем Востоке. Вслед за Mozilla компания Google заявила о решении запретить в браузере Google Chrome и Android корневые сертификаты, принадлежащие базирующейся в ОАЭ компании DarkMatter. Фирму обвиняют в предоставлении услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке. Как только запрет вступит в силу, сайты, использующие TLS-сертификаты, проданные или выданные УЦ DarkMatter, начнут блокироватся в Chrome и Android-приложениях. Кроме того, Google внесет в блоклист OneCRL шесть промежуточных сертификатов QuoVadis, которые DarkMatter использовала в качестве временного способа выдачи TLS-сертификатов своим клиентам. Многие западные СМИ опубликовали материалы о хакерских операциях, проведенных DarkMatter по поручению правительства ОАЭ против правозащитников, журналистов и иностранных правительств. Компания неоднократно оспаривала данные обвинения. Apple и Microsoft пока не сообщали о планах в отношении сертификатов DarkMatter. В начале июля Mozilla заявила об отказе включать корневые сертификаты компании DarkMatter в корневое хранилище браузера Firefox.

securitylab.ru

[hook]

Google продолжает инвестировать в военные и политические ИИ-технологии



Компания предлагает заинтересованных фирмам доступ к собственным данным по обучению ИИ. Ряд сотрудников Google заявили о том, что компания Google продолжает сотрудничать с Пентагоном и правоохранительными органами США и предоставлять им ультрасовременные технологии разработки средств на базе искусственного интеллекта. Об этом сообщает The Intercept со ссылкой на сотрудников Google, пожелавших сохранить анонимность. Google предоставляет финансовую, технологическую и техническую поддержку ряду стартапов через венчурное подразделение Gradient Ventures, сформированное в 2017 году для поддержки компаний, занимающихся разработкой средств на базе ИИ. Google предлагает заинтересованным фирмам доступ к собственным данным по обучению ИИ, а также помощь инженеров Google в ИИ-проектах. В число заинтересовавшихся предложением входят компании, передающие ультрасовременные технологии разработки средств на базе ИИ, военным и правоохранительным органам. Cogniac, одна из фирм в составе Gradient Ventures, предоставляет армии США программное обеспечение для обработки изображений для быстрого анализа данных о беспилотниках в районах боевых действий, а также в отдел шерифа округа Аризона для определения, когда люди пересекают границу США и Мексики. CAPE Productions, еще один стартап, поддерживаемый Gradient Ventures, зарекомендовал себя как производитель ведущего программного обеспечения на базе искусственного интеллекта, предоставляющего правоохранительным органам возможность управлять беспилотными летательными аппаратами для осуществления воздушного наблюдения за городами США и реагирования на преступления и другие экстренные вызовы. По словам сотрудников Google, работа, предпринимаемая стартапами Gradient Ventures, похоже, обходит обязательства техногиганта тщательно проверять и раскрывать военные и правоохранительные применения технологии ИИ. Сотрудники Google также поделились внутренними электронными письмами компании с The Intercept, в которых говорилось, что все фирмы, поддерживаемые Gradient Ventures, «смогут получить доступ к огромным массам обучающих данных, которые Google накопила для обучения своих собственных систем ИИ». По словам представителей Google, Gradient Ventures является венчурным фондом Google, который вкладывает миноритарные инвестиции (от 1 до 10 миллионов долларов) в компании, находящиеся на начальных этапах разработки технологий ИИ. Компании из группы Gradient Ventures также получают постоянный доступ к общедоступным инструментам данных. «В некоторых случаях такие компании имеют возможность работать с сотрудниками Google, которые консультируют их по различным областям, от методов машинного обучения до дизайна web-сайтов», - отмечают в Google.

securitylab.ru

[hook]

Google предложила инициативу Privacy Sandbox



Новый набор стандартов позволит рекламным компаниям определять интересы пользователя без индивидуальной идентификации. Компания Google сообщила о новой инициативе Privacy Sandbox в рамках которой разрабатывается новый набор открытых стандартов. С их помощью Google стремится создать баланс между конфиденциальностью пользователей и желанием рекламных компаний отслеживать их предпочтения. В последние годы конфронтация между рекламными сетями и защитой конфиденциальности лишь усугубила ситуацию. Например, блокировка используемых для отслеживания Cookie стала причиной разработки альтернативных техник, вроде браузерного фингерпринтинга. Такие методы пытаются идентифицировать пользователя среди других на основе используемых специальных настроек и особенностей оборудования. Новый набор стандартов позволит рекламным компаниям определять интересы пользователя без проведения индивидуальной идентификации. Будут учитываться общие категории интересов, как, например, жанр музыки, однако данные на уровне истории посещения конкретных сайтов останутся не тронутыми. Также специалисты предлагают для предотвращения косвенной идентификации использовать метод Privacy Budget. В рамках этой техники браузер предоставляет лишь часть данных, которые рекламные сети могут использовать для идентификации. Если количество обращений к API превышает допустимый лимит и дальнейшая выдача информации может привести к нарушению анонимности, то доступ к определённым API блокируется.

securitylab.ru

[hook]

Linux, Microsoft и Google создали консорциум по защите данных



Confidential Computing Consortium займется разработкой защищенных вычислительных технологий. Linux Foundation, Microsoft, Google, Alibaba, Arm, Baidu, IBM, Intel, Red Hat, Swisscom и Tencent подписали соглашение о создании консорциума по защите конфиденциальности данных. Новая организация, получившая название Confidential Computing Consortium, займется разработкой стандартов и технологий с открытым исходным кодом с целью стимулировать процесс внедрения защищенных вычислительных технологий. Каждый участник консорциума внесет в проект свой продукт с открытым исходным кодом. В частности, компания Intel предоставила свой прикладной программный интерфейс Software Guard Extensions (SGX) SDK. SGX предназначен для защиты кода и данных от постороннего доступа на аппаратном уровне с помощью защищенных энклавов. В свою очередь Microsoft продвигает собственное ПО Open Enclave SDK – фреймворк с открытым исходным кодом для создания приложений Trusted Execution Environment (TEE). Red Hat внесет в проект технологию Enarx, позволяющую создавать и запускать конфиденциальные приложения, не зависящие от серверов. Консорциум будет состоять из Управляющего совета, Технического консультативного совета и нескольких рабочих групп для контроля над каждым отдельным проектом. Финансирование Confidential Computing Consortium будет осуществляться за счет членских взносов

securitylab.ru

[hook]

Google обвиняется в обмене данными пользователей с сотнями своих партнеров



Разработчики браузера Brave представили новые доказательства незаконного обмена данными пользователей. Разработчики Chromium-браузера Brave заявили об имеющихся у них новых доказательствах нарушения компанией Google европейского законодательства в области защиты данных. Старший директор по политике и отраслевым отношениям Brave Джонни Райан (Johnny Ryan) представил имеющиеся в его распоряжении факты Комиссии по защите данных (Data Protection Commission, DPC) в Ирландии. В мае нынешнего года DPC начала расследование в отношении Google RTB, протокола обмена рекламой, используемого для связи рекламодателей с web-сайтами, продающими их продукцию. В прошлом году Райан подал жалобу на Google в Ирландии и Великобритании, обвинив компанию в нарушении «Общего регламента по защите данных» (GDPR). Согласно жалобе, Google и рекламные компании раскрывали персональные данные в ходе запросов RTB на сайтах, использующих поведенческую рекламу от Google. По словам Райана, техногигант «транслировал» данные сотням своих партнеров, и дальнейшая судьба этих данных была неизвестна. Теперь Райан заявляет, что компания обходит GDPR с помощью файлов cookie под названием google_push (Push Page). По его словам, google_push позволяет рекламщикам обмениваться идентификационными данными профиля пользователя во время загрузки им web-страниц. Каждый Push Page является уникальным, поскольку к URL-адресу страницы добавляется уникальный идентификатор, который в совокупности с остальными файлами cookie позволяет компаниям идентифицировать пользователя. Поведенческая реклама – контекстная реклама, созданная с привязкой к конкретным интересам пользователя.

securitylab.ru

[hook]

YouTube заплатит рекордные $170 млн штрафа за незаконный сбор данных детей



Власти США обвинили YouTube в незаконном использовании данных детей для таргетинга с целью получения прибыли. Компания Google согласилась выплатить рекордные $170 млн штрафа и внести изменения в политики конфиденциальности данных пользователей YouTube, не достигших 13-летнего возраста. Как сообщает The New York Times, Федеральная торговая комиссия США и Генеральная прокуратура штата Нью-Йорк обвинили YouTube в нарушении федерального закона США «О защите конфиденциальности детей в интернете» (Children's Online Privacy Protection Act, COPPA). По данным властей, YouTube намеренно и незаконно собирал персональную информацию детей и использовал ее для таргетинга с целью получения прибыли. Помимо прочего, без согласия родителей сайт собирал идентификационные коды, используемые для отслеживания активности в браузере. В рамках урегулирования спора Google заплатит штраф в размере $170 млн. Из них $136 млн получит Федеральная торговая комиссия, а остальные $34 млн отойдут штату Нью-Йорк. Данный штраф является самым крупным гражданским штрафом из всех, когда-либо получаемых торговой комиссией в деле о защите конфиденциальности детей. Сумма предыдущего рекордного штрафа составляла $5,7 млн. Именно столько в нынешнем году заплатили разработчики приложения для обмена видео TikTok за нарушение COPPA. В рамках урегулирования спора Google также согласилась разработать систему, позволяющую владельцам YouTube-каналов помечать контент, предназначенный для детей, чтобы YouTube знал, где не нужно размещать таргетированную рекламу. Кроме того, YouTube обязался запрашивать разрешение у родителей перед сбором или обменом данными детей, в том числе именами и фотографиями.

securitylab.ru

[hook]

Google предупредила об уязвимости во «встроенном ключе безопасности» Chrome OS



Эксплуатация уязвимости позволяет удаленно подделать ключ безопасности пользователя. Компания Google предупредила владельцев ноутбуков Chromebook об опасной уязвимости в экспериментальной функции Chrome OS под названием «встроенный ключ безопасности», выполняющей процедуры универсальной двухфакторной аутентификации (Universal 2nd Factor, U2F). Данная функция позволяет использовать устройство Chromebook аналогично аппаратному ключу безопасности USB/NFC/Bluetooth. Функция может использоваться при регистрации или авторизации на сайте. Пользователи могут нажать кнопку питания Chromebook, которая отправит на сайт криптографический токен, аналогичный классическому аппаратному ключу. Однако вместо ключа на основе USB, NFC или Bluetooth пользователь использует свой Chromebook в качестве доказательства владения и удостоверения личности. Специалисты из Google обнаружили уязвимость в прошивке микросхем H1 версии 0.3.14 и более ранних, которые используются для обработки криптографических операций функции «встроенный ключ безопасности». Прошивка чипа неправильно обрабатывает некоторые операции и случайно урезает длину некоторых криптографических подписей, облегчая их взлом. Злоумышленники, получившие «пару подписи/подписанные данные», могут удаленно подделать ключ безопасности пользователя. Но даже если преступники получат подписи и закрытый ключ для создания других подписей, они обойдут только второй фактор в процессе классической двухфакторной аутентификации. Злоумышленникам по-прежнему нужно знать логин или пароль пользователя для взлома учетных записей. Google исправила данную уязвимость в июне нынешнего года с выпуском версии Chrome OS 75.

securitylab.ru

[hook]

Тысячи Google Календарей раскрывают конфиденциальную информацию



Исследователь смог не только просматривать записи, но также делать новые, в том числе содержащие вредоносные ссылки. Пользователи сервиса Google Календарь часто делают свои записи доступными третьим сторонам, не задумываясь, что таким образом любой желающий может получить доступ к их конфиденциальной информации, в том числе к запланированным встречам, событиям и мероприятиям. По словам исследователя безопасности компании Grofers Авинаша Джайна (Avinash Jain), ему удалось получить доступ к 8 тыс. чужих календарей с помощью одного лишь поисковика Google. Исследователь мог не только просматривать запланированные события, но также делать новые записи, в том числе содержащие поддельную информацию и вредоносные ссылки. «Я мог получить доступ к открытым календарям различных организаций, раскрывающим конфиденциальную информацию, такую как идентификаторы электронных адресов, названия мероприятий, подробности о мероприятиях, места проведения, ссылки на встречи, ссылки на встречи в Zoom, ссылки на Google Hangouts, ссылки на внутренние презентации и прочее», - сообщил Джайн. Возможность делать календарь открытым с целью предоставления доступа к нему другим пользователям является предусмотренной, весьма удобной функцией, и в том, что исследователь смог получить доступ к чужой конфиденциальной информации, вины Google нет. Скорее, здесь налицо недочет со стороны компании, не позаботившейся о том, чтобы предупредить пользователей о возможных рисках, считает исследователь. Кроме того, в интерфейсе календаря отсутствует какой-либо индикатор, указывающий на доступность данных всем желающим. С помощью особых поисковых запросов (Google Dork) можно за считанные секунды создать список всех открытых календарей и получить доступ к конфиденциальной информации, в том числе компаний из топ-500 Alexa. Напомним, не так давно «Лаборатория Касперского» предупредила пользователей Google Календаря об участившихся атаках спамеров. Поскольку сервис позволяет любому назначать встречу пользователю, о чем ему приходит соответствующее уведомление, мошенники массово ринулись назначать встречи. Текст спам-сообщения они добавляют в поля «Тема мероприятия» и «Где». Как правило, это поддельные уведомления о выигрыше или денежном вознаграждении, содержащие вредоносную ссылку.

securitylab.ru

[hook]

Смарт-телевизоры передают данные пользователей Google и Facebook



Устройства передают данные о местоположении и использовании сторонним рекламодателям. «Умные» телевизоры передают данные пользователей технологическим компаниям, в том числе Netflix, Google и Facebook, даже когда не используются. К такому выводу пришли специалисты по результатам двух масштабных исследований. Как выяснили ученые Северо-Восточного университета (США) и Имперского колледжа Лондона (Великобритания), некоторые модели смарт-телевизоров, включая Samsung и LG, а также стриминговые устройства Roku и Amazon FireTV отправляют данные о местоположении и другую информацию компании Netflix и сторонним рекламодателям. Данные отправляются независимо от того, подписан пользователь на Netflix или нет. Исследователи также обнаружили, что другие смарт-устройства, в том числе аудиоколонки и камеры, отправляют данные пользователей десяткам компаний, включая Spotify и Microsoft. В ходе отдельного исследования, посвященного смарт-телевизорам, ученые Принстонского университета (США) выявили , что некоторые поддерживаемые Roku и Amazon FireTV приложения отправляют данные, такие как специальные идентификаторы пользователей, компании Google и пр. Специалисты Северо-Восточного университета изучили 81 смарт-устройство. По словам одного из авторов исследования Дэвида Чоффнеса (David Choffnes), Amazon «контактирует» с большей частью устройств. «Это значит, что Amazon может получить много информации о том, что вы делаете с устройствами у себя дома, в том числе с устройствами от других производителей. У них также есть полная картина того, что делают их конкуренты», - сообщил Чоффнес. Как показал анализ сетевого трафика, третьи стороны получают информацию о том, какими устройствами пользуются люди, где они находятся и, возможно, когда используют эти устройства. Поскольку часть трафика была зашифрована, исследователи не смогли определить, какие еще данные передают устройства.

securitylab.ru

[hook]

Google выпустила срочное обновление для Chrome



Компания Google выпустила срочное обновление программного обеспечения для браузера Chrome и настоятельно рекомендует пользователям Windows, Mac и Linux обновить приложение до последней доступной версии. Последняя версия Chrome 77.0.3865.90 исправляет 4 опасных уязвимости, наиболее серьезная из которых может позволить злоумышленникам получить удаленный контроль над системой. Компания Google решила не раскрывать подробности данных уязвимостей еще несколько дней, чтобы предотвратить их эксплуатацию злоумышленникам и дать пользователям достаточно времени для установки обновления Chrome. Как сообщила команда безопасности Chrome, все четыре уязвимости (CVE-2019-13685, CVE-2019-13688, CVE-2019-13687 и CVE-2019-1368) являются ошибками использования после освобождения в различных компонентах web-браузера. Успешная эксплуатация данных уязвимостей может позволить злоумышленнику выполнить произвольный код в контексте браузера, убедив жертву открыть специально созданную web-страницу или перенаправить на нее в уязвимом браузере Chrome. Проблемы также могут привести к раскрытию конфиденциальной информации, обходу ограничений безопасности, несанкционированным действиям и отказу в обслуживании в зависимости от привилегий, связанных с приложением. Хотя Google Chrome автоматически уведомляет пользователей о последней доступной версии, пользователям рекомендуется вручную запустить процесс обновления, выбрав в меню «Справка → О Google Chrome».

securitylab.ru

[hook]

Режим инкогнито в Google Картах уже доступен для тестировщиков



Участникам программы предварительного тестирования Google Карт функция доступна в версии приложения 10.26 и более поздних. Как известно, Google уже некоторое время работает над режимом инкогнито для своего картографического сервиса, и теперь работа, похоже, близится к завершению. Участникам программы предварительного тестирования Google Карт новая функция уже доступна в версии приложения 10.26 и более поздних. Широкая публика сможет воспользоваться ею в течение ближайших месяцев (точная дата пока неизвестна). Новая функция работает как и предполагалось – не дает сервису отслеживать и сохранять в учетной записи Google поисковые запросы и местоположение пользователей. При включенном режиме инкогнито приложение не будет сохранять адреса, места назначения и другие вводимые через его интерфейс данные. Пользователям также не будут приходить уведомления и обновления истории посещений. Более того, Google Карты не смогут использовать данные пользователей для персонализации приложения (например, сохранять места назначения для повторного использования в будущем). Как и в Google Chrome, при включенном режиме инкогнито в Google Картах строка статуса становится темной, а вверху появляется соответствующее уведомление. Похоже, новая функция также появится в приложении Android Auto, что неудивительно, поскольку Google Карты являются в нем главным навигационным сервисом.

securitylab.ru

[hook]

В Chrome обнаружены поддельные расширения AdBlock и uBlock



Компания Google удалила поддельные расширения AdBlock и uBlock из магазина для Chrome. Google отказалась от двух расширений для Chrome, предназначенных для блокировки рекламы. Дело в том, что двумя днями ранее компания AdGuard обнаружила поддельные блокировщики рекламы AdBlock и uBlock. Как пояснил технический директор компании Андрей Мешков, названия вышеупомянутых расширений слишком похожи на названия других популярных блокировщиков Adblock Plus и uBlock Origin, и пользователи могут их путать. В письме журналистам The Register представители Google подтвердили, что AdBlock и uBlock были удалены из магазина расширений для Chrome, однако отказались объяснить почему. Также неясно, почему в магазине приложений возможно сосуществование расширений с похожими, вводящими в заблуждение названиями. Однако, как отметил Мешков, дело не только в схожести названий. AdBlock и uBlock содержат коды для атаки вида cookie stuffing, предполагающей незаметное для пользователя добавление в сеанс браузера сторонних файлов cookie с целью незаконного получения прибыли от интернет-магазинов. Более того, расширения содержат инструмент, отключающий cookie stuffing, если открывается консоль разработчика. По словам специалиста, в течение первых 55 часов после установки AdBlock и uBlock работают как положено и лишь потом начинают вредоносную активность. Как подсчитал Мешков, совокупная аудитория расширений составляет более 1,6 млн активных пользователей в неделю. Благодаря такому большому количеству пользователей разработчики AdBlock и uBlock «зарабатывают» на cookie stuffing миллионы долларов в месяц.

securitylab.ru

[hook]

Подрядчики Google обманом собирали фото прохожих для улучшения системы распознания лиц Pixel 4



Google временно нанимала сотрудников для сбора биометрических данных у разных людей на улице. В обмен на сканирование лица сотрудники предлагали сертификат на $5 в Starbucks. Об этом сообщает издание Daily News. По словам подрядчиков, их наняло агентство Randstad и отправило на улицы Атланты, кампусы колледжей и фестивали в Лос-Анджелесе в поисках бездомных и студентов. Руководители проекта приказали подрядчикам искать разных людей и самыми разными способами скрывать тот факт, что лица людей сканировались, отвлекая и обманывая их. Часть подрядчиков просила прохожих «поиграть с телефоном пару минут», «протестировать новое приложение» или «сыграть в селфи-игру» в обмен сертификат на $5. В это время смартфон собирал биометрические данные. Участников также отвлекали для того, чтобы они не прочитали соглашение о предоставлении Google своих биометрических данных. Как говорится в соглашении, компания может хранить данные сканирования «столько, сколько нужно для достижения целей, предположительно, на протяжение следующих пяти лет». Данное соглашение также позволяет Google «агрегировать данные исследований» и сделать их анонимными, позволяя хранить их, использовать или передавать третьим лицам. Представитель Google заявил, что на основании обвинений компания «проведет серьезное расследование», поскольку такая практика «получения согласия нарушает требования для волонтеров и противоречит подготовке», которую им предоставили. Randstad не прокомментировала ситуацию. «Мы регулярно проводим волонтерские исследования. Для недавних исследований, включающих сбор образцов лица для обучения машинному обучению, есть две цели. Во-первых, мы хотим встроить справедливость в функцию разблокировки лица Pixel 4. Очень важно, чтобы у нас был разнообразный образец, который является важной частью создания инклюзивного продукта. Во-вторых, безопасность. Разблокировка лица Pixel 4 станет новой мощной мерой безопасности, и мы хотим, чтобы она защищала как можно более широкий круг людей», — сказал представитель компании Google.

securitylab.ru

[hook]

Австралийские власти подали в суд на Google за введение пользователей в заблуждение



По мнению комиссии по вопросам защиты потребителей, Google должным образом не объяснила пользователям, как отключить сбор данных геолокации. Австралийская комиссия по вопросам конкуренции и защиты потребителей подала в суд на Google, обвинив американскую компанию в том, что она «вводит в заблуждение» пользователей относительно использования их персональных данных. По словам регулятора, Google дезинформировала владельцев Android-устройств по поводу сбора и использования данных об их местоположении, сообщает издание The Sydney Morning Herald. Компания дала им ложное чувство, будто они могут отключить сбор геолокационных данных, деактивировав функцию «История местоположений» в настройках. Однако данные геолокации все равно собираются, если включена функция «Активность Сети и приложений». Как считает комиссия, Google должным образом не объяснила пользователям, что для блокировки отслеживания местоположения должны быть отключены обе функции, и тем самым ввела их в заблуждение. «Мы подаем на Google в суд, так как, по нашему мнению, из-за формы представления информации на экране Google собирает, хранит и использует чрезвычайно чувствительную и ценную персональную информацию о местоположении пользователей, не дав им возможности сделать свой выбор осознанно», - говорится в сообщении регулятора. В своем исковом заявлении комиссия требует от Google уплаты штрафа, признания совей ошибки и предоставления пользователям четкой и достоверной информации об использовании их данных. Австралийская комиссия по вопросам конкуренции и защиты потребителей – независимый правительственный орган, подведомственный казначейству Австралии. Комиссия занимается защитой прав потребителей, бизнес-прав и обязанностей, регулированием промышленности, мониторингом цен и предотвращением незаконного антиконкурентного поведения. Комиссия также уполномочена возбуждать судебные иски против компаний, нарушающих закон «О торговой практике».

securitylab.ru

[hook]

Google попыталась оправдать свою программу по сбору данных пациентов



Как уверяет компания, сбор данных пациентов больниц Ascension осуществлялся в рамках договора о деловом сотрудничестве. Компания Google предприняла запоздалую попытку оправдать свой «Проект Найтингейл» (Project Nightingale), в рамках которого она собирала медицинские данные пациентов в США. Как сообщает Google, сбор данных пациентов сети больниц Ascension осуществлялся на законных основаниях в рамках договора о деловом сотрудничестве. Договор разрешает обмениваться некоторыми данными пациентов в соответствии с действующим законодательством. Согласно сообщению Google, доступ к персонализированным данным был только у избранных сотрудников, прошедших обучение закону «О мобильности и подотчетности медицинского страхования» (HIPAA) и медицинской этике. Более того, эти сотрудники индивидуально одобрены Ascension и имели доступ к данным в течение ограниченного периода времени. Доступ к данным контролируется, также проводится их аудит с целью обеспечения защиты от утечки, уверяет Google. «Согласно нашему договору о деловом сотрудничестве с Ascension, данные пациентов не могут использоваться в каких-либо иных целях, кроме как для улучшения наших сервисов. Это значит, что они не могут использоваться для рекламы. Мы также опубликовали официальный документ о том, как данные клиентов шифруются и изолируются в облаке», - сообщает Google. Если верить Google, данные пациентов используются только для улучшения работы сервиса Google Health и никогда для рекламы. Однако представителей Конгресса США ответ компании не удовлетворил. По их мнению, договор между Google и Ascension вызывает опасения, поскольку последняя не предупреждает о нем своих пациентов. Представители Конгресса потребовали от компании предоставить дополнительные сведения по данному вопросу до 6 декабря нынешнего года.

securitylab.ru