Google Опции

[hook]

Google также платила пользователям для шпионажа за ними


2
Компания платила вознаграждение за установку приложения Screenwise Meter и предоставление доступа к сетевому трафику. Буквально несколько дней назад SecurityLab сообщал о том, что Facebook уличили в плате пользователям за установку VPN-приложения Facebook Research, позволяющего компании отслеживать всю их активность на телефоне и в Сети. После многочисленных публикаций в СМИ Facebook закрыла iOS-версию Facebook Research. Как оказалось, Facebook была не единственной, кто платил деньги в обмен на данные, - Google также практиковала подобное. Согласно данным издания TechCrunch, компания платила вознаграждение за установку iOS-версии VPN-приложения Screenwise Meter и предоставление доступа к сетевому трафику. По сути, принцип работы Screenwise Meter сходен с приложением Facebook Research. В отличии от Facebook Google более открыта в том, что касается сбора данных пользователей. В приложении Screenwise Meter имеется "гостевой режим" для тех, кто против отслеживания своих данных (хотя злоупотребление режимом может привести отстранению от участия в программе). К тому же, в программе могут принимать участие пользователи от 18 лет и старше, а подростки от 13 до 18 лет - только с разрешения родителей. В прошлом Google уже запускала программы схожие с Screenwise. В 2012 году компания Google организовала программу вознаграждений, предусматривающую использование маршрутизаторов Cisco (так называемый Screenwise Panel) для сбора данных, передаваемых через домашнюю сеть. Программа, позже переименованная в Google Opinion Rewards, активна по сей день. По словам представителей Google, компания уже отключила приложение Screenwise Meter. Как подчеркнули в корпорации, использование приложения является и всегда являлось добровольным, к тому же, пользователи изначально информированы о сборе данных. "У нас нет доступа к зашифрованным данным в приложениях и на устройствах, и пользователи в любой момент могут отказаться от участия в программе", - отметили представители Google.

securitylab.ru

[hook]

Google разработала протокол шифрования данных для бюджетных смартфонов



Протокол Adiantum ориентирован на бюджетные устройства на платформах с малой производительностью. Компания Google представила новый протокол шифрования данных под названием Adiantum, ориентированный на недорогие смартфоны и прочие потребительские устройства, не обладающие мощными процессорами, в том числе «умные» часы и телевизоры. Идея корпорации заключается в том, что устройства в низком ценовом диапазоне работают на бюджетных платформах с малой производительностью, которые не могут справиться с AES шифрованием. В результате запуск приложений занимает больше времени и устройство работает значительно медленнее. Adiantum призван решить данную проблему. Вместо AES протокол использует алгоритм шифрования ChaCha – метод, оптимизированный для базовых двоичных операций, которые быстро может выполнить любой процессор. Для наглядности компания привела пример с производительностю процессорного ядра Cortex-A7. По словам инженеров, производительность в шифровании и дешифровании с использованием Adiantum в секторах размером 4096 байт достигает около 10,6 цикла на байт, что примерно в пять раз быстрее, чем при использовании AES-256-XTS.

securitylab.ru

[hook]

В работе сервисов Google и Gmail произошел сбой



Cбои в работе поисковой системы Google, хранилища файлов Google Drive и электронной почты Gmail зафиксированы в ряде стран мира в среду, 13 марта. Об этом свидетельствуют данные сайта Downdetector, который занимается мониторингом интернет-ресурсов. Перебои начали появляться в 5:13 мск. У 60% пользователей, которые сообщили о неполадках, возникли сложности с авторизацией, еще 37% пожаловались на проблемы с поиском в Google. Жалобы поступали из Японии, Китая, Малайзии, Индонезии, Индии, а также Европы и США. В прошлый раз о сбое в работе сервисов Google сообщалось 29 января. Тогда пользователи пожаловались на проблемы с электронной почтой Gmail.

iz.ru

[hook]

Все новости здесь

[hook]

Google анонсировала две новые функции безопасности в Chrome



Браузер будет по-новому обрабатывать cookie-файлы и защитит пользователей от отслеживания их активности. Google планирует добавить в свой браузер Chrome две новые функции безопасности – поддержку cookie-файлов с одних и тех же сайтов и защиту от сбора цифровых отпечатков. Компания анонсировала обе функции на ежегодной конференции I/O 2019 во вторник, 7 мая. В какой версии Chrome появится дополнительная защита, представители Google не уточнили. Наиболее существенное изменение затронет то, как Chrome обрабатывает cookie-файлы, и будет основываться на стандарте IETF, над которым разработчики Chrome и Mozilla работают уже более трех лет. IETF описывает новый атрибут для внедрения в заголовки HTTP. Атрибут заголовка "SameSite" должен настраиваться владельцем сайта и описывать ситуации, при которых могут загружаться cookie-файлы. Атрибут "strict" будет означать, что cookie-файлы могут загружаться только на одном и том же сайте, а "lax" или "none" – на других сайтах тоже. Другими словами, cookie-файлы будут делиться на "односайтовые" и "многосайтовые". Google надеется, что владельцы обновят свои сайты и конвертируют устаревшие cookie-файлы, используемые для чувствительных операций (авторизации, настройки сайтов и пр.) в новые. Для всех устаревших cookie-файлов без заголовка "SameSite" будет автоматически использоваться атрибут "none", и Chrome по умолчанию будет воспринимать их как "многосайтовые", то есть, используемые для отслеживания

securitylab.ru

[hook]

Apple, Google и Microsoft опубликовали открытое письмо британской спецслужбе



Технологические компании выступили против предложенного Центром правительственной связи фантомного протокола. Международная коалиция, в которую вошли общественные организации, эксперты по безопасности и технологические компании (в том числе Apple, Google, Microsoft и WhatsApp), опубликовала открытое письмо Центру правительственной связи Великобритании, в котором выступила против предложенной ЦПС инициативы по перехвату зашифрованной переписки. По мнению авторов письма, выдвинутое в прошлом году предложение спецслужбы нарушает права человека, несет угрозу безопасности и подрывает доверие граждан. Из открытого письма: «Фантомный протокол ЦПС представляет серьезную угрозу цифровой безопасности: в случае его реализации будет подорван процесс аутентификации, позволяющий пользователям удостовериться, что они общаются именно с тем, с кем думают. Протокол также добавит потенциальные скрытые уязвимости и увеличит риск неправильного и несанкционированного использования систем связи. Наличие угроз кибербезопасности будет означать, что пользователи больше не смогут доверять защите своих коммуникаций, поскольку не будут уверены, что действительно знают, с кем общаются. Таким образом, налицо нарушение основных прав человека, в том числе права на тайну личной жизни и свободу выражения мнения. Более того, в системах связи появятся новые потенциальные уязвимости, и возникнет риск их злонамеренной эксплуатации». Идея предложенного ЦПС фантомного протокола заключается в обеспечении возможности для правоохранительных органов и спецслужб втайне от пользователей добавлять в зашифрованные чаты скрытых собеседников. Предложение было опубликовано для обсуждения прошлой осенью. Авторами инициативы являются специалист Национального центра кибербезопасности Великобритании Иэн Леви (Ian Levy) и представитель ЦПС Криспин Робинсон (Crispin Robinson). По их мнению, подобный «механизм исключительного доступа» может быть встроен в платформы с целью предоставить правоохранителям возможность обходить сквозное шифрование. «Мы не имеем в виду ослабление шифрования или отказ от сквозного шифрования. Речь идет о блокировке уведомлений на целевом устройстве и, возможно, на устройствах собеседников. Это совершенно другое предложение для обсуждения без необходимости трогать шифрование», - заявили авторы проекта

securitylab.ru

[hook]

Google исправила в Android четыре критические уязвимости



Патчи уровней 2019-07-01 и 2019-07-05 в общей сложности исправляют 33 уязвимости. В рамках июльских плановых обновлений безопасности для Android компания Google исправила 33 уязвимости. Патчи уровней 2019-07-01 и 2019-07-05 исправляют уязвимости в системе Android, фреймворке, библиотеке, медиа-фреймворке и компонентах Qualcomm, в том числе с закрытым исходным кодом. «Бюллетень имеет два уровня патчей, что обеспечивает партнерам Android большую маневренность для быстрого исправления групп уязвимостей, одинаковых на всех Android-устройствах», - говорится в бюллетене безопасности. Четыре исправленные уязвимости являются критическими и позволяют удаленно выполнить код. Наиболее опасная уязвимость была исправлена в медиа-фреймворке. С ее помощью злоумышленник может удаленно выполнить произвольный код в контексте привилегированного процесса, используя особым образом сконфигурированный файл. Критические уязвимости CVE-2019-2106 и CVE-2019-2107 затрагивают все версии ОС, начиная от Android 7.0. CVE-2019-2109 затрагивает все версии, начиная от Android 7.0, за исключением Android 9. Уязвимости CVE-2019-2111 подвержены только устройства под управлением Android 9. Остальные проблемы либо связаны с повышением привилегий и раскрытием информации, либо не были классифицированы. Свидетельств их эксплуатации в реальных атаках не обнаружено. Партнеры Android были уведомлены об уязвимостях по крайней мере за месяц до раскрытия их широкой общественности.

securitylab.ru

[hook]

Google заплатит $13 млн за нарушение конфиденциальности частной жизни



Против компании был подан ряд исков о нарушении конфиденциальности. Компания Google готова заплатить 13 миллионов долларов в качестве урегулирования иска о нарушении неприкосновенности частной жизни, рассмотрение которого тянется еще с 2010 года. Судебный процесс был назван одним из самых громких дел о прослушивании в США и грозил интернет-гиганту ущербом в миллиарды долларов, сообщает Bloomberg. Скандал касается использования Google транспортных средств для картографического проекта компании - Street View. Легковые автомобили и грузовики со специальным оборудованием собирали электронные письма, пароли и другую личную информацию, которая передавалась по незащищенным сетям Wi-Fi, принадлежащим десяткам миллионов людей по всему миру. Дело, которое окрестили Wi-Spy, вызвало почти столько же шума, как и скандал вокруг Facebook и Cambridge Analytica. Согласно соглашению, предложенному 19 июля 2019 года, пользователи Wi-Fi, чья информация была собрана Google, не получат индивидуальные выплаты. Исключение составили примерно 20 истцов, которые подали жалобу в качестве коллективного иска. В общей сложности Google должна выплатить 13 миллионов долларов. Компания также обязуется уничтожить все имеющиеся персональные данные, полученные незаконным путем. Еще один иск к корпорации был связан с недостаточной защитой Google информации несовершеннолетних пользователей платформы потокового видео YouTube. Действия компании нарушали Закон о защите конфиденциальности детей в Интернете (Children's Online Privacy Protection Act), который запрещает отслеживание пользователей младше 13 лет. Проблема была урегулирована путем соглашения с Федеральной торговой комиссией США (US Federal Trade Commission). Компанию ожидает многомиллионный штраф, точная сумма которого пока не раскрывается.

securitylab.ru

[hook]

Google заблокировала в Chrome и Android сертификаты УЦ DarkMatter



Фирму обвиняют в предоставлении услуг шпионажа и взлома репрессивным режимам на Ближнем Востоке. Вслед за Mozilla компания Google заявила о решении запретить в браузере Google Chrome и Android корневые сертификаты, принадлежащие базирующейся в ОАЭ компании DarkMatter. Фирму обвиняют в предоставлении услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке. Как только запрет вступит в силу, сайты, использующие TLS-сертификаты, проданные или выданные УЦ DarkMatter, начнут блокироватся в Chrome и Android-приложениях. Кроме того, Google внесет в блоклист OneCRL шесть промежуточных сертификатов QuoVadis, которые DarkMatter использовала в качестве временного способа выдачи TLS-сертификатов своим клиентам. Многие западные СМИ опубликовали материалы о хакерских операциях, проведенных DarkMatter по поручению правительства ОАЭ против правозащитников, журналистов и иностранных правительств. Компания неоднократно оспаривала данные обвинения. Apple и Microsoft пока не сообщали о планах в отношении сертификатов DarkMatter. В начале июля Mozilla заявила об отказе включать корневые сертификаты компании DarkMatter в корневое хранилище браузера Firefox.

securitylab.ru

[hook]

Google продолжает инвестировать в военные и политические ИИ-технологии



Компания предлагает заинтересованных фирмам доступ к собственным данным по обучению ИИ. Ряд сотрудников Google заявили о том, что компания Google продолжает сотрудничать с Пентагоном и правоохранительными органами США и предоставлять им ультрасовременные технологии разработки средств на базе искусственного интеллекта. Об этом сообщает The Intercept со ссылкой на сотрудников Google, пожелавших сохранить анонимность. Google предоставляет финансовую, технологическую и техническую поддержку ряду стартапов через венчурное подразделение Gradient Ventures, сформированное в 2017 году для поддержки компаний, занимающихся разработкой средств на базе ИИ. Google предлагает заинтересованным фирмам доступ к собственным данным по обучению ИИ, а также помощь инженеров Google в ИИ-проектах. В число заинтересовавшихся предложением входят компании, передающие ультрасовременные технологии разработки средств на базе ИИ, военным и правоохранительным органам. Cogniac, одна из фирм в составе Gradient Ventures, предоставляет армии США программное обеспечение для обработки изображений для быстрого анализа данных о беспилотниках в районах боевых действий, а также в отдел шерифа округа Аризона для определения, когда люди пересекают границу США и Мексики. CAPE Productions, еще один стартап, поддерживаемый Gradient Ventures, зарекомендовал себя как производитель ведущего программного обеспечения на базе искусственного интеллекта, предоставляющего правоохранительным органам возможность управлять беспилотными летательными аппаратами для осуществления воздушного наблюдения за городами США и реагирования на преступления и другие экстренные вызовы. По словам сотрудников Google, работа, предпринимаемая стартапами Gradient Ventures, похоже, обходит обязательства техногиганта тщательно проверять и раскрывать военные и правоохранительные применения технологии ИИ. Сотрудники Google также поделились внутренними электронными письмами компании с The Intercept, в которых говорилось, что все фирмы, поддерживаемые Gradient Ventures, «смогут получить доступ к огромным массам обучающих данных, которые Google накопила для обучения своих собственных систем ИИ». По словам представителей Google, Gradient Ventures является венчурным фондом Google, который вкладывает миноритарные инвестиции (от 1 до 10 миллионов долларов) в компании, находящиеся на начальных этапах разработки технологий ИИ. Компании из группы Gradient Ventures также получают постоянный доступ к общедоступным инструментам данных. «В некоторых случаях такие компании имеют возможность работать с сотрудниками Google, которые консультируют их по различным областям, от методов машинного обучения до дизайна web-сайтов», - отмечают в Google.

securitylab.ru