Работа в Стамбуле

Метка: монетизация YouTube

  • Google Chrome начал предупреждать пользователей о попытках MitM-атак

    Google Chrome начал предупреждать пользователей о попытках MitM-атак

    Стало известно, что браузер Google Chrome 63 получил новый защитный механизм, который предупреждает пользователей, если некий нарушитель вдруг попытается осуществить атаку Man-in-the-Middle («человек посередине», MitM) и перехватить трафик.

    Как известно, для нарушителя, осуществляющего MitM-атаку, наиболее сложной частью является работа с зашифрованным HTTPS-трафиком. В большинстве случаев попытка перехвата и «перезаписи» зашифрованного соединения, приводит к возникновению множества SSL-ошибок, которые, как оказалось, теперь уже умеет сможет обнаруживать Google Chrome.

    Новая функция уже предупреждает пользователей о подозрительной активности посредством специального сообщения. Такое предупреждение появляется, если браузер зафиксирует слишком много ошибок в SSL за короткий промежуток времени, ведь, как правило, это означает, что нарушитель или спецслужбы пытаются перехватить трафик.

    Однако, что для антивирусов и брандмауэров предупреждение срабатывать не будет, так как в отличие от малвари, они не провоцируют множества мелких сбоев в SSL. Прогнозируемое число ложноположительных срабатываний не должно превышать 5%.

    Известно, что новая функция была создана студенткой Стэнфорда Сашей Периго (Sasha Perigo) во время ее стажировки в Google.

    Релиз Google Chrome 63 был запланирован на начало декабря 2017 года, но новую функцию ещё раньще представили в Google Canary (ветке для разработчиков). Хотя функция не включена по умолчанию, ее можно легко активировать в настройках. Достаточно открыть вкладку Shortcut и добавить в поле Target следующий текст «—enable-features=MITMSoftwareInterstitial».

    Chrome MitM error setup configuration

  • Google начал блокировку своих служб для несертифицированных устройств

    Google начал блокировку своих служб для несертифицированных устройств

    XDA Developers сообщает, что компания Google начала отказывать несертифицированным устройствам в доступе к своим приложениям и сервисам.

    Дело в том, что исходный код Android Open Source Project является бесплатным и опенсорсным, фактически, им могут пользоваться все желающие. Однако сервисы и официальные приложения Google (такие как Play Store, Gmail, Google Maps и так далее) «в комплект» не входят и свободными не являются. Google лицензирует эти приложения для производителей устройств, которые, в свою очередь, в ответ должны выполнить ряд требований компании. В частности, коллекция дефолтных приложений для Android должна поставляться только вся и полностью, приложения соответствовать определенным условиям размещения, а также само устройство, на которое приложения устанавливаются, должно соответствовать длинному списку требований к совместимости.

    Производители, чьи гаджеты не прошли такую сертификацию, не имеют права использовать торговую марку Android и, по сути, работают с форками ОС Google. Наиболее известным форком такого рода можно назвать устройства компании Amazon (в частности, серию Kindle Fire). К тому же большинство китайских устройств тоже работают на базе форков Android.

    И хотя официально приложения Google могут распространятся лишь в предустановленном на устройство виде, прямо «из коробки», они так же свободно доступны в сети, на множестве форумов, сайтах кастомных прошивок, сторонних каталогах приложений и так далее. Таким образом, при желании любой пользователь и даже производитель, не прошедший «сертификацию», может установить приложения Google на свой гаджет.

    По данным XDA Developers, с середины марта 2018 года разработчики Google начали бороться с таким поведением более агрессивно. Теперь попытка установить официальные приложения Google на несертифицированное устройство оборачивается ошибкой. Google попросту не позволяет залогиниться в свои сервисы во время установки, сообщая, что данное устройство не проходило сертификацию.

    Вариантов решения проблемы пользователю предлагают немного, в сущности, рядовому юзеру остается лишь жаловаться производителю. Впрочем, как можно увидеть на иллюстрации выше, в самом низу сообщения все же есть опция для пользователей кастомных Android-прошивок. Google предлагает зарегистрировать такие устройства по адресу g.co/androiddeviceregistration, привязав их к своему аккаунту Google. Правда для этого потребуется ввести уникальный идентификатор (Android ID) гаджета, что, к сожалению, может стать проблемой для неподготовленных пользователей. Android ID устанавливается при первом запуске устройства (и генерируется заново после сброса к заводским настройкам), представлен в шестнадцатеричном (hex) виде, и увидеть его можно лишь при помощи специальных утилит.

    Еще одной проблемой может стать тот факт, что вручную Google позволяет зарегистрировать максимум 100 устройств на одного пользователя. То есть любители экспериментировать, менять прошивки и устройства, могут исчерпать этот лимит и в итоге останутся без официальных приложений Google.

  • Google предпочитает отслеживать местоположение пользователей всегда

    Google предпочитает отслеживать местоположение пользователей всегда

    Много лет назад, в 2010 году, компанию Google уличили в том, что машины компании, проводившие съемку для проекта Street View, собирали информацию об окружающих Wi-Fi сетях, а также перехватывали сведения о пользовательских учетных данных, электронных адресах и прочую персональную информацию, которая, по стечению обстоятельств, передавались в сетях в момент перехвата.

    Firebase Cloud Messaging

    Теперь журналисты Quartz обнаружили, что за прошедшее с тех пор время интернет-гигант не утратил вкуса к слежке за окружающими, просто стал делать это более изящно. Согласно проведенному изданием расследованию, Google собирает информацию о местоположении пользователей Android-устройств, даже если location services не работает, и в устройстве нет SIM-карты.

    Отслеживание осуществляется с начала 2017 года через вышки сотовой связи. Так, Android-устройства собирают адреса всех окрестных вышек и в фоновом режиме передают эту информацию на серверы Google, когда есть соединение с интернетом (или если на устройстве разрешена передача данных через мобильные сети). Собранная таким образом информация может использоваться для триангуляции устройства, то есть для определения его местоположения на основании информации, полученной от трех или более близлежащих вышек сотовой связи.

    Исследователи пишут, что за сбор данных отвечает служба Firebase Cloud Messaging, которая ответственна за работу push-уведомлений и сообщений, и отключить слежку невозможно, так как она не зависит от какого-либо конкретного приложения. Не поможет даже сброс устройства до заводских настроек или извлечение SIM-карты.

    Представители Google сообщили Quartz, что действительно рассматривали возможность использования Cell ID и дополнительных сигналов для улучшения скорости и эффективности доставки сообщений. В Google подчеркнули, что собранная информация о пользовательских устройствах не хранилась и никак не использовалась компанией. Более того, к концу текущего месяца Google пообещала прекратить использование данной практики, то есть компания перестанет следить за владельцами Android-девайсов.

  • Google продолжит использование Accessibility Service в приложениях Google Play

    Google продолжит использование Accessibility Service в приложениях Google Play

    Около месяца назад, в ноябре 2017 года, представители Google разослали Android-разработчикам письма, в которых предупредили, что в скором времени приложения, использующие Accessibility Service, будут удалены из Google Play, если только специальные функции действительно не используются для людей с ограниченными возможностями.

    Google Play Services

    Как нетрудно понять по названию, изначально службы специальных возможностей создавались, чтобы облегчить работу с Android-устройствами для людей, чьи возможности так или иначе ограничены. Но, к сожалению, на практике Accessibility API активно эксплуатируют злоумышленники. К примеру, использование Accessibility Service лежит в основе известной техники атак «Плащ и кинжал», а также со специальными возможностями тесно связана методика атак Toast Overlay.

    В ноябре специалисты Google предупредили, что у разработчиков есть всего 30 дней на подготовку к грядущим переменам. Сообщалось, что разработчиков обяжут не только сообщать пользователям о том, зачем именно приложение запрашивает доступ к Accessibility Service, но даже на странице приложения в Google Play появится специальная пометка о том, что этот продукт использует Accessibility API. Тех разработчиков, кто по какой-либо причине не сможет или не захочет обновить свои решения, вежливо попросили удалить их Google Play вовсе.

    Теперь, спустя месяц, инженеры Google все же согласились пойти навстречу сообществу и приостановили ввод этих ограничений. Дело в том, что после ноябрьского анонса разработчики буквально засыпали компанию жалобами и протестами, выражая активное несогласие с данным нововведением.

    Как оказалось, множество приложений используют Accessibility API не по прямому назначению, но при этом они вовсе не являются вредоносными. К примеру, приложение Tasker задействует специальные возможности для мониторинга других запущенных приложений, чтобы иметь возможность взаимодействовать с ними после открытия. Популярный парольный менеджер Lastpass использует Accessibility Service для подстановки паролей в формы. Контролирующее использование батареи приложение Greenify использует Accessibility API для отключения других приложений, когда те потребляют слишком много энергии. Этот список примеров можно продолжать еще долго.

    Представители Google пишут, что разработчики, которые используют Accessibility API ответственно, для реализации некой оригинальной функциональности, при этом не предназначенной для людей с ограниченными возможностями, могут связаться с компанией по электронной почте и рассказать о своем приложении подробнее, обосновав, зачем им необходимы службы специальных возможностей. Также Google сообщила, что продлевает заявленный ранее 30-дневный срок и дает девелоперам еще месяц на урегулирование данного вопроса.