Новости К #3

Окей, Гугл, раз-раз, как меня слышно, прием? 12 апреля видеоблоггер Mitchollow устраивает в прямом эфире Ютьюба эксперимент, чтобы ответить на простой вопрос: если у вас на компьютере установлено какое-то ПО от Google (например, браузер Chrome), означает ли это, что Гугл, как родина, всегда слушает вас через микрофон?

Автор видео сначала показывает табличку с названием товара (игрушки для собак), о котором позже он говорит вслух в течение пары минут. После этого, открыв пару популярных сайтов, моментально натыкается на рекламу зоомагазинов в больших количествах. 

Из этого прекрасного эксперимента можно сделать массу далеко идущих выводов.

Например, что мы сейчас, с точки зрения разнузданности слежки за пользователями в сети, живем в некотором мире дикого Запада, где нас профилируют по всем параметрам — от высказываний до селфи и паттернов встроенного в телефон датчика ускорения. Возможно, так и есть, но 24 апреля тот же видеоблоггер выкладывает не то чтобы опровержение, а скорее попытку показать, что не все так однозначно. Как обычно бывает в интернетах, первое видео с набросом на вентилятор смотрят больше двух миллионов раз, второе видео набирает всего 160 тысяч просмотров. 

Действительно, эксперимент получился не самый научный.

• Во-первых, автор видео, увидев первую релевантную ссылку, сразу же кликнул на нее. Всю остальную рекламу на тему собачьих игрушек можно было уже не показывать: очевидно, что после клика таргетинг будет показывать тебе похожие рекламные объявления до победного конца.
• Во-вторых, возможно, ошибкой стал сам факт живой трансляции: если человек говорит в микрофон, осознанно передавая звук на серверы Google, понятно, что на той стороне будут слушать. Им же разрешили! 

Чуть более научное исследование провели специалисты компании Checkmarx.

Они нашли уязвимость в системе голосового управления Alexa, которая используется, в частности, в беспроводных колонках Amazon Echo. Echo позволяет устанавливать сторонние приложения — точнее, в новой терминологии дивного микрофонного мира они называются то ли скиллами, то ли навыками. Приложение исследователям удалось написать в меру вредоносным, оно эксплуатирует типовой сценарий: пользователь обращается к колонке, колонка распознает (в умном облаке с умным интеллектом) запрос и предоставляет ответ.

Но была найдена возможность слушать пользователя просто так. Недолго, так как время «прослушивания запроса» ограничено: стандартное API реализует сценарий «я ничего не понял» и переспрашивает владельца — что он таки имел в виду?

Это ограничение также удалось обойти, подменив «переспрашивание» тишиной. То есть получается примерно такой сценарий: владелец колонки просит включить тостер, колонка тупит, владелец плюет и включает тостер руками, колонка продолжает слушать. И с помощью стандартных методов распознавания голоса передает расшифровку всего сказанного злоумышленнику. Не вышло только выключить подсветку колонки, которая активируется только во время прослушивания: некоторое палево в процессе шпионажа все же присутствует. 

Налицо ошибка в логике системы, которой исследователи смогли воспользоваться.

Дыра, по словам Amazon, была закрыта, и впредь планируется детектировать и искоренять «пустые» запросы к пользователю, а также определять подозрительно длинные сеансы прослушивания. Иными словами, в Alexa и Amazon Echo все же имеются дефолтные механизмы, позволяющие иногда микрофон выключать. 

В этой истории, как и в ненаучном эксперименте ютьюбера, можно увидеть угрозу, отличную от ожидаемого «плохого» сценария: когда большой вендор подслушивает и подсматривает именно за вами. Большинству людей стоит исходить из того, что большому вендору лично до них нет никакого дела.

Каждый из нас — всего лишь один из миллиардов идентификаторов пользователя, пара мегабайт на серверной стойке.

Здесь потенциальная проблема в другом: инфраструктура большого вендора может быть уязвима к действиям третьих лиц, которые используют стандартные инструменты, чтобы поток приватной информации переключить на себя. В огромной инфраструктуре Гугла или Амазона даже отловить такую активность будет непросто. А дальше нас ждет распространение машинно-обучаемых систем, которые вообще непонятно как работают, — там безопасность будет на уровне трех правил робототехники, что ли? Я же говорю, дивный новый мир. 

Специалисты F-Secure научились клонировать гостиничные электронные ключи.

Все началось с того, что у исследователей компании F-Secure украли из гостиничного номера ноутбук. На двери не было никаких следов взлома, поэтому отель после расследования отказался что-либо компенсировать — вдруг сами потеряли?

Исследователям стало обидно, и, потратив пару-тройку (или десяток) лет на изучение типовых ключей от отеля, они нашли способ проникновения в любой гостиничный номер, не оставляя следов. 

С технической точки зрения отчет F-Secure о проведенной работе предельно неконкретен. Называется разработчик софта для управления замками — Vision VingCard, и производитель самих замков — Assa Abloy. Проблема предположительно была обнаружена (и закрыта) на уровне софта, замки менять не пришлось, но количество тумана в исходном блог-посте намекает на возможность альтернативных сценариев. Если так, то понятно, почему технические детали исследования раскрыты чуть менее чем никак. 

Вообще не познавательное видео, в котором внезапно присутствует какой-то российский отель.

Тем не менее, сценарий атаки достаточно простой (при условии, что в наличии есть допиленный до ума RFID-ридер и знания о том, как все работает). Нужна любая карта-ключ от конкретного отеля, подойдет даже просроченная и утерянная, хоть пятилетней давности. Информация с карты считывается, происходит магия, и на карту записывается обратно мастер-код, способный открыть чуть ли не любую дверь в той же гостинице.

Полезная история для того, чтобы напомнить простую истину: не надо в гостиничном номере оставлять ценные вещи. Даже если это пафосные пять звезд. 

Одной строкой

• Microsoft выпустила новый патч для борьбы с уязвимостью Spectre второго типа. Напомню, старый приводил к падению системы, да и новый вроде как предлагается устанавливать только вручную.
• В обновлении браузера Firefox введен атрибут same-site, направленный на борьбу с CSRF-атаками. 
• Обнаружена и закрыта уязвимость zero day в роутерах Microtik.

LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.