Google po cichu zamienia Chrome w końcówkę Botnetu Rzeczy Strona główna Aktualności06.02.2017 21:04 Udostępnij: O autorze Adam Golański @eimi Gdy pod koniec stycznia debiutował w stabilnym kanale Chrome 56, opisując nowości tego wydania najpopularniejszej przeglądarki planety prześlizgnęliśmy się tylko po wprowadzeniu wsparcia dla standardu Web Bluetooth. Błąd, poważny błąd, wynikający z pobieżnego tylko przejrzenia dokumentacji. Przypomnijmy więc – chodzi o nowy interfejs programowania, który pozwoli stronom internetowym bezpośrednio komunikować się z urządzeniami Bluetooth Low Energy. Niby niewinnie, ale diabeł jak zwykle tkwi w szczegółach. Pierwsze przykładowe zastosowanie Web Bluetooth? Pozyskanie danych z urządzenia do monitorowania pracy serca. Poważnie – coś takiego znajdziemy na początku szkicu dokumentacji nowego standardu. Nowy interfejs programowania bazuje na protokole GATT, pozwalającym połączyć się aplikacjom webowym z dowolnymi urządzeniami standardu Bluetooth Low Energy – od dziecięcych zabawek, przez domowe żarówki i termostaty po wspomniany sprzęt medyczny. Google zapewnia o bezpieczeństwie i prywatności tego rozwiązania, jakżeby inaczej. W rzeczywistości żadnego specjalnego bezpieczeństwa tu nie ma – ot komunikacja między serwerem a przeglądarką odbywa się po TLS, na udostępnienie urządzenia aplikacji trzeba wyrazić zgodę, potem urządzenia trzeba sparować, przed sparowaniem urządzenie jest niewidoczne dla działającego na stronie skryptu. Teraz należy zaczekać na sztuczki inżynierii społecznej, tak jak ostrzegał już w zeszłym roku uznany ekspert od prywatności i bezpieczeństwa, Łukasz Olejnik. Zauważył on, że nie ma co spodziewać się, by zwykły użytkownik rozumiał różnicę między sparowaniem swojego smartfonu czy czajnika z własnym laptopem, a sparowaniem tegoż smartfonu czy czajnika z działającą w chmurze aplikacją. Można sobie wyobrazić przeróżne oszukańcze aplikacje, które będą teraz użytkowników namawiały do sparowania, obiecując im nowe, niezwykłe doświadczenia w marketingowej nowomowie. I tak krok po kroku, użytkownicy zaczną oddawać operatorom Internetu Rzeczy dostęp do sprzętu, który gromadzi o nich ogromne ilości informacji. I analyse privacy of @w3c Web Bluetooth. The joys of pairing websites with devices. Location tracking, leaks? https://t.co/lkwM0ypQx4 #IoT— Lukasz Olejnik (@lukOlejnik) October 25, 2016 Podkreślmy – nie ma w Web Bluetooth żadnych mechanizmów zarządzania informacją udostępnioną aplikacji webowej. Jak już zapewnisz dostęp, to autor aplikacji może robić co chce. A biorąc pod uwagę ogólnie marny stan zabezpieczeń wszystkiego, co wiąże się z Internetem Rzeczy… nie wróży to dobrze przyszłości, obiecując sceny niczym z gry Watch Dogs. Na koniec najzabawniejsze. Użytkownik nie może prosto wyłączyć sobie Web Bluetootha. W organizacjach administratorzy mogą go wyłączyć dla swoich użytkowników korzystając z polityk Chrome, czegoś o czym zwykły Kowalski nawet nie wie, że to istnieje. Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Google Chrome walczy z reklamami – od grudnia zablokuje ich jeszcze więcej 6 lis 2018 Oskar Ziomek Oprogramowanie Internet 27 Android ze wsparciem dla składanych smartfonów. Pomysł Google nie wymaga dużo pracy 8 lis 2018 Mateusz Budzeń Oprogramowanie 15 Skype for Web: rozmowy wideo HD i łatwe przeglądanie historii czatów 30 paź 2018 Anna Rymsza Oprogramowanie Internet 21 Centrum Bezpieczeństwa Google już działa. Twórcy deklarują, że dobrze dbają o twoje dane 14 lis 2018 Oskar Ziomek Internet Bezpieczeństwo 23
Udostępnij: O autorze Adam Golański @eimi Gdy pod koniec stycznia debiutował w stabilnym kanale Chrome 56, opisując nowości tego wydania najpopularniejszej przeglądarki planety prześlizgnęliśmy się tylko po wprowadzeniu wsparcia dla standardu Web Bluetooth. Błąd, poważny błąd, wynikający z pobieżnego tylko przejrzenia dokumentacji. Przypomnijmy więc – chodzi o nowy interfejs programowania, który pozwoli stronom internetowym bezpośrednio komunikować się z urządzeniami Bluetooth Low Energy. Niby niewinnie, ale diabeł jak zwykle tkwi w szczegółach. Pierwsze przykładowe zastosowanie Web Bluetooth? Pozyskanie danych z urządzenia do monitorowania pracy serca. Poważnie – coś takiego znajdziemy na początku szkicu dokumentacji nowego standardu. Nowy interfejs programowania bazuje na protokole GATT, pozwalającym połączyć się aplikacjom webowym z dowolnymi urządzeniami standardu Bluetooth Low Energy – od dziecięcych zabawek, przez domowe żarówki i termostaty po wspomniany sprzęt medyczny. Google zapewnia o bezpieczeństwie i prywatności tego rozwiązania, jakżeby inaczej. W rzeczywistości żadnego specjalnego bezpieczeństwa tu nie ma – ot komunikacja między serwerem a przeglądarką odbywa się po TLS, na udostępnienie urządzenia aplikacji trzeba wyrazić zgodę, potem urządzenia trzeba sparować, przed sparowaniem urządzenie jest niewidoczne dla działającego na stronie skryptu. Teraz należy zaczekać na sztuczki inżynierii społecznej, tak jak ostrzegał już w zeszłym roku uznany ekspert od prywatności i bezpieczeństwa, Łukasz Olejnik. Zauważył on, że nie ma co spodziewać się, by zwykły użytkownik rozumiał różnicę między sparowaniem swojego smartfonu czy czajnika z własnym laptopem, a sparowaniem tegoż smartfonu czy czajnika z działającą w chmurze aplikacją. Można sobie wyobrazić przeróżne oszukańcze aplikacje, które będą teraz użytkowników namawiały do sparowania, obiecując im nowe, niezwykłe doświadczenia w marketingowej nowomowie. I tak krok po kroku, użytkownicy zaczną oddawać operatorom Internetu Rzeczy dostęp do sprzętu, który gromadzi o nich ogromne ilości informacji. I analyse privacy of @w3c Web Bluetooth. The joys of pairing websites with devices. Location tracking, leaks? https://t.co/lkwM0ypQx4 #IoT— Lukasz Olejnik (@lukOlejnik) October 25, 2016 Podkreślmy – nie ma w Web Bluetooth żadnych mechanizmów zarządzania informacją udostępnioną aplikacji webowej. Jak już zapewnisz dostęp, to autor aplikacji może robić co chce. A biorąc pod uwagę ogólnie marny stan zabezpieczeń wszystkiego, co wiąże się z Internetem Rzeczy… nie wróży to dobrze przyszłości, obiecując sceny niczym z gry Watch Dogs. Na koniec najzabawniejsze. Użytkownik nie może prosto wyłączyć sobie Web Bluetootha. W organizacjach administratorzy mogą go wyłączyć dla swoich użytkowników korzystając z polityk Chrome, czegoś o czym zwykły Kowalski nawet nie wie, że to istnieje. Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji