Google раскрыла уязвимость в браузере Microsoft Edge

16 февраля исследователи из Google Project Zero раскрыли уязвимость браузера от Microsoft, которую до сих пор не устранили. Эта брешь позволяет обмануть защитные механизмы Arbitrary Code Guard (ACG), встроенные в Microsoft Edge.

ACG — технология Windows 10, предотвращающая загрузку вредоносного кода в память. Она позволяет загружать только код с определенной подписью. Однако JIT-компиляторы, которые преобразуют JavaScript в нативный код, создают ACG проблемы. Поэтому Microsoft переместила JIT-компиляцию в отдельный процесс в песочнице.

Изолированный JIT-процесс ответственен за преобразование JavaScript в нативный код и его отображение в процессе вызывающего его контента. Таким образом, собственный JIT-код не может быть загружен в память или изменен. Однако сотрудник Google Project Zero сообщил, что обнаружил, как заставить JIT-процесс загружать неподписанные данные в процесс контента.

В Google выявили данную проблему 17 ноября прошлого года и расценивают ее как угрозу «средней опасности». На закрытие брешей в защите отводится срок в 90 дней, по истечении которого они выкладываются в общий доступ. Представители Microsoft заявили, что решение этой проблемы сложнее, чем ожидалось, поэтому 16 февраля этого года метод взлома браузера был раскрыт. Компания надеется выпустить патч для данной уязвимости с мартовским обновлением безопасности.

Команда исследователей Google Project Zero и раньше находила различные уязвимости и баги в продуктах компании Microsoft.

Google выпустила удобный инструмент для бэкапа ПК или Mac

Компания Google представила сервис «Автозагрузка и синхронизация», который позволяет автоматически создавать резервные копии файлов на «Диске» или в «Google Фото». Новая программа доступна на «маках» и Windows-компьютерах. Загрузить её можно по этой ссылке.

Все, что нужно сделать пользователю, — указать папки на компьютере, флешке или цифровой камере, которые будут сохраняться в «облаке» Google. Как только синхронизация завершится, файлы можно будет просматривать на любом устройстве.

«Автозагрузка и синхронизация» превращает облачный сервис «Диск» в полноценный инструмент для резервного копирования. Вместо того чтобы отслеживать изменения только в одной папке, связанной с онлайн-хранилищем, новый инструмент позволяет сохранять в «облако» файлы из любого каталога на компьютере.

Например, пользователи смогут поместить в «облако» отдельную папку с документами или фотографиями, а при желании — и весь жесткий диск.
Читать дальше

Как добавить ссылку для быстрой индексации поисковикам

Здесь вкратце расскажу как можно добавить ссылку для быстрой индексации поисковикам.
Если у вас появилось что то интересное на сайте и вы не хотите ждать пока поисковики проиндексируют, вам нужно «ткнуть носом» что бы ускорить етот процесс, делается очень просто.

Индексация сайта в Яндексе
Интернет: Как добавить ссылку для быстрой индексации поисковикам
В яндексе она называется «Переобход страниц» webmaster.yandex.ru/site/indexing/reindex/

Индексация сайта в Google (Гугле)
Интернет: Как добавить ссылку для быстрой индексации поисковикам
Каждый раз при сканировании Интернета Google добавляет в индекс новые сайты и обновляет информацию об уже известных. Если у вас есть новый URL, сообщите нам о нем на этой странице. Google не может гарантировать, что все отправленные URL будут добавлены в индекс, и не дает прогнозов относительно сроков появления добавленных страниц в индексе.
www.google.com/webmasters/tools/submit-url

Индексация сайта в Mail.ru (Майл)
Интернет: Как добавить ссылку для быстрой индексации поисковикам
Добавление сайта на индексацию в Mail.ru происходит через форму addurl, которая расположена по адресу:
webmaster.mail.ru/?from=authpopup


Поисковая система Bing.com (Бинг)
Интернет: Как добавить ссылку для быстрой индексации поисковикам
Поисковая система Bing принадлежит корпорации Microsoft и была создана на замену Live Search. Майкрософ надеется, что новое детище окажется намного популярнее предшественника. Если вы хотите индексации своего сайта ПС Bing.com, это это можно сделать на странице
www.bing.com/toolbox/submit-site-url

Украинская поисковая система Meta.ua (Мета)
Что бы добавить свой сайт на индексацию в поисковую систему Meta там сначала надо пройти регистрацию. После того как вы войдете в свой аккаунт, добавить сайт можно будет на странице.
web.meta.ua/?action=add
Читать дальше

Google заблокировали в России: как это было?

Российская версия сайта Google была внесена в реестр запрещённых веб-ресурсов Роскомнадзора. Утром 22 июня сайт был заблокирован у ряда российских провайдеров. Как оказалось, в список Интернет-ресурсов, доступ к которым ограничен для российских пользователей, Google был внесён по требованию Федеральной налоговой службы России ещё 14 июня. Разбираемся, как это могло произойти.

Интернет: Google заблокировали в России: как это было?

«Проблема была, это не ложная блокировка, — заявил в интервью «Ведомостям» Александр Жаров, глава Роскомнадзора. — У Google стоял редирект с сайта букмекерской компании, поэтому операторы начали его блокировать. Google уже убрал редирект, проблема была решена быстро».

Интернет: Google заблокировали в России: как это было?

Как оказалось, истинная причина внесения Google несколько более прозаичная. Всё дело в недостаточной подкованности сотрудников Роскомнадзора в вопросах работы рекламных сетей поисковых систем. Так о каком «редиректе» идёт речь? Всё очень просто: попавшая в выгрузку на блокировку ссылка является переходным адресом от Google AdWords. Дело в том, что при клике на рекламные ссылки, выдаваемые Google, пользователь сначала переходит по служебному адресу, и только потом — на сайт рекламодателя. Делается это для того, чтобы в Google смогли сохранить информацию о переходе и выставить счёт администрации рекламируемого сайта.
Интернет: Google заблокировали в России: как это было?

Это означает, что в реестр попал не сам запрещённый игорный ресурс, а лишь служебный адрес рекламной сети Google. Благо, надуманная «проблема» уже решена, и российский Google был вычеркнут из реестра запрещённых в России сайтов.
Читать дальше

Новый способ взлома Gmail

Сегодня ночью многие пользователи Gmail получили уведомление о том, что они добавлены в список редакторов некого документа, хранящегося в Google Drive. Это письмо имело точно такой же вид, как стандартное уведомление сервиса о расшаривании файлов. Дополнительной убедительности письму придавал тот факт, что оно было отправлено от одного из людей, чей адрес имелся в списке контактов.

Хакер: На этот раз приманкой стали поддельные документы Google Docs.

Пользователи без всякой опаски переходили по ссылке, чтобы ознакомиться с документом. Здесь злоумышленники подготовили для них фишинговое приложение, которое запрашивало полный доступ к электронной почте. Это приложение было замаскировано под Google Drive: имело такую же иконку и название.

Хакер: Новый способ взлома Gmail

Далее зловредное приложение просит предоставить ему полный доступ к электронной почте. Если пользователь соглашается, то червь мигом рассылает себя по всем адресам из адресной книги (вот почему письма приходят от знакомых контактов).

В результате злоумышленники получают полный контроль над почтой. В том числе они могут удалять письма, читать их и даже отправлять корреспонденцию от имени жертвы. Им ничего не стоит сбросить пароль в любом сервисе, привязанном к этому почтовому ящику, и таким образом завладеть им.

Через несколько часов после начала эпидемии компания Google сообщила об отключении хакерского приложения, маскирующегося под Google Drive. Однако никто не даёт гарантии, что атака не повторится с использованием уже другой приманки.

Хакер: Новый способ взлома Gmail

Как обезопасить себя от фишинга подобного рода?

Прежде всего постарайтесь не открывать расшаренные гугл-документы без полной уверенности, что ими действительно поделился с вами реальный человек. Лучше послать лишнее письмо или даже позвонить, чтобы точно убедиться в безвредности полученного приглашения.
Читать дальше

Гугл незаметно подслушивает вас через микрофон.

Компания Google не скрывает того факта, что подслушивает своих пользователей, но она это, мягко говоря, и не афиширует.
Гугл не только записывает разговоры, но и хранит их на собственных серверах. Причём робот «подслушивает» вас не только, когда смартфон включен, но и когда он просто лежит себе рядом с вами, например, на рабочем столе.

Зачем это нужно Google? В компании объясняют подслушивание необходимостью сбора и анализа информации, которая впоследствии поможет алгоритму подобрать для вас рекламу соответственно интересам. Звучит не так уж и страшно, но!

Во-первых, личная информация может попасть в чужие руки, если кто-то взломает ваш аккаунт;

Во-вторых, случись у вас какой-либо конфликт или просто недопонимание с властями, ваши разговоры компания обязана будет передать в соответствующие органы;

В-третьих, откровенно говоря, «подогнанная» под интересы пользователей реклама часто совершенно не попадает под эти самые интересы и только зря раздражает пользователя. В этом случае сбор информации становится просто бессмысленным.

Впрочем, к чести компании, Гугл не скрывает факт сбора личных данных, поэтому каждый может авторизоваться в своём аккаунте и почистить собранную там информацию.

Здесь хранятся все данные с микрофона вашего телефона. Если тут пока ничего нет, значит, вы ещё не пользовались голосовым помощником, т. е. никогда не говорили: «ОК, Google».

А вот полное досье, которое на вас собрал Google, основываясь на том, что вы делаете в интернете.

Среди прочего, тут есть информация, где и когда вы были (точнее, ваш телефон); все, что вы искали в интернете; все странички, которые вы загружали. К счастью, удобная навигация позволяет быстро и без следа всё удалить.
Читать дальше

Фишинговая атака, использующая особенности автозаполнения форм браузером

Недавно на Github появилась интересная демка, состоящая всего из всего одной страницы. Она показывает, как можно украсть данные пользователя, злоупотребляя возможностями браузера.

Схема работы очень проста — в Google Chrome существует возможность автоматически заполнить поля ввода, которая работает, даже если вы находитесь на сайте первый раз. Зайдя на сайт пользователь может захотеть заполнить автоматически видимые поля — например имя и электронный адрес. Однако, если владелец сайта разместит невидимые поля ввода, то они так же буду заполнены.

<code><p>
        //Это поле пользователь видит
        <input id="name" name="name" type="text" placeholder="Your Name">
</p>
<p>
        //И это видит
        <input id="email" name="email" type="email" placeholder="Your Email">
</p>
<p style="margin-left:-500px">
        //А вот это уже не видит
        <input id="phone" name="phone" type="text" placeholder="Your Phone">
</p>
<p>
        //По нажатию этой кнопки будут отправлены все данные, включая телефон
        <input type="submit" value="Submit">
</p></code>
Anttiviljami (пользователь Github, который выложил демонстрационную страничку) пишет и про взаимодействие других браузеров с такой страницей. Так, в Firefox необходимо заполнять все поля по отдельности, а Safari сперва покажет пользователю список данных, которые подставляются в формы. Сама страница с демонстрацией уязвимости доступна на Github Pages. После нажатия кнопки Submit вам будут показаны данные, которые были бы переданы владельцу сайта.

Эта возможность вызвала резонанс у пользователей reddit. Большинство сочло такое поведение браузера не очевидным и очень даже опасным. Пользователь с ником Terr прокомментировал ето так:

Даже если бы браузер проверял со 100% точностью, что форма ввода не скрыта/перекрыта другой формой/замаскирована, проблема бы не ушла. Атакующий всё ещё имеет возможность разместить небольшое поле ввода там, где какая-то часть пользователей его не заметит.
Я не понимаю — что должен делать пользователь, чтобы регулярно посещать незнакомые вебсайты и на всех заполнять множество форм с адресом, телефоном и электронной почтой? Зачем эта возможность вообще нужна?
Читать дальше