Не откажем же себе в удовольствии пришить друг к другу белыми нитками два произошедших на прошлой неделе события. Во-первых, в самых современных телефонах Samsung Galaxy обнаружились неполадки с отправкой сообщений. Во-вторых, индексация публичных документов с приватной информацией из сервиса Google Documents поисковиком Яндекс обсуждалась далеко за пределами компьютерной тусовки.

У этих происшествий есть кое-что общее: и отсутствие какой-либо новизны для опытного читателя новостей о безопасности, и не очень конкретная реакция разработчиков устройств и сервисов. Но главное — отсутствие четких рекомендаций, как обезопасить свои личные данные, раз уж такое произошло. В общем, есть все поводы снова поговорить об ответственности пользователей и поставщиков услуг, приватности и сложности современных технологий.

Что случилось у Яндекса?


Или все же у Гугла? Подробно историю массовой утечки как бы приватных документов рассказывают в рассылке The Bell. Вообще тот факт, что документы сервиса Google Documents индексируются — это нормально. Увы, довольно часто именно возможность опубликовать на платформе индексируемый поисковиками документ используется мошенниками. По популярным запросам на Google Docs создаются документы, которые затем уводят пользователя на третий веб-сайт — как правило, зараженный или пытающийся у пользователя что-то выманить. Вот тематический для данного блога скриншот:

Напороться на такое можно и по вполне безвредным поисковым запросам, причем с точки зрения обычного пользователя все поначалу выглядит легитимно: ссылка на домен Google, подходящее описание. Ан нет. Впрочем, в истории с «Яндексом» фигурировали не намеренно публичные документы, а действительно содержащие чувствительную для их создателей информацию. Как они попали в выдачу — тоже можно легко предположить. Мало кто заморачивается раздачей доступа к документу Google с использованием e-mail адресов конкретных людей. Обычно создается ссылка, которая рассылается всем причастным. Должен ли такой документ индексироваться? Судя по логике настроек доступа, не должен:

А вот дальше начинаются технические трудности. Мог ли Яндекс индексировать документы, ссылки на которые публикуются открыто, например на публичных веб-страницах? (да) Какие были настройки у попавших в выдачу документов? (не ясно) Могла ли произойти ошибочная индексация документов, ссылки на которые нигде не публиковались? (не будем увлекаться конспирологией без доказательств) Комментарий Яндекса сводится к наличию или отсутствию на стороне Google файла robots.txt. Комментарий Google квалифицирует «утекшие» документы как заведомо публичные.

И скорее всего, так и было: прореха в приватности затронула тех, кто сам выставил соответствующие настройки при создании документа. Стоит ли винить в этом пользователей? В сообществе специалистов по информационной безопасности потихоньку складывается общее мнение, что винить пользователя — это тупиковый сценарий. Пользователей (сотрудников компании) нужно обучать, но если что-то утекло в результате «неверных настроек» — это намек на необходимость обновить интерфейс.

Что случилось у Samsung?


Что бы ни случилось у Samsung, пользователи точно не виноваты. Но что именно произошло — тоже достоверно неизвестно. Первые сообщения о проблеме появились примерно две недели назад на Reddit и на форуме Samsung. На форуме Samsung было довольно сдержанное описание багов, появившихся после установки обновлений в приложении Samsung Messages. На Reddit пользователь применил формулировку, которая быстро разошлась по СМИ: приложение, использующееся в телефонах Samsung для рассылки SMS/MMS, отправляет содержимое фотогалереи рандомным контактам.

Свидетельств набралось больше двух, но они не сильно помогли понять, что же именно произошло. Вроде бы проблема коснулась только пользователей оператора T-Mobile: все началось после того, как прилетело обновление для протокола Rich Communication Services. Хотя еще один пострадавший утверждает, что у него операторский телефон от AT&T. В одном случае контакту, с которым уже была переписка, была отправлена последняя сделанная фотография. В другом — рандомному контакту за ночь улетела вся (!) фотогалерея. Причем пострадавший узнал об этом только от получателя и из биллинга оператора, в самом телефоне информации об отправленных сообщениях не было.

СМИ описывали проблему кто во что горазд. В заметке на Bleeping Computer со ссылкой на уже упомянутый форум Samsung утверждалось, что производитель признал проблему, что не совсем так. В отсутствие официального описания пользователи начали делиться самодельными решениями, например таким:


Что я разрешаю приложению Samsung Messages? Ничего!

Хвала расширенным настройкам доступа в Android. Правда, все называли приложение Samsung Messages, хотя на самом деле оно называется просто Messages, из-за чего не желающие делиться рандомными фотографиями не могли его найти. А не желающих набралось достаточно, все-таки некоторые фотографии мало совместимы с определенными людьми в списке контактов, будь то мама, начальник или бизнес-партнер. Самый четкий и действенный совет в обсуждении на Reddit был, к сожалению, вот этот:

Подвержены (опять же, неточно) только самые современные модели — Samsung Galaxy S9 и S9 Plus, Note 8. Хотя в IXBT утверждают, что странные вещи творятся и на S8. Да, отключение доступа приложению Messages приводит к полной его неработоспособности, и придется устанавливать альтернативную программу (например, штатный клиент для SMS от Google).

И что теперь делать?


Если взять историю про Яндекс и Гугл-документы, то тут просто: перед тем как делиться каким-то документом, посмотрите на него внимательно и подумайте, что будет, когда (не если, а когда) он утечет. Если вы используете простые и удобные инструменты, такие как Google Documents, Dropbox и прочая, подумайте дважды. Речь не обязательно идет о том, что за вами специально следят или против вас замышляют целевую атаку. Может и вот так случайно выйти — не там галочку поставили, случайно вставили ссылку не туда, что-то пошло не так. Если есть хотя бы минимальное желание сохранить конфиденциальность, используйте электронную почту, а лучше применяйте шифрование. Да, это не так удобно, но у безопасности тоже есть своя цена.

А вот что делать, если ваш телефон отправляет фотографии без спроса кому угодно? Или хотя бы предположительно на это способен? Совет в целом тот же: посмотрите на свою фотогалерею. Если там есть что-то чувствительное или конфиденциальное, не храните это на телефоне. Или шифруйте. Это не так сложно, хотя и требует некоторых дополнительных усилий. Зато взлом или трагическая программная ошибка приведут к утечке только фотографий счетчиков электроэнергии.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.


Приведенная в данной публикации фотография счетчика не является фотографией конкретного устройства, принадлежащего авторам текста или компании «Лаборатория Касперского». Фотография приведена исключительно в качестве иллюстрации и не была опубликована в результате случайной или преднамеренной утечки информации.

Комментарии (2)


  1. a-l-e-x
    09.07.2018 17:12

    Обычно создается ссылка, которая рассылается всем причастным. Должен ли такой документ индексироваться? Судя по логике настроек доступа, не должен

    На мой личный взгляд, тот кто индексирует, не обязан знать каким образом настроена система безопасности там, где эти документы храняться. Если по случайно сгенеренной ссылке можно прочитать какой-то документ — значит так и должно быть…


    1. fukkit
      10.07.2018 14:05

      Много кто суёт нос не в своё дело, но опубликовать найденное — верх цинизма.
      Хром, ябровзер, скайп и даже лиса, конечно, тырят ссылки под предлогом «защиты» от нежелательных сайтов и т.п., но пользуются ими непублично.
      Представьте, если например, какой-нибудь (!) антивирус выложит в паблик всё, что насобирал по пользовательским винтам?