Хакерский отдел Google продолжает публиковать 0day-уязвимости в продуктах сторонних компаний. На прошлой неделе они обидели компанию Microsoft, которая не успела за 90 дней закрыть дыры в Windows 7 и 8.1 (1, 2, 3). Теперь под хакерский кнут попала Apple.
В онлайне опубликована информация о трёх уязвимостях в операционной системе OS X (вместе с эксплоитами). Уязвимости дают возможность повышения привилегий и удалённого исполнения кода в операционной системе, эксплуатируя баги в networkd (effective_audit_token), IntelAccelerator и IOBluetoothDevice.
Apple уведомлена об уязвимостях 20 октября 2014 года, но до сих пор не устранила их. Есть информация, что патчи включены в апдейт OS X Yosemite 10.10.2, который сейчас проходит бета-тестирование.
Уязвимости опубликованы в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут баги в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. Если тот не уложился в отведённые 90 дней, то любой желающий может эксплуатировать эти баги.
Китайские власти заблокировали доступ к некоторым VPN-сервисам. Эти сервисы часто использовались для обхода государственной цензуры, которая блокирует Facebook и другие сайты, а также заставляет Google изменять результаты поиска для китайских пользователей.
О блокировке в Китае сообщили несколько VPN-провайдеров, в том числе StrongVPN и Golden Frog (VyprVPN).
«Великий китайский файрвол блокирует VPN-сервисы “на уровне протокола”, — объяснил эксперт одной из компаний, которая осуществляет мониторинг работы VPN-сервисов в Китае. — Это означает, что файрволу не требуется определять каждого провайдера VPN и блокировать его IP-адрес. Вместо этого, они выявляют проходящий трафик VPN и блокируют его».
Есть информация, в частности, что заблокированы протоколы IPSec, L2TP/IPSec и PPTP. Говорят, что это затронуло только пользователей iOS, а на остальных устройствах всё работает нормально, если задействовать другие протоколы.
Блокировка произведена в рамках очередного апгрейда национальной системы фильтрации, которую часто называют «Великим китайским файрволом». Эксперты не могут сказать, как долго продлится блокировка и когда пострадавшие VPN-сервисы возобновят работу. Возможно, клиентам платных VPN, которые оплатили подписку на несколько месяцев вперёд, а теперь не могут получить доступ к своим аккаунтам Facebook и Twitter, возвратят деньги.
«Очевидно, власти не могут игнорировать эти сервисы, потому что они угрожают нашему суверенитету в киберпространстве», — говорит Цинь Ан (Qin An), специалист по информационной безопасности из Института инноваций и стратегического развития Китая. Он также напомнил, что все VPN-провайдеры, предоставляющие свои услуги на территории страны, обязаны зарегистрироваться в министерстве промышленности и информационных технологий. Если провайдер не сделал этого, то законодательство не гарантирует его работу.
Чуть больше десяти лет назад компания Apple запустила сервис iTunes по продаже легального цифрового контента. С невысокой стоимостью музыки и фильмов для многих людей он стал удобной альтернативой скачиванию файлов из торрентов.
Тем не менее, Apple до сих пор видит определённую пользу в файлообмене. Более того, компания придумала способ, как обеспечить легальный обмен файлами в P2P-сетях. Недавно компания получила патент на такую технологию.
Патент носит название «Разделение прав на цифровой контент и процесс скачивания» (“Decoupling rights in a digital content unit from download”, pdf). Он описывает систему, в которой люди свободно обмениваются файлами. Чтобы скачать такой файл, нужно предварительно получить лицензию в магазине цифрового контента. Лицензированный файл свободно передаётся по P2P-сети, в том числе между разными устройствами, принадлежащими одному пользователю, а также между разными пользователями: родственниками, друзьями или незнакомцами.
По мнению Apple, такая система имеет ряд достоинств. Например, она уменьшает количество трафика и нагрузку на центральные серверы iTunes. Это означает, что покупателям лицензии можно предложить меньшую цену, чем покупателям полноценного контента, который предусматривает скачивание файлов.
Теоретически, снижение цены поможет нанести ещё один удар по пиратству, поощряя пользователей обмениваться легальными файлами.
Впрочем, лицензионные файлы всё равно имеют ряд ограничений: например, просматривать/прослушивать их можно только на «доверенном программном обеспечении», которое поддерживает запатентованную технологию лицензирования от Apple. В итоге получится, что скачивать файлы из торрентов всё равно останется наиболее удобным вариантом.
Почти три года потребовалось компании Google, чтобы признать факт выдачи властям частной переписки трёх активистов Wikileaks. Передача информации произошла в марте 2012 года после получения секретного запроса от федерального судьи.
Об удовлетворении этого ордера Google сообщила только в декабре 2014 года (точнее, в рождественскую ночь, когда новость привлекла минимальное внимание прессы).
Организация Wikileaks ответила открытым письмом к председателю совета директоров Google Эрику Шмидту, в котором выразила «изумление и тревогу» в связи с тем, что Google скрывала факт так долго. По мнению Wikileaks, сокрытие такой информации мешает гражданам защищать свои права на конфиденциальность частной переписки и защиту от нелегальных обысков.
Письмо подписал нью-йоркский адвокат Майкл Ратнер (Michael Ratner) из Центра конституционных прав, обслуживающий интересы Wikileaks. Юрист требует от калифорнийской компании огласить полный список документов, переданных в ФБР, и подробно рассказать, что конкретно она предприняла в попытке противодействовать судебному запросу для защиты своих пользователей.
Судя по тексту судебных запросов, они распространяются абсолютно на всё содержимое почтовых ящиков, включая все входящие и исходящие письма, черновики и удалённые сообщения. Для каждого письма указывается метаинформация: дата и время отправки/получения, размер, адреса получателя и отправителя.
ФБР также требовало предоставить дополнительные сведения об интернет-аккаунтах трёх объектов слежки, в том числе IP-адреса, телефонные номера, время и продолжительность онлайновых сессий, альтернативные почтовые адреса, номера банковских карт и банковских счетов.
Google пока не отчиталась, какие документы передала ФБР до истечения установленного дедлайна в апреле 2012 года. «Мы подчиняемся закону, как любая другая компания», — сказал представитель Google в комментарии Guardian.
Объектами секретного судебного запроса стали редактор Wikileaks, гражданка Великобритании Сара Харрисон (Sarah Harrison), представитель организации Кристинн Храфнссон (Kristinn Hrafnsson) и один из старших редакторов Джозеф Фаррелл (Joseph Farrell).
Сара Харрисон обвинила компанию Google в том, что та помогла американским властям совершить «покушение на конфиденциальную информацию в личном почтовом ящике британского журналиста».
По статистике Transparency Report, за первую половину прошлого года Google получила около 32 000 правительственных запросов относительно конфиденциальных данных пользователей, это на 15% больше, чем во II пол. 2013 года.
