Репутация самого популярного в мире мессенджера в последнее время терпит один удар за другим. Сначала масштабная утечка личных данных, потом главу Facebook Inc. уличили в использовании приложения-конкурента, а теперь исследователи в области кибербезопасности нашли очередную «бомбу замедленного действия». Оказывается, любого пользователя WhatsApp можно принудительно «отлучить» от мессенджера на произвольный срок, причем для этого нужно знать лишь его номер телефона.

Отметим сразу: это уязвимость не столько самого приложения, сколько всей системы поддержки пользователей корпорации Facebook. Большинство запросов обрабатывают автоматически, а чтобы добиться ответа от человека «на том конце», необходимо здорово потрудиться. Злоумышленник может легко воспользоваться таким отношением к клиентам. Как это реализовать, обнаружили два исследователя в области сетевых угроз — Луис Маркес Карпентеро (Luis Márquez Carpintero) и Эрнесто Каналес Перенья (Ernesto Canales Pereña). О своей находке они сообщили изданию Forbes, которое проверило способ атаки.

При смене устройства, на котором используется WhatsApp, по любой причине от пользователя требуется шестизначный код. Эта комбинация цифр приходит в виде SMS-сообщения на номер, который необходимо ввести на экране приветствия мессенджера. Однако указываемый номер необязательно должен совпадать с тем, что привязан к SIM-карте в устройстве. На деле это может быть вообще планшет без модуля сотовой связи. Казалось бы, так даже удобнее. Но если злоумышленник запросит код по номеру жертвы несколько раз подряд (обычно 10-12 раз), сервер WhatsApp заблокирует отправку кодов на 12 часов.

На первый взгляд, ничего страшного не произошло. Жертве просто придет десяток кодов, которые он или она проигнорирует — ведь их не запрашивали. Может, кто-то просто ошибся. Злоумышленник, в свою очередь, вместо этих кодов «отдаст» мессенджеру любые цифры, чтобы сработал триггер на некорректный ввод. А затем отправит в поддержку WhatsApp письмо о том, что он владелец аккаунта и его устройство украли.

Запрос обработают автоматически и учетную запись временно заблокируют. Настоящий пользователь в этот момент получит сообщение о необходимости снова войти в аккаунт и подтвердить личность кодом из SMS — который он не сможет ввести, ведь 12-часовая блокировка после неправильного ввода активируется на учетную запись, а не отдельное устройство.

Естественно, жертва точно так же обратится в техническую поддержку и вступит в переписку с автоответчиком. На то, чтобы получить квалифицированный ответ от сотрудника Facebook Inc., могут уйти не то что часы — дни. Тем временем, как только обратный отсчет разблокировки ввода шестизначных кодов дойдет до нуля, вредитель повторит несложную манипуляцию. Он опять дюжину раз запросит одноразовые числовые пароли, а затем введет вместо них любые цифры. Начавшийся снова 12-часовой отсчет на этот раз будет последним. После третьей попытки такого «подбора» кодов сервер аутентификации навсегда заблокирует пользователя. Номинально ему об этом даже не сообщат: просто таймер станет показывать -1 секунду.

Надежных способов защиты от подобной атаки нет. Даже если жертва достучится до поддержки и вернет доступ к аккаунту, злоумышленник благополучно повторит манипуляцию. Двухфакторная аутентификация тоже не спасет: она работает после ввода одноразовых кодов из SMS. Блокировка учетной записи по запросу в электронной почте происходит автоматически. Как установили специалисты по кибербезопасности, обрабатывающий письмо алгоритм просто идентифицирует ключевые слова. Указать свой доверенный адрес e-mail в аккаунте WhatsApp нельзя.

Чтобы заблокировать аккаунт достаточно отправить в техподдержку WhatsApp письмо с любого электронного адреса. Главное, чтобы оно содержало необходимые ключевые слова / ©Forbes

Возможность «выкинуть» любого человека из мессенджера может быть не самой пугающей опасностью для пользователей. Но если подумать, легко представить ситуацию, когда жертву нужно лишить удобного способа общения или доступа к актуальной информации. Не исключен и вариант просто насолить человеку, которому хочется испортить жизнь.

Как пишет портал Android Police, представители Facebook Inc. комментируют ситуацию обтекаемо. По их словам, описанная ситуация — нарушение пользовательского соглашения мессенджера. Но когда такие тонкости останавливали преступников и как этот факт может помочь людям, ставшим жертвами подобного злоупотребления, — не уточняется.

Журналисты отмечают, что какой-либо реакции от корпорации, скорее всего, ждать не стоит. Такой вывод они сделают, судя по предпринятым ранее мерам в ситуациях, когда специалисты по кибербезопасности находили уязвимости в продуктах Facebook.

Возможно, механизмы обработки обращений в техническую поддержку или тонкости авторизации пользователей изменят, если подобной атаке подвергнут основателя компании Марка Цукерберга. Напомним, в утечке личных данных более чем полумиллиарда пользователей социальной сети оказался и его номер. Но миллиардер недавно был замечен в мессенджере-конкуренте — Signal, — так что блокировку своего аккаунта в WhatsApp он может и не заметить.

Forbes (США): почему Google Chrome не стоит использовать на iPhone, iPad или Mac

Если вы относитесь к тем миллиардам людей, которые используют Chrome, вам нужно отказаться от него, особенно если вы пользуетесь им на устройстве Apple. Абсолютно новая информация о сборе данных и «жуткая» новая технология слежения Google должны стать серьезным поводом для смены браузера. Вот что вам нужно знать.

последние недели Фейсбук привлек к себе внимание в сфере безопасности данных и приватности, сражаясь с Apple за право собирать информацию о своих пользователях, Google, в свою очередь, подошел к вопросу более мягко и деликатно. Google откладывал метки конфиденциальности, пока Фейсбук не подвергся нападкам, а потом объявил о значительных новых изменениях в своем флагманском браузере Chrome.

Google заявляет, что стремится к сети, где «приватность на первом месте». На первый взгляд кажется, что уничтожение ужасных файлов-cookie и борьба с межсайтовыми отслеживанием — это важные шаги в правильном направлении. Но, как говорят в фильмах, если хочешь знать, что на самом деле происходит, «ищи, кому это выгодно». А в случае Google это реклама на основе данных.

Когда дело касается подобного сбора информации, Google и Facebook зарабатывают на нем больше всех в отрасли. Оба технических гиганта получают большую часть своей прибыли благодаря рекламе, хотя, смотря на огромное число платформ, сервисов и операционных систем Google, поверить в это трудно. Однако компания зарабатывает на рекламе боле 100 миллиардов долларов, а это говорит само за себя.

Это можно было четко увидеть, когда Google наконец выпустил метку конфиденциальности для Chrome в App Store. Chrome собирает больше информации, чем Safari, Edge или Firefox, хуже того, он единственный из перечисленной четверки, кто не собирает данные, никак не связанные с личностью пользователя. Это философия, бизнес-модель.

«Вам не стать многомиллиардной компанией, если вы не собираете столько данных, сколько сможете потом монетизировать», — рассказал мне в прошлом месяце Йен Торнтон-Трамп (Ian Thornton-Trump) из Cyjax CISO. Наша беседа состоялась вскоре после того, как DuckDuckGo, (действительно) ставящий конфиденциальность на первое место, предупредил, что «Google не заботится о защите конфиденциальности своих пользователей. Он заботится о защите основанной на слежке бизнес-модели. Если бы они действительно заботились о конфиденциальности, они бы перестали шпионить за миллиардами людей».

Выбор браузера — дело сугубо субъективное. Удобство пользования, функции, интегрированные межплатформенные возможности — все это влияет на решение. Chrome больше, чем кто-либо, потратил на то, чтобы клиентский опыт был настолько приятным. Однако в отличие от Apple и Microsoft, двух других технических гигантов в сфере браузеров, Google получает доходы не от продуктов, а от данных, ваших данных, и таргетированной рекламы.

А сейчас на вас обрушится сложное и противоречивое объяснение, как все это между собой сочетается. Как Google будет защищать вашу конфиденциальность, при этом собирая данные, чтобы продавать вам больше вещей, или скорее позволить своим бизнес-заказчикам продавать вам больше вещей.

К сожалению, объяснение может сильно сбивать с толку. Google заменяет файлы-cookie технологией Federated Learning of Cohorts (FLoC), которая сейчас тестируется, о чем затронутые тестированием пользователи Chrome даже не знают. Я уверен, изначально плана запутать всех не было, но, если попытаться объяснить, что происходит, звучать будет как в шоу «Монти Пайтон». По сути, FLoC — это группа схожих пользователей, схожесть которых определяется алгоритмом в браузерах этих пользователей.

Простыми словами, спрятанный секретный алгоритм отслеживает, какие сайты вы посещаете и что вы делаете в сети, чтобы отнести вас к определенной группе. Он не сможет понять, что вы 45-летний бухгалтер Джон Смит, проживающий в доме 101 по Акация-авеню, но алгоритм будет в подробностях определять ваши интересы и щедро делиться этой информацией с веб-сайтами. Как предупреждает DuckDuckGo, пользование сетью станет похоже «на поход в магазин, где о вас уже все знают».

В ответ на эту историю в Google мне заявили, что «мы твердо уверены, что FLoC полезнее для конфиденциальности пользователей по сравнению с превалирующим на сегодняшний день индивидуальным межсайтовым отслеживанием. Испытание пробной версии FLoC — это ранний, но важный шаг к цели Privacy Sandbox, которая заключается в создании открытой сети, которая будет конфиденциальной по определению, но при этом экономически устойчивой». 

В случае сбора и отслеживания данных история советует нам опасаться непреднамеренных последствий пусть даже и благонамеренных изменений. На этой неделе Фейсбук заявил, что за недавним инцидентом с данными в компании стоит удобство пользователя, если этой функцией пользуются «злоумышленники». В случае FLoC опасение заключается в том, что анонимная группа ID будет в скором времени распознана и интерпретирована, а ваш IP-адрес будет зафиксирован и связан.

Так что сегодня угроза в том, что третья сторона свяжет ваш уникальный IP-адрес с вашим анонимным FLoC ID, узнает о вас больше, чем следовало бы, и наживется на тайном алгоритме, работающем за кулисами вашего браузера. Важно знать, что FLoC размещается не на сервере Google Cloud, а на сервере самого Chrome. Как предупреждает EFF, «если начинать отслеживание через вашу группу FLoC, ваш браузер нужно будет выделить всего из несколько тысяч других (а не из нескольких сотен миллионов)».

Когда вы в сети, вы сообщаете о себе самые интимные детали. Сайты знакомств, персональные сервисы и того хуже. И хотя каждый FLoC отслеживает онлайн-информацию только в рамках последней недели, а потом сбрасывает ее, вам все равно не захочется, чтобы вас так отслеживали.

Google уже подвергался критике из-за путаницы с так называемым «режимом инкогнито», а в случае с FLoC большинство из вас о них даже и не узнает. EFF предупреждает, «у миллионов пользователей незаметно щелкнул переключатель в Google Chrome: теперь браузеры будут разделять пользователей на группы, исходя из их поведения, а затем передавать ярлыки групп третьим сторонам и рекламодателям по всей сети».

Я уверен, что, когда эта технология станет массовой, появится простой способ отключить ее, как это можно сегодня сделать со сбором файлов-cookie. При этом вас будут постоянно поощрять включать тайно работающую систему отслеживания.

EFF предупреждает, что «Chrome ввел пробную версию FLoC для миллионов случайных пользователей, не предупредив их и уж тем более не получив их согласия. Хотя изначально FLoC предназначен для замены файлов-cookie, в ходе испытаний будет открыт доступ к еще большему объему информации о субъектах».

По словам Google, «в пробной версии FLoC использует значительно меньше данных, чем можно получить через сторонние файлы-cookie. FLoC создан, чтобы препятствовать обратному проектированию онлайн-активности пользователя». Однако сторонники конфиденциальности относятся к этому крайне презрительно.

И Apple среди них. Ирония заключается в том, что никогда раньше у нас не было столько информации об использовании наших частных данных, о том, кто хороший, а кто плохой в сфере слежения, и о том, как можно себя защитить. Между тем, как показал FLoC, сборщики данных никогда не вели себя так изощренно. Это непрекращающийся бой.

В следующем году Chrome откажется от традиционных файлов-cookie, с помощью которых годами следили за пользователями. Это расшевелит рекламную сферу. Проблема в том, что Google находится по обеим сторонам: он и платформа, и машина по продаже рекламы. Риск заключается в том, что так Google получит слишком большой контроль.

В этой борьбе Apple находится на правильной стороне, ведь компания не заинтересована напрямую в подогревании рекламной индустрии, хотя и она тоже, определенно, собирает данные и дает рекламу. Однако для Apple конфиденциальность — уникальное торговое предложение, компания идет в ногу с Фейсбук и рекламной индустрией, борясь против меток конфиденциальности и слежки в браузерах и приложениях.

Мы добрались до развилки, поворотной точки. Большинство из тех, кто читает статью не выберут максимально конфиденциальные приложения и платформы, я это признаю. Большинство из вас не обратится к DuckDuckGo, Signal и ProtonMail, вы хотите пользоваться популярными браузерами, WhatsApp или iMessage и стандартными почтовыми клиентами.

Тут нет никакой проблемы. Safari — отличный компромисс. Если вы пользуетесь экосистемой Apple, браузер отлично работает на разных устройствах и в него уже встроена технология защиты от слежения. Более того, он даже сохранит ваши пароли и предупредит вас, если какой-то из них будет использован повторно или взломан. А раз это Apple вы будете доверять ему больше, чем другим платформам, и использовать его чаще, чем специализированный менеджер паролей.

Для Apple станет бессмысленно защищать ваши данные или вашу конфиденциальность, создавать вокруг вашей активности в сети стену, если вы установите Chrome на устройства iPhone, iPad или Mac. Простыми словами, не пускайте лису в курятник. По данным DuckDuckGo, «сейчас FLoC работает только в Google Chrome, другие поставщики браузеров не демонстрировали намерение или даже интерес внедрять эту технологию».

Как я уже говорил ранее, гендиректор Google Сундар Пичаи (Sundar Pichai) заверил, что «мы не используем в рекламных целях данные из приложений, где вы преимущественно храните персональную информацию, например, Gmail, Drive, Calendar и Photos, точка». Однако в этом списке нет Chrome. Так что стоит задуматься, в чем истинная ценность браузера для Google.

Использование цифрового следа для определения вас как уникального пользователя называется созданием цифрового отпечатка. EFF предупреждает, что «создание цифрового отпечатка, как известно, остановить сложно. Такие браузеры как Safari и Tor годами ведут войны на истощение против систем слежения. Они жертвуют большим количеством собственных функций ради того, чтобы сократить количество атак на основе цифрового отпечатка». Как утверждает EFF, FLoC — «новая угроза создания цифрового отпечатка», Google не стоит вводить этот риск, пока он «не придумает, как бороться с уже существующими».

EFF запустили веб-сайт, где вы можете проверить, использует ли ваш Chrome технологию FLoC. Понятно, что эта технология применима только к Chrome, кроме того, если ваш браузер ее еще не использует, это не значит, что он не может начать это делать в любой момент, а вы и не заметите.

Остается надеяться, что под давлением Google при внедрении FLoC создаст способы защиты. Как мне объяснили в компании, «если в текущей версии Chrome пользователь блокировал сторонние файлы-cookie, то в испытании пробной версии они не будут участвовать. В апреле мы внедрим элемент управления в настройках Chrome, который позволит отключить FLoC, а также представим другие предложения для Privacy Sandbox».

Как я уже многократно говорил, если мы не поощряем приложения и платформы, которые охраняют и уважают наши данные, и не перестаем пользоваться теми, которые этого не делают, то мы показываем, что собирать данные по желанию компании — в порядке вещей. Если информация о том, как Google собирает ваши данные, не заставила вас отказаться от Chrome и перейти на Safari (Firefox, DuckDuckGo, Brave или даже Edge), то тайное внедрение скрытых FLoC должно это сделать.