Google получил право отстаивать законность прослушки при сканировании улиц

Google получил право отстаивать законность прослушки при сканировании улиц

В понедельник федеральный судья поддержал Google, дав поисковому гиганту право аппелировать его постановление, согласно которому пассивное прослушивание незащищённых паролем Wi-Fi-сетей было объявлено незаконным.

Решение американского федерального районного судьи Джеймса Вэйра в предварительном порядке приостанавливает его решение от 29 июня по поводу около дюжины объединённых исков о том, что Google занималась поиском возможностей для перехвата открытых, незашифрованных Wi-Fi-сетей при помощи автомобилей, предназначенных для съёмки видов городских улиц.

Транспортные средства, которые проезжали по улицам городов по всей стране, были оборудованы устройствами прослушивания Wi-Fi-сетей, записывающими имена и MAC-адреса роутеров с целью совершенствования сервисов Google, связанных с определением текущего расположения пользователей. Но машины также тайно собирали частичные данные, принадлежащие гражданам США.

Несмотря на возражения, выдвинутые адвокатами истцов, судья Вэйр сказал, что решение, принятое 29 июня, было первым постановлением такого рода, и что будет лучше, если апелляционный суд решит, был ли он прав, перед тем, как будут проводиться другие подобные разбирательства против Google.

Этот поступок Вэйра означает, что решение 9-го окружного апелляционного суда США по вопросу о прослушивании на некоторое время зависнет, возможно, на год или больше. Расположенный в Сан-Франциско апелляционный суд – всего лишь промежуточная остановка на пути к Верховному суду США, куда, скорее всего, будет передано это дело.

«Таким образом, в свете новизны представленных проблем, суд пришёл к выводу, что решение от 29 июня требует дополнительной проверки своей законности, так как может являться основанием для разногласия во мнениях, а также пришёл к выводу, что разрешение подать апелляцию по поводу решения от 29 июня может ощутимо продвинуть этот процесс вперёд», – заключил Вэйр.

Google утверждает, что нет нарушения "Закона о прослушивании" (Wiretap Act) в том, чтобы перехватывать данные из незашифрованных или незащищённых паролем Wi-Fi-сетей. По словам Google, открытые Wi-Fi-сети сродни "радиосвязи", такой как AM/FM-радиостанции, гражданская радиосвязь, радиосвязь полиции и пожарных, и "легко доступны" широкой публике – позиция, которую Вэйр отклонил.

Google запросил право на апелляцию на прошлой неделе. Google заявил, что постановление Вэйра «поднимает новые вопросы правосудия и применяет их к новым технологиям так, что справедливые судьи с этим могут не согласиться».

Постановления Вэйра важны не только для Google, но и для миллионов людей, которые используют открытые, незашифрованные Wi-Fi-сети в кафе, ресторанах и других заведениях, владельцы которых привлекают клиентов, предоставляя Wi-Fi.

Google заявил, что они не осознавали, что занимались перехватом пакетов данных из незащищённых Wi-Fi-сетей в дюжине стран на протяжении трёх лет, до тех пор, пока власти Германии не начали в прошлом году задавать вопросы о том, какие данные собирают автомобили Google, сканирующие улицы. Google, наряду с другими компаниями, использует базы данных Wi-Fi-сетей и их расположений, чтобы усиливать возможности GPS или использовать их вместо GPS для определения местоположения компьютера или мобильного устройства.

Google заявил, что произошла "ошибка", и что они собирали "фрагменты" данных в то время, когда машины проезжали по улицам. Также Google заявляет, что не просматривал эти данные, которые сейчас находятся "под замком".

Из-за того, что дело, которое рассматривал Вэйр, находится на ранней стадии рассмотрения, и данная инстанция не является последней, он был вправе потребовать то, что называется "предварительной" апелляцией.

Android взламывали через Firefox и старый баг в ядре Linux

Компания Nebula показала эксплуатацию опасной цепочки уязвимостей для Android: устройство можно скомпрометировать на уровне root после одного перехода по вредоносной ссылке. Эксплойт объединяет две проблемы: уязвимость в Firefox 151.0.2 и более ранних версиях браузера, а также старый баг в ядре Linux, который, по данным исследователей, оставался там около 15 лет.

Вместе они позволяют обойти стандартные защитные механизмы Android и получить полный контроль над устройством.

Атака проходит в несколько этапов. Сначала вредоносная веб-страница использует уязвимость в Firefox, чтобы выполнить код или выбраться из песочницы приложения.

Затем в дело вступает баг в ядре Linux: он даёт возможность читать и записывать память ядра, отключить SELinux и повысить привилегии. После этого злоумышленник может установить в систему бинарник su и закрепить root-доступ.

В демонстрации весь процесс занимает считанные секунды. После успешной атаки на устройстве появляется кастомные «живые» обои от исследователей, а рут-шелл становится доступен через Android Debug Bridge. В Nebula также опубликовали PoC-репозиторий CyberMeowfia с логикой адаптации под конкретное железо. По их данным, цепочка работает на устройствах Google Pixel.

Полные технические детали пока не раскрываются: компания уведомила затронутых вендоров и дала им время на исправления. Но опубликованный PoC уже создаёт почву для обратного анализа, так что со временем подробности, скорее всего, всплывут.

Ирония в том, что часть Android-сообщества ждёт раскрытия не только из соображений безопасности, но и как удобный способ рутовать собственные устройства. Для исследователей это баг, для злоумышленников — оружие, а для энтузиастов — потенциальная кнопка «сделать рут».

RSS: Новости на портале Anti-Malware.ru