EFF обнаружил угрозу конфиденциальности пользователей Ubuntu

EFF обнаружил угрозу конфиденциальности пользователей Ubuntu

 Специалисты фонда электронных рубежей (EFF) заявляют, что им удалось обнаружить потенциальную уязвимость в одной из новых функций операционной системы Ubuntu 12.10. Данная уязвимость представляет серьезную угрозу конфиденциальности личной информации пользователей системы.

Угроза, найденная специалистами EFF, содержится в технологии поиска Dash, встроенной в оболочку рабочего стола Ubuntu Unity. По замыслу разработчиков, данная функция должна стать централизованным механизмом поиска документов, файлов и другой информации как на локальных компьютерах под управлением Ubuntu 12.10, так и в сети Интернет. Данная функция поиска работает следующим образом: когда пользователь задает определенный поисковый термин, поисковый запрос направляется на сервер Ubuntu. При этом эксперты отмечают, что информация, отсылаемая на сервер, включает в себя IP-адрес пользователя, а результаты поиска, кроме всего прочего, включают в себя товары с Amazon, в описаниях которых содержится запрашиваемый термин. Кроме того, EFF утверждает, что видеоинформация, которую пользователи Dash получают с Amazon, не шифруется.

Еще одной проблемой, по мнению специалистов EFF, является то, что пользователи совершенно не контролируют информацию, аккумулирующуюся на серверах компании Canonical (разрабротчик Ubuntu), а сама компания не дает точной информации о том, для чего собирается и как используется вышеописанная информация. Известно, что поисковые запросы, обрабатываемые Canonical, а также интернет-магазинами вроде Amazon, передаются по протоколу HTTPS, который поддерживает шифрование. Однако, результаты запроса передаются в виде незашифрованного текста, что теоретически позволяет злоумышленникам перехватывать сетевой трафик пользователей Ubuntu 12.10, использующих Dash, и реконструировать их поисковые запросы, узнавая таким образом цель поиска. И это еще не все…

Согласно информации одного из неофициальных сайтов Ubuntu, Facebook, Vimeo и ряд других интернет-сервисов может также получать информацию об IP-адресе и поисковых запросах пользователей Ubuntu 12.10, которые не изменяют стандартной настройки системы. При этом официальная информация о том, с какой целью вышеуказанные интернет-сервисы собирают и как используют данные о пользователях Ubuntu также отсутствует, вместо этого Canonical предлагает пользователям ознакомится с политикой конфиденциальности каждого из этих интернет-сервисов.

В свою очередь, исполнительный директор Canonical Марк Шаттлворт (Mark Shuttleworth) заявляет, что включение в результаты поиска Dash информации с Amazon является лишь первым шагом к тому, чтобы сделать данное средство поиска более качественным. Как утверждает Шаттлворт, информация с Amazon, выдаваемая Dash в качестве результатов поиска, не носит рекламный характер. К тому же, при желании пользователи имеют возможность отключить функцию поиска по Amazon. Он также заявил, что в новых версиях Ubuntu планируется максимально упростить отключение функции поиска по сторонним интернет-сервисам.

Игроки Minecraft могут стать участниками DDoS-атаки через плагин скинов

Обычная попытка поиграть на пиратских серверах Minecraft неожиданно закончилась исследованием потенциальной уязвимости. Пользователь Хабра под ником Fir3wall1 рассказал, что во время анализа популярного плагина Skins Restorer обнаружил механизм, который теоретически может использоваться для организации распределенных атак на сторонние сайты.

Плагин Skins Restorer широко применяется на пиратских серверах для смены внешнего вида персонажей.

Исследователь обратил внимание, что при загрузке скина игровой клиент самостоятельно обращается по указанному адресу, а сервер лишь передает ссылку, практически не проверяя ее содержимое.

 

По словам автора, именно эта особенность позволяет заставить большое количество игровых клиентов одновременно обращаться к одному и тому же веб-ресурсу. В результате игровой сервер фактически превращается в центр управления, а подключенные игроки — в источник сетевого трафика.

Чтобы оценить масштаб проблемы, исследователь совместно с владельцем фермы игровых ботов провел контролируемый эксперимент на собственном тестовом сервере. В первом сценарии нагрузка оказалась заметной, но не критичной. Во втором, при существенно большем количестве подключений, тестовый веб-сервер перестал отвечать на запросы.

Автор подчеркивает, что речь не идет об угрозе для крупных интернет-компаний с развитой инфраструктурой и средствами защиты. Однако небольшие сайты и сервисы без CDN, WAF и других механизмов фильтрации могут оказаться более уязвимыми.

По мнению исследователя, проблема связана не столько с самим Minecraft, сколько с архитектурными особенностями плагина, который не ограничивает адреса, к которым могут обращаться игровые клиенты при загрузке скинов.

Если выводы автора подтвердятся, это станет еще одним примером того, как безобидная игровая функция может неожиданно превратиться в инструмент для злоупотреблений. При этом сама публикация служит напоминанием разработчикам плагинов: даже вспомогательные механизмы требуют тщательной проверки с точки зрения безопасности.

RSS: Новости на портале Anti-Malware.ru