Google наделил себя правом сканировать письма пользователей

Александр Панасенко 15 Апреля 2014 - 23:01

...

Компания Google обновила правила использования своих сервисов, добавив положение о собственном праве сканировать личную информацию пользователей. Сканирование касается не только писем, но и вообще любого контента.

«Наши системы автоматически анализируют ваш контент (включая почту), чтобы предлагать персонализированный сервис, включая результаты поиска, объявления и улучшенную защиту от спама и вредоносных ссылок», - говорится в новом абзаце правил.

Кроме того, Google внес поправки, благодаря которым получил возможность любых действий над пользовательским контентом, включая модификацию и распространение. И это касается не только контента, который пользователь загружает на серверы Google (например, в Google Drive), но и любых данных, передаваемых через любые сервисы Google, сообщает safe.cnews.ru.

«Когда вы загружаете, вносите или сохраняете контент в наших сервисах, а также отправляете или получаете контент посредством наших сервисов, вы предоставляете Google право использовать, хранить и модифицировать этот контент, создавать на основе его производные данные, передавать, публиковать, публично воспроизводить, публично отображать и распространять этот контент», - говорится в новых правилах.

Новые правила вступили в силу 14 апреля. Предыдущая редакция действовала с ноября 2013 г. Как сообщил представитель Google Мэтт Кэлман (Matt Kallman) агентству Reuters, правила были изменены «согласно полученным за последние несколько месяцев просьбам», и теперь «более понятны для пользователей».

Google изменил правила использования своих сервисов

Аналогичные правила в декабре 2012 г. представил сервис Instagram, чем вызвал бурю негодования среди пользователей. В новых правилах содержались пункты, дающие компании право демонстрировать снимки пользователей на сторонних сайтах без выплаты компенсации за авторское право. Instagram пообещала переписать правила более понятным языком, что, тем не менее, не уберегло ее от судебного иска.

Против Google тоже был подан судебный иск - в сентябре 2013 г. В нем говорилось, что сканирование писем нарушает федеральные законы и законы штатов о прослушке и охране частной жизни. В компании заявили, что сканирование почты необходимо для правильного функционирования сервиса.

В марте 2014 г. судья отказался объединить жалобы нескольких пользователей в единый коллективный иск против Google, объяснив это существенными отличиями в претензиях. В случае, если бы иск носил коллективный характер, Google было бы сложнее одержать победу.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 22 Декабря 2025 - 14:11

Трояны Шпионские программы Программы слежения Домашние пользователи

Поддельный пакет для WhatsApp из NPM сливает сообщения и контакты

В экосистеме JavaScript обнаружили очередную, но особенно неприятную атаку на цепочку поставок. В каталоге NPM более полугода распространялся вредоносный пакет lotusbail, который выдавал себя за библиотеку для работы с WhatsApp API (принадлежит признанной в России экстремистской организации и запрещённой корпорации Meta) — и при этом тихо воровал переписку, контакты и учётные данные пользователей.

На находку обратили внимание исследователи из Koi Security, опубликовав подробный технический разбор. К моменту обнаружения пакет успели скачать более 56 тысяч раз, что делает ситуацию далеко не нишевой.

В отличие от многих зловредов в NPM, которые ломаются или выдают себя странным поведением, lotusbail был практически идеальной подделкой. Его авторы просто склонировали популярную библиотеку @whiskeysockets/baileys, которая используется для работы с WhatsApp Web через WebSocket, и аккуратно встроили в неё вредоносный код.

Снаружи всё выглядело легитимно: приложения на базе lotusbail спокойно отправляли и получали сообщения. Но параллельно библиотека:

перехватывала все входящие и исходящие сообщения;
собирала медиафайлы;
вытаскивала списки контактов с номерами телефонов;
сохраняла WhatsApp-сессии, токены и коды привязки устройств.

Причём перехватывались не только новые сообщения, но и исторические данные, доступные через API.

Самая опасная часть — использование механизма «сопряжение устройств» в WhatsApp. В коде пакета был зашит жёстко заданный, зашифрованный AES код привязки, который незаметно подключал устройство злоумышленника к аккаунту жертвы.

В результате атакующий получал постоянный доступ к WhatsApp-аккаунту, который сохранялся даже после удаления вредоносного пакета из проекта.

Проще говоря, удалить lotusbail недостаточно. Чтобы полностью закрыть дыру, жертве нужно вручную отвязать все устройства в настройках WhatsApp.

Собранные данные дополнительно шифровались с помощью кастомной реализации RSA. Это не имело отношения к сквозному шифрованию WhatsApp — цель была другой: спрятать утечки от систем мониторинга и сетевых средств защиты.

Эксперты отмечают, что атака отлично иллюстрирует главную проблему экосистемы open source: функциональность маскирует вредоносную логику. NPM остаётся одной из самых привлекательных целей для атак на цепочки поставок — из-за масштаба, доверия разработчиков и низкого порога публикации пакетов.

Ранее в новом докладе властей Великобритании прозвучала мысль, что разработка зашифрованных мессенджеров вроде WhatsApp теоретически может считаться «враждебной деятельностью».

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »