Разработчики уличили корпорацию Google в незаконной прослушке

Ксения Голуб 24 Июня 2015 - 13:32

...

Нововведение в браузере Chromium позволяет Google подслушивать разговоры пользователей, находящихся неподалёку от своих компьютеров, заявили разработчики программного обеспечения. Но в корпорации утверждают, что модуль активируется только с согласия пользователей.

Согласно источнику, разработчики программного обеспечения обнаружили, что при установке браузера Chromium, появляются уведомления: «Микрофон включён» и «Захват аудио разрешён». Этому предшествует загрузка неких данных.

Как оказалось, загружаемый код позволяет пользоваться функцией голосового управления «OK, Google», однако пользователи высказали опасения, что теперь браузер сможет «подслушивать» за ними, отсылая аудиозаписи разговоров в корпорацию. Новый модуль стали именовать «чёрным ящиком», так как полной информацией о его возможностях и принципах работы обладает исключительно Google.

На новый код обратил внимание основатель шведской Пиратской партии Рик Фальквинге.

«Без вашего на то согласия Google скачивает «чёрный ящик» кода, который, согласно описанию, включает микрофон и активно следит за тем, что было произнесено в комнате, — пояснил он. — Это значит, что ваш компьютер был тайно настроен таким образом, чтобы посылать аудиозаписи всего, что было сказано в комнате, третьему лицу, частной компании в иностранном государстве, без вашего на то согласия и даже не информируя вас об этом».

«Мы не знаем и не можем знать, как функционирует этот «чёрный ящик», — заключил он.

В ответ на выраженную пользователями и разработчиками обеспокоенность корпорация Google поспешила сообщить, что модуль не активируется без согласия конечных пользователей. Компания также отметила, что «Chromium не является продуктом Google. Мы не занимаемся его распространением и не даём гарантий по поводу соответствия продукта различным правилам открытого кода».

Рик Фальквинге и сам признаёт, что использование микрофона браузером не означает автоматической передачи данных третьим лицам, однако отмечает, что никто не знает, на какие ключевые слова может отреагировать «чёрный ящик». По его мнению, единственным реальным методом противодействия потенциальной массовой слежке является отключение функций микрофона и камеры на компьютере.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 16:10

Уязвимости сайтов Домашние пользователи Малый и средний бизнес

В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

В плагине Smart Slider 3 для WordPress, который используется более чем на 800 тысячах сайтов, обнаружили неприятную уязвимость. Проблема позволяет аутентифицированному пользователю с минимальными правами — например, обычному подписчику — получить доступ к произвольным файлам на сервере.

Речь идёт об уязвимости CVE-2026-3098, которая затрагивает все версии Smart Slider 3 до 3.5.1.33 включительно. Исследователь Дмитрий Игнатьев сообщил о проблеме, после чего её подтвердили специалисты компании Defiant.

На первый взгляд уязвимость выглядит не самой страшной: для её эксплуатации нужна аутентификация. Поэтому ей присвоили средний уровень опасности. Но на практике всё не так безобидно. Если сайт поддерживает регистрацию, подписки или личные кабинеты, то даже пользователь с базовым доступом потенциально может добраться до конфиденциальных данных.

Главная опасность в том, что через эту брешь можно читать произвольные файлы сервера и добавлять их в экспортный архив. Под ударом оказывается, например, файл wp-config.php — один из самых важных для WordPress. В нём хранятся учётные данные базы данных, криптографические ключи, а это уже вполне может открыть дорогу к краже данных и даже к полному захвату сайта.

В AJAX-действиях экспорта у плагина не хватало проверок прав доступа. Иными словами, функция, которая должна была быть доступна далеко не всем, в уязвимых версиях могла вызываться любым пользователем. Дополнительной защиты nonce здесь оказалось недостаточно, потому что получить его может и обычный вошедший в систему юзер.

Патч вышел 24 марта вместе с версией Smart Slider 3 3.5.1.34. Но есть нюанс: несмотря на выход обновления, проблема всё ещё остаётся массовой. По статистике WordPress.org, за последнюю неделю плагин скачали более 303 тысяч раз, однако исследователи полагают, что как минимум 500 тысяч сайтов до сих пор работают на уязвимых версиях.

На момент публикации данных об активной эксплуатации этой уязвимости ещё не было. Но в таких случаях окно спокойствия обычно бывает недолгим: как только информация о баге становится публичной, злоумышленники начинают быстро проверять, какие сайты не успели обновиться.

Так что владельцам сайтов на WordPress, использующим Smart Slider 3, тянуть тут явно не стоит. Если плагин ещё не обновлён до версии 3.5.1.34, лучше сделать это как можно быстрее.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!