ICD News #9

5 miesięcy temu

Spis treści

  • Prywatność
    • Firefox 128 wdraża funkcje ułatwiające śledzenie skuteczności reklam
    • Windows automatycznie włącza wysyłanie plików na OneDrive
  • Technologia
    • Nike ubija aplikację do smart butów
    • Google nie pozwala Gemini AI informować o tym, jak pobierać filmy z YouTube
    • Mastodon ułatwia oznaczanie autorów artykułów
  • Prawo
    • UOKIK wziął udział w globalnym poszukiwaniu deceptive patterns stosowanych w praktykach sprzedażowych
    • Opera domaga się, aby MS Edge uzyskał status strażnika dostępu
    • Paypal ukarane za stosowanie niedozwolonych klauzul umownych
    • Zarzuty UOKIK wobec procesu reklamacyjnego Enter Air
    • PUODO o ujawnianiu danych użytkowników dopuszczających się naruszeń prawa autorskiego
  • Bezpieczeństwo
    • Zabezpieczenia “dynamicznych biletów” złamane
    • Nowa kategoria podatności - ataki na dane
    • Atak Blast-RADIUS

Prywatność

Firefox 128 wdraża funkcje ułatwiające śledzenie skuteczności reklam

Privacy-Preserving Attribution | Firefox Help
Firefox 128 introduces privacy-preserving attribution, allowing advertisers to measure campaign performance while protecting user privacy.
Mozilla Support Logo

W panelu ustawień przeglądarki Firefox w wersji 128 pojawiła się opcja „Zezwalanie witrynom na przeprowadzanie pomiarów reklam przy zachowaniu prywatności” (ang: „Allow websites to perform privacy-preserving ad measurement”). Jest domyślnie włączona. Można ją wyłączyć w ustawieniach (Ustawienia → Prywatność i bezpieczeństwo).

O ile poziom zachowania prywatności przez tę funkcję jest poddawany dyskusji, o tyle z naszej strony niewłaściwe jest:

  • ustawienie tej opcji jako domyślnie włączonej;
  • wdrażanie jakichkolwiek funkcji w przeglądarce, które służą reklamodawcom, a nie użytkownikom Sieci.

CTO Firefoxa umieścił na Reddicie komentarz w tej sprawie.

Windows automatycznie włącza wysyłanie plików na OneDrive

Windows 11 is now automatically enabling OneDrive folder backup without asking permission
Microsoft quietly changed how folder backup works in the OneDrive app on Windows 11. Now, the OS enables it by default during the initial setup without asking the user for permission.
NeowinTaras Buria

Microsoft zmienił ustawienia instalatora systemu tak, iż w nowych instalacjach OneDrive jest domyślnie włączony, bez pytania, przez co pliki z chmury użytkowika są pobrane na dysk komputera i wysyłane z komputera do chmury. Może to doprowadzić do sytuacji, w której użytkownicy niechcący i nieświadomie wrzucą wrażliwe pliki do microsoftowej chmury.

Technologia

Nike ubija aplikację do smart butów

“Immensely disappointing”: Nike killing app for $350 self-tying sneakers
Without updates or ability to download after August, app will become useless.
Ars TechnicaScharon Harding

Nike usuwa możliwość pobrania aplikacji obsługującej smart buty tej marki i zapowiada, iż nie będzie tworzyć aktualizacji dla dotychczasowych użytkowników. Powodem przytoczonym przez Nike jest to, iż nie produkują już nowych modeli z tej serii obuwia. Ci, którzy pobrali aplikację dotychczas, będą mogli przez cały czas z niej skorzystać - ale przyszłe aktualizacje iOS i Androida mogą sprawić, iż aplikacja nie będzie już działać, przez co właściciele tych butów nie będą mogli zmieniać koloru lampek wbudowanych w obuwie. Wszystkie inne funkcje są dostępne dzięki przycisków na butach.

Google nie pozwala Gemini AI informować o tym, jak pobierać filmy z YouTube

https://x.com/adocomplete/status/1811802857022324904

Jak zauważył użytkownik adocomplete na Twitterze, Google Gemini potrafi podpowiadać komendy terminalowe do różnych zastosowań, ale odmawia podania komendy obsługującej yt-dlp - otwartego narzędzia do pobierania filmów z YouTube.

Potwierdziliśmy samodzielnie takie zachowanie Gemini AI.

Mastodon ułatwia oznaczanie autorów artykułów

Highlighting journalism on Mastodon
Today we’re launching a new feature that will highlight writers and journalists that are active on the fediverse when their articles are being shared.
Mastodon Blog

Autorzy witryn internetowych mogą dodać metatag do danej strony, w którym umieszczą nazwę użytkownika fediversum, który oznaczony jest jako autor treści na tej stronie. Aplikacja mobilna i webowa Mastodona następnie będą dodawały link do profilu tego autora przy każdym udostępnieniu linka do jego artykułu.

Prawo

UOKIK wziął udział w globalnym poszukiwaniu deceptive patterns stosowanych w praktykach sprzedażowych

Wielkie „wymiatanie” złych praktyk w e-commerce
<p>UOKiK wziął udział w globalnym przeglądzie internetu szukając manipulacyjnych praktyk sprzedażowych – tzw. dark patterns. Co najmniej jeden dark pattern stosowało ponad 75 proc. z 642 zbadanych stron internetowych i aplikacji mobilnych.</p>
Urząd Ochrony Konkurencji i KonsumentówGrzegorz Dagis

UOKIK uczestniczył w przeglądzie sprzedażowych stron internetowych i aplikacji mobilnych organizowanym przez Międzynarodową Sieć Ochrony Konsumentów. Inicjatywa miała na celu odnalezienie, a następnie eliminację deceptive patterns stosowanych w praktykach sprzedażowych. Jaka niedozwolona praktyka występowała najczęściej oraz jakie działania podejmuje UOKIK w celu zlikwidowania bezprawnych praktyk internetowych można dowiedzieć się z komunikatu UOKIK.

Opera domaga się, aby MS Edge uzyskał status strażnika dostępu

Opera requests that the EU General Court secure the DMA’s promise of free browser choice on all platforms
Opera is appealing the EU Commission’s decision not to designate Microsoft Edge as a gatekeeper, and requesting to keep freedom of choice.
Opera NewsOpera Team

Opera składa skargę na decyzję Komisji Europejskiej, aby nie przyznać przeglądarce Edge statusu „strażnika dostępu” na mocy DMA. Zwraca uwagę, iż Microsoft utrudnia użytkownikom swobodny wybór przeglądarki i to negatywnie wpływa na konkurencję na rynku przeglądarek.

Opera korzysta z tego samego silnika renderowania stron, co Microsoft Edge.

Paypal ukarane za stosowanie niedozwolonych klauzul umownych

Ponad 106 mln zł kary dla PayPal
<p>PayPal Europe stosuje niedozwolone postanowienia – uznał Prezes UOKiK w najnowszej decyzji. </p>
Urząd Ochrony Konkurencji i KonsumentówGrzegorz Dagis

Prezes UOKIK nałożył ponad 106 mln zł kary na Paypal w związku ze stosowaniem niedozwolonych klauzul umownych w „Umowie z użytkownikiem Paypal”. O tym jakie postanowienia i dlaczego zostały zakwestionowane przez organ można przeczytać w komunikacie opublikowanym na stronie urzędu.

Zarzuty UOKIK wobec procesu reklamacyjnego Enter Air

Uszkodzony bagaż? Opóźniony lot? – Enter Air z zarzutami Prezesa UOKiK
<p>Prezes UOKiK postawił zarzuty liniom lotniczym Enter Air, które wprowadzają konsumentów w błąd, a przez to mogą naruszać ich zbiorowe interesy.</p>
Urząd Ochrony Konkurencji i KonsumentówGrzegorz Dagis

W związku z wpływającymi do UOKIK doniesieniami od poszkodowanych podróżnych dotyczących nieprawidłowości związanych z przeprowadzaniem procesu reklamacyjnego przez linie lotnicze Enter Air, UOKIK postanowił postawić im zarzuty. Organ wskazał, iż stosowane praktyki mogą wprowadzać w błąd konsumentów oraz naruszać ich zbiorowe interesy. O tym na czym dokładnie polegały zakwestionowane działania i jakie konsekwencje grożą Enter Air w przypadku potwierdzenia zarzutów można przeczytać w komunikacie opublikowanym na stronie urzędu.

PUODO o ujawnianiu danych użytkowników dopuszczających się naruszeń prawa autorskiego

Należy ograniczyć dostęp do danych użytkowników łamiących prawa autorskie
Trzeba zmienić przepisy Prawa telekomunikacyjnego, tak by przy okazji ścigania naruszeń prawa autorskiego nie pobierać informacji dotyczących innych aspektów życia danej osoby w&nbsp;zakresie dostępu organów ścigania do danych objętych tajemnicą telekomunikacyjną. Takie są konsekwencje wyroku TSUE w…
UODO

Prezes Urzędu Ochrony Danych Osobowych zajął stanowisko w sprawie żądania przez organy ścigania dostępu do danych osobowych użytkowników naruszających prawo autorskie. Wskazał, iż ściganie naruszeń prawa autorskiego nie może wiązać się z pobieraniem informacji dotyczących innych aspektów życia, objętych tajemnicą telekomunikacyjną. Zasygnalizował także konieczność wprowadzenia zmian w Prawie Telekomunikacyjnym. Z kompleksowym stanowiskiem PUODO można zapoznać się na stronie internetowej urzędu.

Bezpieczeństwo

Zabezpieczenia “dynamicznych biletów” złamane

Reverse Engineering TicketMaster’s Rotating Barcodes (SafeTix)
“Screenshots won’t get you in”, but Chrome DevTools will.
ConduitionConduition

Jednym z wynalazków firmy sprzedającej bilety na koncerty Ticketmaster jest system SafeTix, który zamiast drukowanych biletów wymusza korzystanie z aplikacji na telefon, wyświetlającej zmieniający się kod. Z podobnych systemów zaczęły też korzystać inne platformy sprzedażowe, ponieważ mają one (z ich punktu widzenia) wiele zalet - wymuszają korzystanie z ich pośrednictwa w celu odsprzedawania biletów, zapewniają im dostęp do dużej ilości danych użytkowników, etc. Niedawno system Ticketmaster został rozpracowany i wydaje się, iż inne systemy działały podobnie, bo zaczęły się pojawiać serwisy WWW umożliwiające odsprzedaż biletów poza kanałami oficjalnymi. Ticketmaster na razie nie podjął kroków prawnych, być może mając na względzie, iż jest powszechnie uważany za monopolistę i iż Departament Sprawiedliwości oskrażył go o praktyki monopolistyczne, ale pierwszy pozew od innej firmy - AXS, pojawił się już w styczniu i sprawa jest w toku.

Nowa kategoria podatności - ataki na dane

Practical Data-Only Attack Generation | USENIX
USENIXusenix_logo_notag_white

Atakujący systemy informatyczne często wykorzystują podatności w programach, żeby odpowiednio manipulując danymi przez te programy przetwarzanymi, przekonać system iż wykonuje kod danego programu, podczas gdy naprawdę wykonuje kod dostarczony przez atakującego. Istnieją jednak ataki, w których atakujący używa wyłącznie kodu działającego programu, jedynie umiejętnie zmieniając przetwarzane dane. Choć może to pomóc w ominięciu wielu mechanizmów ochrony stosowanych we współczesnych systemach operacyjnych, do tej pory było uznawane za trudne i możliwe tylko w szczególnych sytuacjach. Jednak niedawno pojawiła się praca, która pokazuje, iż jest to dużo prostsze niż się wydawało (nieco przystępniejsze wprowadzenie można przeczytać tutaj), a choćby opublikowali narzędzie, które w tym pomaga. prawdopodobnie więc w przyszłości czeka nas kolejny wyścig zbrojeń między atakującymi i zabezpieczającymi na tej nowej płaszczyźnie.

Atak Blast-RADIUS

BLAST RADIUS
Of course! Various versions with transparent, white, and black background are available here.

Protokół RADIUS służy do uwierzytelniania, głównie w sieciach WiFi i VPNach. Ponieważ jest już stary i używa funkcji skrótu MD5, właśnie pojawił się atak o nazwie Blast-RADIUS, który wykorzystuje jej słabości do jego złamania. Ponieważ RADIUS jest wykorzystywany powszechnie, a podatność istnieje w samym protokole (a nie w konkretnej implementacji), atak może potencjalnie dotyczyć bardzo wielu systemów.

Idź do oryginalnego materiału