.
em resumo O Google resolveu outro processo de rastreamento de localização, mais uma vez sendo multado em uma ninharia relativa.
Escritório do procurador-geral do estado de Washington, Bob Ferguson anunciado a multa de $ 39,9 milhões na semana passada, junto com a notícia de que o Google terá que implementar várias reformas de rastreamento ordenadas pelo estado que esclarecem quais dados estão sendo coletados e para quais fins.
“A resolução de hoje responsabiliza uma das corporações mais poderosas por suas táticas antiéticas e ilegais”, disse Ferguson em um comunicado.
O processo é semelhante para outros arquivados em todo o país no ano passado, com procuradores gerais em Indiana, Texas e Washington, DC, juntando-se ao estado de Washington para processar o Google por alegações de que ele usou “padrões sombrios” para induzir os usuários a permitir o rastreamento de localização e a coleta de dados, além de dificultar optar por sair.
Em janeiro, Washington DC e Indiana anunciaram uma liquidação conjunta com o Google que rendeu ao par $ 9,5 milhões e $ 20 milhões, respectivamente, que o escritório do procurador-geral do estado de Washington disse que optou por não assinar em uma tentativa de ganhar mais dinheiro para os cofres do estado.
“Em vez de aderir a um acordo multiestadual, o escritório de Ferguson entrou com seu próprio processo e obteve esta resolução. O Gabinete do Procurador-Geral estima que Washington recebeu mais que o dobro do valor que teria recebido sob o acordo multiestadual mais amplo”, disse o escritório de Ferguson.
Embora seja verdade que o estado de Washington ganhou consideravelmente mais do que DC ou Indiana, vale a pena notar, como tantas vezes temos que fazer em El Regque mesmo um acordo de US$ 40 milhões provavelmente não fará com que os contadores da Alphabet parem.
No primeiro trimestre deste ano, a empresa controladora do Google anunciado [PDF] teve lucro líquido de US$ 15,05 bilhões.
O escritório de Ferguson disse que pretende usar a multa do Google para continuar aplicando a Lei de Proteção ao Consumidor. Seu órgão de fiscalização, a Divisão de Proteção ao Consumidor, recebe o mínimo de dinheiro do governo e é amplamente financiado por recuperações em casos como este.
Vulnerabilidades críticas da semana: edição KeePass
Usuários do gerenciador de senhas KeePass, cuidado: ele contém um vulnerabilidade desagradável que poderia ser usado para recuperar todos, exceto o primeiro caractere, da senha mestra de um usuário em texto simples de qualquer número de arquivos de despejo de memória diferentes em um sistema de destino. De acordo com o pesquisador que o encontrou, não há mitigação disponível até que o KeePass versão 2.54 seja lançado no próximo mês.
Nas notícias sobre exploração ativa, vale a pena mencionar um par de vulnerabilidades de sete anos vinculadas ao Java Management Extensions, ou JMX: elas são generalizadas, perigosas e a CISA disse que estão sendo exploradas ativamente.
CVE-2016-3427, o primeiro do par, envolve uma vulnerabilidade não especificada no Oracle Java SE versões 6u113, 7u99 e 8u77; Java SE Embedded 8u77 e JRockit R28.3.9 que podem permitir que um invasor remoto “afete a confidencialidade, integridade e disponibilidade por meio de vetores relacionados ao JMX”, de acordo com ao NIST. Junte isso com uma vulnerabilidade RCE em várias versões do Apache Tomcat que exige que um invasor tenha acesso às portas JMX, e você tem uma receita para o desastre.
Em notícias KEV não relacionadas, o Ruckus Wireless Admin até a versão 10.4 permite RCE por meio de uma solicitação HTTP Get não autenticada; remendos estão disponíveis, então instale agora.
Nas notícias do ICS, há três questões a serem observadas esta semana:
- CVS 10.0 – Múltiplos CVEs: O firmware do coletor de dados OpenBlue Enterprise Manager da Johnson Controls anterior a 3.2.5.75 contém um problema de autorização imprópria que um invasor pode explorar para fazer chamadas de API
- CVS 9.8 – CVE-2020-6967: O software FactoryTalk Diagnostics da Rockwell Automation entre as versões 2.00 e 6.11 contém uma falha de desserialização que um invasor pode explorar para executar código com privilégios de nível de sistema.
- CVS 8.6 – Múltiplos CVEs: O software OvrC Pro do Snap One anterior à versão 7.3 contém várias vulnerabilidades que podem permitir que um invasor reivindique dispositivos, execute código arbitrário e divulgue informações do dispositivo.
Dispositivos Android que não são de telefone ainda são enviados com malware também
Informamos recentemente que os pesquisadores de segurança da Trend Micro na Black Hat Asia descobriram que milhões de aparelhos Android construídos por OEMs de baixo custo foram misturado com malwareagora novos relatórios desta semana apontam para populares caixas de TV Android vendidas na Amazon com problemas semelhantes.
De acordo com para o pesquisador de segurança Daniel Milisic, que comprou um decodificador Android infectado da Amazon fabricado pela empresa chinesa AllWinner, vários modelos populares da AllWinner e da empresa chinesa RockChip estão sendo enviados com malware que atinge imediatamente um servidor C2 assim que é ligado.
Como acontece com outros malwares semelhantes, grande parte dele vem com hardware de baixo custo fabricado por empresas com práticas de segurança da cadeia de suprimentos ruins, e o bug pode ter sido inserido em qualquer estágio da produção por qualquer número de parceiros de fornecimento.
Milisic afirma ter encontrado certificados expirados em seu dispositivo que apontavam para a plataforma de publicidade móvel Dotinapp, uma plataforma de publicidade móvel que parece extinta. Basta adicionar isso à longa lista de semelhante problemas que os dispositivos Android de orçamento lidaram ao longo dos anos – considere isso uma lição de “você obtém o que paga” quando se trata de hardware de computação.
Google abandona CVEs para todos pelas vulnerabilidades mais graves
Google disse que tinha planeja adicionar um sistema de classificação de qualidade aos relatórios de vulnerabilidade de segurança – yay – enquanto também diz que planeja parar de atribuir CVEs à maioria dos problemas relatados – boo.
Poucos argumentariam que os relatórios de vulnerabilidade poderiam se beneficiar de classificações de qualidade com base em detalhes, análises, inclusão de provas de conceitos e afins. Não anexar números CVE “para problemas de gravidade mais moderados”, no entanto, parece menos uma tentativa de incentivar a descoberta e relatórios de alta qualidade sobre vulnerabilidades e mais uma maneira de reduzir o que é catalogado em uma tentativa de melhorar a aparência.
CISA descreve atribuir um ID CVE como etapa um na catalogação de vulnerabilidades exploradas conhecidas. Sem dados sobre vulnerabilidades de média e baixa gravidade nos produtos do Google, apenas uma empresa se beneficiará: o Google, ofuscando a maior parte de suas vulnerabilidades. ®
.
