Сегодня выходит новая версия Firefox 93 для Android, в которой встроенный в браузер парольный менеджер сможет работать как системная хранилка паролей, то есть cможет вставлять логины и пароли в другие приложения, а пароли, введенные в приложения, можно будет автоматом сохранять в Firefox. Анонс уже вышел, в Play Market приложение пока не доехало, но обещают сегодня. Чтобы новая функция заработала, нужно будет выбрать в Firefox настройку "Настройки-Логины и пароли-Autofill in other apps".

Бесплатные браузерные парольные менеджеры постепенно обрастают функциями - сначала они научились синхронизировать пароли между устройствами, потом генерировать, теперь пароли приложений. Надо будет потестить.

Ссылка: https://blog.mozilla.org/en/mozilla/news/superhero-passwords-may-be-your-kryptonite-wherever-you-go-online/

В мае Google собирался тестировать автоматическое включение своим пользователям двухфакторной аутентификации. Похоже, тест прошел успешно, - теперь Google объявил, что до конца 2021 года автоматически включит двухфакторную для 150 миллионов пользователей.

Автоматически будут включать, если у пользователя:
1) Есть возможность использовать Google Prompt/Уведомления от Google. Это значит либо смартфон на Android, либо iPhone c установленными приложениями, которые умеют показывать эти уведомления (это приложения Поиск Google, Gmail или Google Smart Lock).
2) В аккаунте есть другой, резервный способ двухфакторной (например, Google Prompt + привязанный телефонный номер, на который есть возможность принимать коды).

Кроме этого, уже с 1 ноября двухфакторную обяжут включить всех владельцев Youtube-каналов с включенной монетизацией. По оценкам Googlе, это два миллиона аккаунтов.

Идея вполне рациональная и похоже, у них все получится. А если двухфакторная в Google аккаунте кому-нибудь очень не нужна, понятно, как избежать включения.

UPD: Google Prompt (Уведомления от Google) это диалоговые окна типа "кто-то сейчас заходит в ваш аккаунт из Новосибирска, это вы? да/нет"

Ссылка: https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/

Facebook опубликовал техническое объяснение, почему 4 октября все упало. Примерно то же самое, о чем уже писал Cloudflare, но официально. Ошибка в команде на роутерах, система аудита не сработала, внутренняя сеть легла, перестали анонсироваться маршруты по BGP, инженерам пришлось ехать "ножками" в дата-центры, а там накручена безопасность.

Цитата: "Мы провели большую работу по усилению защиты наших систем от неавторизованного доступа, и интересно, насколько эта защита замедлила восстановление работоспособности систем, не нарушенной действиями нарушителя безопасности, а случившейся по нашей собственной непреднамеренной ошибке. Считаю, что это все-таки хороший баланс - высокая безопасность ежедневной работы, но повышенное время восстановления при редком (как мы надеемся) событии вроде того, которое случилось".

Безопасность бывает неудобной)

Ссылка: https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/

Вышел третий и он же завершающий наш пост о блокировках VPN в России и в мире.
1. Ликбез по протоколам
2. Блокировки VPN в мире
3. Блокировки VPN в России (новый!)

В Firefox - новая фишка, Firefox Suggest - фактически реклама в адресной строке. Появляется не каждый раз, включена по умолчанию, выглядит как на картинке, пока работает только в США. "Для показа не собирается, не хранится и не передается никаких дополнительных данных".

Дополнительно у американских пользователей Firefox появилась еще и настройка "контекстные предложения" (contextual suggestions), это персонализация этой рекламы. Браузер будет просить явного разрешения пользователей, чтобы ее включить. Если согласиться, браузер будет передавать данные пользователя о поисковых запросах и просмотренных предложениях партнеру Mozilla, компании adMarketplace, через собственный прокси Mozilla (чтобы анонимизировать пользователей и не передавать лишних данных). От персонализации пользователи могут отказаться или настроить в Settings - Privacy and Security - Contextual suggestions.

Похоже, пытаются заработать.

Ссылка: https://support.mozilla.org/en-US/kb/navigate-web-faster-firefox-suggest

Сейчас наблюдаются проблемы с доступностью https://wikipedia.org
В Москве не работает на Ростелекоме, Мегафоне, МТС, но работает на Билайне.
Также недоступно по многим регионам, но не по всем.

Проблема википедии или снова РКН что-то экспериментирует?
Интересно, конечно, получается: если что-то упало - то виноват по дефолту РКН. И только потом уже может вскрыться что-то еще.
"Ложки нашлись, а остадок остался"

Доступность Википедии восстановлена.
Версия о блокировках не подтвердилась.

Код Дурова выяснил новые подробности про рекламу в Telegram, которая называется "спонсируемые сообщения" и на сегодня находится в режиме тестирования. Если вкратце: только текст, не больше 160 символов, без внешних ссылок, максимум один пост на канал, который будет выводиться после прочтения всех новых постов.

На первом этапе доход от рекламы будет получать только сам Telegram, но в будущем планирует делиться с владельцами каналов. Рекламодатели будут сами выбирать, в каких конкретных каналах размещать рекламу.

Про приватность: реклама не будет персонализованной, мессенджер не будет отслеживать клики и строить профили. Цитата из справки из бета-версии для IOS "Для показа рекламы не собираются и не анализируются никакие пользовательские данные, все пользователи, просматривающие канал, видят одно и то же сообщение. В отличие от других приложений, Telegram не отслеживает, нажимали ли вы на ссылку, и не строит профилей пользователей на основе поведения."

Монетизация.

Forbes пишет о том, как в США государство запрашивает, а Google выдает информацию о том, кто искал в их поиске определенные ключевые слова.

В 2020 году в рамках расследования уголовного дела о сексуальной эксплуатации Google выдал властям США аккаунты, IP-адреса и значения Cookie ID пользователей, которые искали в поисковой системе имя и адрес жертвы и имя ее матери. Cookie ID понадобился следователям, чтобы иметь возможность связать разные поисковые запросы незалогиненных в Google пользователей с девайсами.

Похоже, таких запросов не так много - это всего четвертая история, про которую что-нибудь известно, при том, что журналисты все время анализируют материалы судов. Три предыдущих тоже были в США и тоже были связаны с расследованием уголовных дел.

Запрос аккаунтов по ключевым словам в поиске похож на запрос по геолокации ("кто был примерно здесь в это время"), про который мы писали в августе. Оба этих типа запросов - не просьба сообщить информацию о конкретном пользователе, а поиск самих пользователей по их характеристикам. Эксперты по онлайн-приватности говорят, что основные проблемы с такими запросами - это во-первых, возможность "зацепить" невиновных, а во-вторых, возможность потенциально использовать такие запросы не по назначению, а, к примеру, для преследования инакомыслящих.

Если вы не хотите, чтобы история ваших поисковых запросов была привязана к вашему профилю и другой информации - достаточно использовать поисковые системы типа Duckduckgo или Startpage (последняя - по сути просто анонимизирующая прокладка к Google поиску). А если вы беспокоитесь, что Google раздает ваши данные направо и налево, почитайте их Политику конфиденциальности. Там детально описана процедура того, в каких случаях, кому и по какой процедуре могут быть переданы какие данные пользователей. Похоже, что Google удаляет контент по государственным запросам гораздо проще, чем выдает.

И раз уж речь зашла про анонимный поиск, в чате канала можно обсудить, чем вы пользуетесь.

Ссылки:
[1] https://www.forbes.com/sites/thomasbrewster/2021/10/04/google-keyword-warrants-give-us-government-data-on-search-users/
[2] https://t.iss.one/rks_tech_talk/168
[3] https://policies.google.com/terms/information-requests

Вышло новое исследование о том, сколько и какой информации передают производителям Android-смартфоны разных производителей без установленных приложений, а через встроенные сервисы и предустановленные приложения. Исследователи тестировали смартфоны от Samsung, Xiaomi, Huawei, Realme, а также телефоны с установленной сборкой LineageOS (с OpenGapps!!) и /e/OS (с MicroG). По условиям эксперимента телефоны не были залогинены в облака производителей и был отключен весь возможный сбор данных диагностики.

▪️(Почти) ничего не передает только /e/OS, поэтому эту сборку исследователи считают лучшей для приватности (но Calyx и Graphene они не тестировали). Все остальные телефоны передают много данных в Google через Google Play Services и Google Play (Google прокомментировал: оно так и работает, это пуши, обновления и все такое). Кроме этих данных LineageOS не передает больше ничего (наш коммент: а могли бы в Lineage поставить MicroG для чистоты эксперимента).
▪️Телефоны Realme собирают и передают в Realme идентификаторы устройства и список установленных приложений, но больше ничего. Само по себе это потенциально нехорошо, потому что во-первых список может содержать приложения, само наличие которых пользователь хочет скрыть, а во-вторых сам список может быть уникальным и на его основе можно фингерпринтить.
▪️Samsung, Xiaomi и Huawei записывают и передают на свои сервера то же, что Realme плюс данные о том, что делает пользователь на смартфоне (какие окна когда активны в некоторых или всех приложениях). Из них Xiaomi передает больше всего данных. Несколько системных приложений Samsung собирают данные о действиях пользователя (когда и сколько приложения были открыты) через встроенный Google Analytics.
▪️Телефоны Huawei записывают и передают данные в Microsoft через установленную по умолчанию клавиатуру Microsoft Swiftkey.
▪️На телефонах Xiaomi и Huawei в качестве системного приложения для работы с смс используется Google Messaging, который записывает и отправляет в Google действия пользователя, в том числе когда отправлены смски.

Проблема в том, что это [почти] неотключаемая передача, обычные пользователи не могут просто выбрать в настройках, чтобы этого не было. Еще из интересных результатов: исследователи отмечают, что вместе с изменяемыми идентификаторами (типа рекламным идентификатором AAID Google, который можно сбросить), обычно передаются неизменяемые (типа IMEI), поэтому при сбросе рекламного идентификатора можно все равно понять, что пользователь - один и тот же.

Остальные подробности читайте в самом исследовании (вот pdf на английском).

Сводная таблица из этого исследования о том, какие смартфоны что передают.

Разработчик расширения для браузера Unfollow Everything рассказывает, как Facebook угрожал ему судом и отключил его аккаунты в Facebook и Instagram навсегда.

Идея расширения простая - автоматическая отписка от всей ленты в Facebook, при этом соцсеть превращается в мессенджер и в ней больше не хочется сидеть целыми днями. Разработчик попробовал сделать это один раз руками, и ему так понравилось, что он написал и опубликовал расширение для Chrome. И даже не то, чтобы оно прямо взлетело, всего около 13 000 загрузок. Но Facebook прислал ему письмо и потребовал его удалить, угрожал судом и заблокировал его аккаунты в обеих своих соцсетях. Разработчик посоветовался с юристами, и решил, что судиться ему невыгодно, действительно есть шансы проиграть, а у него денег нет оплачивать расходы. Удалил.

Facebook вообще регулярно таким занимается. В прошлом году они таким же образом наехали на мобильный клиент соцсетей под названием Friendly за нарушение условий использования Facebook "путем изменения внешнего вида и функций Facebook и Instagram" и "препятствования их нормальному функционированию" и те отбивались при помощи юристов из EFF (Фонда Электронных Рубежей). А до этого, тоже в 2020 году корпорация угрожала судом университетскому проекту NYU Ad Observatory, в рамках которого пользователям Facebook предлагали установить исследовательское расширение, которое должно было фиксировать, какую рекламу кому показывают. И так далее.

В общем, юристы FB не любят, когда у пользователей появляется удобная возможность менять что-то в интерфейсе.

Ссылки:
[1] https://slate.com/technology/2021/10/facebook-unfollow-everything-cease-desist.html
[2] https://www.eff.org/deeplinks/2020/11/once-again-facebook-using-privacy-sword-kill-independent-innovation
[3] https://www.eff.org/deeplinks/2020/10/facebooks-election-week-war-accountability-wrong-wrong-wrong

ProtonVPN наконец включил поддержку протокола Wireguard в последних версиях своих приложений для Windows, macOS, Android и iOS, в том числе на бесплатных аккаунтах. Wireguard теперь - опция по умолчанию. Поддержку в приложении для Linux пока допиливают (мало реальных пользователей, поэтому им новинка доедет в последнюю очередь), конфигурационных файлов под Wireguard для использования без родных приложений пока не дают, просят подождать.

Если вы вообще не в курсе, о чем это все - тыц ссылка на Хабр с описанием. С одной стороны, обычно становится быстрее. С другой - месяц назад в России Wireguard на какое-то время блокировали, но вроде после выборов никто больше не жалуется.

Будете тестить скорость Wireguard против OpenVPN в Протоне - поделитесь результатами.

Ссылки:
[1] https://protonvpn.com/blog/wireguard/
[2] https://habr.com/ru/company/ruvds/blog/537010/
[3] https://t.iss.one/rks_tech_talk/188

Кстати, если бы Яндекс.Новости вывели иностранное агентство в виде фильтра в свои настройки, то очень многим он мог бы пригодиться

Группа криптографов и экспертов по безопасности выпустила совместную работу "Жучки в наших карманах - риски сканирования на клиентских устройствах". В списке авторов - Витфред Диффи (тот самый Диффи, который соавтор идеи криптографии с открытым ключом), Брюс Шнайер, Росс Андерсон, всего 15 мега-крутых имен.

Речь идет об идее Apple искать на iPhone детское порно и сообщать об этом государству (CSAM) и подобных попытках технологических компаний организовать проверку контента прямо на клиентских устройствах (в работе это назвается Client Side Scanning - CSS). Эта идея в сочетании со сквозным (end-to-end) шифрованием представляется ее сторонникам решением проблемы борьбы с преступностью с сохранением приватности.

Все авторы - против этой идеи в целом, то есть не конкретной реализации, которую предлагал Apple, и пока поставил на паузу, а вообще любого такого сканирования. Они считают, что если присмотреться, CSS - массовая слежка, только автоматическая и распределенная и поэтому как будто не похоже. Если выбирать между слабым шифрованием и CSS, авторы считают, что CSS - хуже, потому что проверяются не только коммуникации, а и информация, которая просто хранится на устройствах.

Авторы говорят, что даже если все начинается с попыток решить такую реальную проблему как распространение детского порно, в будущем государства скорее всего захотят оказывать давление на технологические компании, чтобы искать другой контент, который в этих государствах считается незаконным или нежелательным. Например, EC уже говорит о намерениях при помощи этой технологии бороться с терроризмом и экстремизмом. Еще одна проблема, которую государства скорее всего быстро захотят решать - соблюдение авторских прав и запрет пиратского контента. А там пошло-поехало.

Система непрозрачна, поэтому у пользователей нет возможности проверить, какой именно контент CSS ищет, как составлены списки и кому стучат их устройства. В отличие от антивируса или блокировщика рекламы, которые тоже сканируют контент, но в явных интересах хозяина устройства, CSS работает против него. Из-за этого может измениться само отношение пользователей к своим гаджетам - известно, что люди ведут себя по-другому, когда знают, что за ними следят. Это "опасный социальный эксперимент".

46 страниц на английском в pdf, в тексте много технических подробностей, очень рекомендуем почитать целиком: https://arxiv.org/abs/2110.07450

Whatsapp анонсировал шифрование облачных резервных копий для своих приложений под IOS и Android. Функция будет выкатываться постепенно, поэтому приехать может не сразу. Включить ее можно будет в том же разделе, где остальные настройки резервных копий.

До этого сами коммуникации в Whatsapp были защищены сквозным (end-to-end) шифрованием, но бэкапы в облака Google и Apple зашифрованы не были. В результате злоумышленник, получивший доступ к облачным сервисам, мог восстановить бэкапы на новое устройство и получить доступ к архиву переписки пользователя. Ну и, строго говоря, Apple или Google могли выдать резервную копию архива переписки по запросу. Из-за этого многие пользователи резервные копии в Whatsapp отключали.

Теперь добавляется два варианта защиты: дополнительный пароль на бэкапы или 64-битный ключ шифрования. Если ее включить, обе эти проблемы вроде как решаются.

Хорошая новость, хотя Whatsapp не становится от этого любимым мессенджером любителей онлайн-приватности. При этом даже странно, что у них получилось. Apple тоже очень хотел сделать сквозное шифрование бэкапов iMessage в iCloud, а потом передумал - на них тогда надавил ФБР, типа, с этими зашифрованными бэкапами в iCloud будет неудобно расследовать преступления.

Ссылка: https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on-whatsapp/