Pagina 1 di 2
goggle: altra "nefandezza"
Inviato: giovedì 25 giugno 2015, 21:20
da caturen
http://www.theregister.co.uk/2015/06/17 ... ote]"After upgrading chromium to 43, I noticed that when it is running and immediately after the machine is on-line it silently starts downloading 'Chrome Hotword Shared Module' extension, which contains a binary without source code," Yoshino wrote. "There seems no opt-out config."[/quote]
"Since no one really know which binaries have been downloaded there and what they actually do, and since it cannot be excluded that it was actually executed, such systems are basically to be considered compromised,"
come non essere d'accordo con
Mitterer even questioned whether Google should be trusted as an upstream contributor to the Debian project following the incident, especially given that the online ad giant's known cooperation with US government data snooping, voluntary and otherwise.
"Anyway, I haven't said that banning such software from Debian would be the only solution... but at least these incidents come far too frequent recently, so apparently something needs to be done at Debian level to pro-actively prevent future cases/compromises like this."
Re: goggle: altra "nefandezza"
Inviato: giovedì 25 giugno 2015, 22:24
da sbubba
qualcosa in italiano? (a quest'ora non riesco a capirci nemmeno col traduttore)
Re: goggle: altra "nefandezza"
Inviato: giovedì 25 giugno 2015, 22:37
da Papero_Assassino
da quel che ho capito, viene scaricato in background un'estensione la quale contiene i binari senza i codici sorgente (non so se abbia senso)
nessuno conosce la provenienza di esso, pertanto una soluzione potrebbe essere "bannare" il software
Re: goggle: altra "nefandezza"
Inviato: giovedì 25 giugno 2015, 23:28
da xavier77
Dopo aver aggiornato Chromium alla versione 43, ho notato che quando è in funzione e subito dopo che il computer è online, inizia zitto zitto a scaricare l'estensione 'Chrome Hotword Shared Module', che contiene un binario senza codice aperto - scrive Yoshino
Re: goggle: altra "nefandezza"
Inviato: giovedì 25 giugno 2015, 23:46
da caturen
sbubba ma che scuole hai frequentato? Se le hai frequentate
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 7:38
da trekfan1
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 8:42
da zeek
è bello ed esplicativo il modo in cui è stato scritto: "dal momento che nessuno sa esattamente quale binario sia stato scaricato e cosa faccia, visto che non può essere esclusa la sua esecuzione, il sistema è da considerarsi compromesso". È esattamente così.
ok, in realtà non è *esattamente* così:
Additionally, the Debian packages are intentionally built with nacl
DISABLED (in fact not built at all). So, at least on Debian, even if
the downloaded files were in fact malicious, without a nacl
interpreter present, there is absolutely no way to trigger the
badness.
comunque che un software qualsiasi prenda e scarichi un binario non è proprio il massimo.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 8:55
da sbubba
Si hai ragione, ma ero interessata alla questione. Non avevo tempo da perderci e non volevo che venisse chiusa come segnalazione, chiedo venia.
Quando sto davanti al PC con calma me lo leggo bene, promesso
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 9:11
da giacomosmit
Grazie @trekfan1 ,.
Anchio non conosco l inglese e anche poco d italiano .
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 9:27
da sbubba
Quanto è affidabile punto informatico? Comunque il fatto che scarica ma non è attivo è una grande presa in giro, intanto lo installa e quando lo attivo che succede? Registra tutto ciò che capta il microfono??
E su android com'è la situazione? O.o
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 9:31
da Sargonsei
Non è solo
Punto Informatico a scrivere queste cose...
http://espresso.repubblica.it/visioni/t ... e-1.218904
http://punto-informatico.it/4254101/PI/ ... linux.aspx
http://forum.debianizzati.org/viewtopic ... 7&p=195039
Se le cose stanno così, il problema non è solo il codice binario diffuso senza diffondere il codice sorgente (azione comunque non tollerata da chi vuole usare solo codice FREE), ma che
1) in assenza di codice sorgente, nessuno sa cosa faccia esattamente quel codice binario che Google Chrome scarica all'insaputa degli utenti.
2) è stato accertato che, dopo l'esecuzione del codice binario misterioso, Google Chrome è settato in modo da consentire l'acquisizione dati da periferiche audio tipo microfoni.
Questo dovrebbe preoccupare non solo i puristi del software free, ma anche chiunque tenga alla propria privacy.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 9:58
da giacomosmit
Grazie @Sargonsei , l avevo letto sull articolo postato in italiano da @trekfan1 .
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 10:02
da Sargonsei
Effettivamente avevo scritto il mio post come se tu non lo avessi letto, in realtà volevo fornire altre informazioni ed altre fonti a chi aveva dubbi sulla notizia, quindi ho modificato il mio post per essere più chiaro
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 10:10
da zeek
se non ho capito male, quel modulo dovrebbe servire ad attivare la ricerca google tramite la pronuncia delle parole "OK Google", per far ciò ovviamente deve stare in ascolto sul microfono.
Poi certo, cosa ne faccia di tutte quelle parole che vengono captate, interpretate e riconosciute diverse da "OK Google" non ci è dato saperlo.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 10:27
da sbubba
Se non c'era niente da nascondere potevano metterlo open source.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 11:09
da zeek
uhm beh non è proprio così.
Magari non vogliono rivelare l'algoritmo di riconoscimento vocale o comunque non puoi dare per scontato che sorgenti nascosti = software spia.
Non puoi escludere la possibilità, quello sì, ma non puoi dire "se non è open è un trojan", che ne pensi?
Tipo - tutti gli avvocati hanno studiato giurisprudenza ma non tutti quelli che hanno studiato giurisprudenza fanno l'avvocato.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 11:15
da sbubba
@zeek: si bella scusa. Ce lo hanno buttato alla chetichella come se avessero qualcosa da nascondere. Di sicuro non hanno fatto una bella figura, considerati poi i precedenti il dubbio viene.
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 11:21
da giulux
tutti gli avvocati hanno studiato giurisprudenza
conoscendo qualche esemplare della categoria, non ne sarei tanto sicuro
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 11:28
da zeek
ah beh, quello è poco ma sicuro.
Comunque questo ci da la dimensione di quanto l'attenzione alla sicurezza tra windows e linux sia veramente diversa - e quindi quanto cambi la percezione di sicurezza tra un utente windows e un utente linux.
Alla fine, se ci pensi, si tratta di un aggiornamento che ha aggiunto una funzionalità, aggiungendo appunto un binario, puoi chiamarla libreria, modulo, insomma una "feature".
Nel posto dove lavoro - $grande_multinazionale - abbiamo chrome installato sui computer e nessuno si è chiesto niente, vorrei sapere in quanti non hanno nemmeno considerato questa cosa.
(Tra l'altro figurati che il pacchetto distribuito da debian viene compilato facendo attenzione alla sicurezza e quindi abilitando e disabilitando determinate parti, su windows sta cosa non esiste e basta, si scarica il binario e stop)
@giulux - xD
Re: goggle: altra "nefandezza"
Inviato: venerdì 26 giugno 2015, 13:19
da caturen
Nel posto dove lavoro - $grande_multinazionale - abbiamo chrome installato sui computer e nessuno si è chiesto niente, vorrei sapere in quanti non hanno nemmeno considerato questa cosa.
e i "presunti" sistemisti di questa sedicente multinazionale non dicono niente? Probabilmente sono "sistemisti" nati e vissuti con windows: per forza che tollerano una cosa del genere , è nel loro dna
comunque che un software qualsiasi prenda e scarichi un binario non è proprio il massimo.
non è questione di massimo o minimo: su debian non deve assolutamente succedere che un programma open che sta nei repo free mi scarichi a mia insaputa un prodotto proprietario che poi non si sa cosa possa fare. In debian se uno vuole programmi non-free esiste un repo apposito. Fortunatamente hanno preso delle avvertenze e dalla prossima versione l'estensione non verrà scaricato, ma di sicuro questo fatto la dice lunga di come operi google.