Η Google έχει αφήσει τους χρήστες Android σε σύγχυση αφού η πιο πρόσφατη ενημέρωση της εφαρμογής Google για κινητά έκανε τους συνδέσμους που κοινοποιούνται από την εφαρμογή να προσαρτώνται τώρα με έναν μυστηριώδη τομέα “search.app”.
Καθώς η εφαρμογή Google είναι μια δημοφιλής πύλη για αναζήτηση στον ιστό για χρήστες Android και παρέχει μια εξατομικευμένη ροή ειδήσεων περιεχομένου που αναφέρεται ως Google Discover, έχει προκαλέσει ανησυχία σε όσους παρατήρησαν τους νέους συνδέσμους.
Τι είναι αυτά τα μυστήρια search.app έδαφος διά παιγνίδι γκολφ;
Στις 6 Νοεμβρίου 2024, η Google κυκλοφόρησε την έκδοση Android 15.44.27.28.arm64 της εφαρμογής της. Περίπου την ίδια περίοδο, η εταιρεία κυκλοφόρησε επίσης ενημερώσεις Chrome (Android). [1, 2] “σε ένα μικρό ποσοστό χρηστών.”
Έκτοτε, οι σύνδεσμοι που προβάλλονται στο πρόγραμμα περιήγησης Chromium εντός εφαρμογής της Google, όταν κοινοποιούνται εξωτερικά, προσαρτώνται με έναν τομέα “search.app”.
Το BleepingComputer παρατήρησε τη συμπεριφορά λίγο μετά την ενημέρωση της εφαρμογής Google και ομολογούμε ότι η θέα ενός μυστηριώδους τομέα μας άφησε σε ανησυχία στην αρχή. Παραβιάστηκε η συσκευή μας από adware;
(BleepingComputer)
Οι ανησυχίες μας επαναλαμβάνονται από άλλους χρήστες στο Reddit αυτήν την εβδομάδα.
“Πρόσφατα (πριν από λίγες ημέρες), παρατήρησα ότι κάθε σύνδεσμος που κοινοποιείται από το πρόγραμμα περιήγησης ιστού εντός εφαρμογής της Google χρησιμοποιεί τον τομέα “search.app”.” ερωτηθείς Χρήστης Reddit danilopiazza.
“Για παράδειγμα, προσπαθώντας να μοιραστώ τον σύνδεσμο προς την αρχική σελίδα του Reddit, λαμβάνω: https://search.app?link=https%3A%2F%2Fwww.reddit.com%2F&utm_campaign=…&utm_source=…”
“Είναι αυτή μια νέα δυνατότητα από την εφαρμογή Google;”
Ένας αναγνώστης απάντησε, “Φαίνεται ότι. Το παθαίνω κι εγώ. Στην αρχή νόμιζα ότι είχα μολυνθεί με κάποιο είδος κακόβουλου λογισμικού ή με κάποιο τρόπο άλλαξε κάποια ρύθμιση εν αγνοία μου.”
Παρόμοιες αναρτήσεις προέκυψαν από άλλοι.
Το BleepingComputer παρατήρησε συνδέσμους που κοινοποιήθηκαν μέσω αναρτήσεων στα μέσα κοινωνικής δικτύωσης Χ και Facebook μέσω της εφαρμογής Android της Google αυτή την εβδομάδα φέρουν επίσης τον τομέα “search.app”:
(BleepingComputer)
Παρατηρήσαμε μερικά παλιότερες αναρτήσεις (από τον Ιούνιο του 2024) στα μέσα κοινωνικής δικτύωσης με συνδέσμους search.app που είχαν μια μάλλον διαφορετική δομή URL, π.χ. https://search[.]app/ddc8Ap3W8nySXJ7bA
Είναι το search.app ασφαλές;
Με απλά λόγια, search.app είναι ένας τομέας ανακατεύθυνσης URL, όπως περίπου t.co χρησιμοποιείται από το X (πρώην Twitter), της Google g.coή του Meta m.me.
Η προετοιμασία συνδέσμων με “https://search.app?link=” θα δώσει στην Google βελτιωμένη ορατότητα σχετικά με τον τρόπο κοινής χρήσης των συνδέσμων εξωτερικά από τους χρήστες της εφαρμογής Google και ΠΟΥ κάνουν κλικ σε αυτούς τους συνδέσμους (δηλ παραπομπών).
Εκτός από τη συλλογή αναλυτικών στοιχείων, τοποθετώντας τον εαυτό της μεταξύ χρηστών και εξωτερικών συνδέσμων χρησιμοποιώντας τον τομέα “search.app”, η Google θα έχει πλέον τη δυνατότητα να αποκλείει την επισκεψιμότητα σε τομείς ηλεκτρονικού “ψαρέματος” (phishing) ή χακαρισμένους τομείς, σε περίπτωση που ένας ιστότοπος παραπλανηθεί ή σε περίπτωση που Οι χρήστες μοιράζονται μαζικά αμφισβητούμενο περιεχόμενο μεταξύ τους (όπως ένας ιστότοπος απάτης).
Στις δοκιμές μας, η πλοήγηση στο search.app μας οδήγησε απευθείας σε μια σελίδα “Μη έγκυρος δυναμικός σύνδεσμος” με λογότυπο Firebase.
(BleepingComputer)
Το Firebase εξαγοράστηκε το 2014 από την Google και έγινε από τότε “Η πλατφόρμα ανάπτυξης για κινητά της Google που σας δίνει τη δυνατότητα να δημιουργήσετε και να αναπτύξετε γρήγορα την εφαρμογή σας.”
Παρατηρήσαμε μια παρόμοια οθόνη κατά την πλοήγηση σε έναν άλλο τομέα της Google: https://search.app.goo.gl/
Κατά ειρωνικό τρόπο, οι δυναμικοί σύνδεσμοι Firebase είναι καταργήθηκε και πρόκειται να κλείσει μέχρι τον Αύγουστο του 2025.
Οι εγγραφές WHOIS τόσο για το search.app όσο και για το goo.gl εμφανίζουν την Google LLC ως τον οργανισμό εγγραφής και το MarkMonitor ως τον καταχωρητή.
Πιστοποιητικό SSL και φιλοξενία που μοιράζονται πάνω από εκατό τομείς
Μετά τη δημοσίευση αυτού του άρθρου, πολλοί αναγνώστες του BleepingComputer έχουν επισημάνει μια ανωμαλία με το πιστοποιητικό TLS που εκδόθηκε για τον τομέα «search.app».
Για να προσθέσετε σύγχυση, το πιστοποιητικό του search.app έχει οριστεί ως Common Name (CN). fallacni.com, ένας γαλλόφωνος ιστότοπος που ισχυρίζεται ότι σας βοηθά να «βρείτε την εθνική σας ταυτότητα».
(BleepingComputer)
Το BleepingComputer παρατήρησε περαιτέρω ότι το ίδιο πιστοποιητικό SSL χρησιμοποιείται από περισσότερους από εκατό τομείς, που φαίνονται παρακάτω, οι οποίοι φιλοξενούνται στον ίδιο διακομιστή Firebase (διεύθυνση IP 199.36.158.100).
fallacni.com
vireum.com
meatton.go1pos.com
digitley.co.in
www.mcseat.es
portfos.σε
app.eluminate.in
dailypostbeat.com
www.hertzog-psychologue.fr
www.kanau.page
venits.com
www.weiwhite.com
jzz.me
golden-notes.io
peacedollar.org
ing-v3.sudahdistaging.in
merchantinstall.iomd.info
search.app
www.directions.healthcare
jellyjam.io
www.oeson.in
www.cutrite.app
api.onflix.app
cmouse.app
www.preaching.app
doc-internal.dalek.rs
honeycome.jp
εξέδρα.εργαλεία
www.dreamlin.com
fireacademy.io
mumbai.toobzgaming.com
risingstar.blackmint.io
qanda.link
editor.agua.app
aariz.me
link.nibo.com.br
site-result-auctions.farmgateauctions.com.au
beta.inhouseorders.io
typov.app
www.azvn.app
m.fiskal.app
genesix.ai
join.getostrich.app
swan-business-bugfix.ingogodev.net
compizza.lupi.delivery
bm.fusheng.info
preparhub.ca
go.holler.io
συνάντηση.skylar.ai
easterbay.org
invest.scoutout.io
www.un-sichtbarespuren.de
cronometro.net
overthemoon.τέχνη
www.scenid.com
craftbyte.net
coloryourvoice.com
avantagecpo.com
fouronetwo.equiem.mobi
yo-dev.eparatodos.org
federalcafe.5loyalty.com
bstsst.com
b.ejsa.io
souscription.flitter.fr
flyvendas.com.br
flairtime.com
cinemetric.app
flyclub.app
www.endevagames.com
getpayify.app
justpic.app
selfy.ai
omnamo.app
davidvu.co.uk
console.shopezy.app
home.jooni.app
gpso.se
guicerpro.com
demo.pricely.app
speccon.cnfg.app
collctiv.app
productbacklog.dev
app1.posible.in
bookmark.undef.in
jeyhid.com
retro-it.com
rakesfieldandpeach.com
digitalnepalsolution.com
ryandine.com
dranandcardiocare.com
desiderioalmansa.com
vekend.com
strozu.com
hausasteri.com
bishoyriad.com
harshalplus.com
deliveryhub.app
eplise.com
ultrasiteservices.co.uk
reciproitsolutions.com
Είναι πιθανό ότι αυτό οφείλεται στη χρήση λειτουργιών SSL/TLS όπως Εναλλακτικό όνομα θέματος (SAN) που καθιστούν δυνατή την εξυπηρέτηση πολλών τομέων μέσω HTTPS μέσω ενός κοινού πιστοποιητικού. Αλλά σίγουρα θα ήταν μια παράτυπη πρακτική για την Google. Για σύγκριση, το πιστοποιητικό της Google search.app.goo.gl έχει το CN του ρυθμισμένο σε ‘misc-sni.google.com’ και φιλοξενείται στη διεύθυνση IP, 216.58.212.206.
Ενώ μέχρι στιγμής, το search.app Οι διευθύνσεις URL ανακατεύθυνσης φαίνεται να είναι ασφαλείς και να λειτουργούν επίσημα από την Google, η απόλυτη έλλειψη τεκμηρίωσης γύρω από τον τομέα είναι περίεργη, όπως και η έλλειψη αναφοράς στα δημόσια αρχεία καταγραφής αλλαγών των έργων ανοιχτού κώδικα της Google, όπως το Android ή το Chromium.
Η κυκλοφορία των ενημερώσεων εφαρμογών είναι βέβαιο ότι θα προειδοποιήσει ακόμη περισσότερους χρήστες τις επόμενες ημέρες που μπορεί να αναρωτηθούν εάν η συσκευή τους συμπεριφέρεται ακανόνιστα ή έχει παραβιαστεί από κακόβουλο λογισμικό.
Αυτή είναι η προσπάθεια της Google να μιμηθεί το Apple News που δημιουργεί συνδέσμους προς εξωτερικές ιστορίες με https://apple.news?
Στο παρελθόν, η χρήση παράξενων τομέων GVT1.com από το Google Chrome έχει προσελκύσει τον έλεγχο ακόμη και των πιο εξειδικευμένων ερευνητών λόγω της έλλειψης δημόσιας τεκμηρίωσης γύρω από αυτούς τους τομείς.
Η BleepingComputer προσέγγισε την Google για σχόλια πριν από τη δημοσίευση και αναμένουμε απάντηση.
Ενημέρωση, 8 Νοεμβρίου 2024 10:35 π.μ. ET: Προστέθηκε ενότητα για το διφορούμενο πιστοποιητικό SSL που παρουσιάζεται από το search.app. Διορθώθηκε μια πρόταση για να δηλώσει ότι το πιστοποιητικό έχει πολλαπλά εναλλακτικά ονόματα θεμάτων (SAN) σε χρήση. Αυτή είναι μια ιστορία που αναπτύσσεται.
VIA: bleepingcomputer.com
