O Google anunciou uma série de mudanças voltadas para o usuário e subjacentes em uma tentativa de aumentar a privacidade e a segurança, incluindo a implementação de autenticação de dois fatores automaticamente para todos os usuários qualificados e trazendo privacidade no estilo iOS para listagens de aplicativos Android.
“Hoje pedimos às pessoas que se inscreveram na verificação em duas etapas (2SV) que confirmem que são realmente elas com um simples toque em um prompt do Google em seus telefones sempre que fizerem login”, disse a empresa. “Em breve começaremos a inscrever usuários automaticamente na 2SV se suas contas estiverem configuradas de maneira adequada.”
Google Play para obter rótulos privacidade semelhantes aos da Apple
A Google Play Store para Android também está passando por uma grande reformulação no que diz respeito à privacidade. O gigante das buscas disse que planeja incluir uma nova seção de segurança para listagens de aplicativos que destaca o tipo de dados que são coletados e armazenados, como localização aproximada ou precisa, contatos, informações pessoais, fotos, vídeos e arquivos de áudio, conforme os dados sejam usados, seja para fornecer funcionalidade de aplicativo, personalização ou publicidade.
As medidas de transparência sobre como os aplicativos usam os dados ecoam de uma forma muito semelhante com o da Apple, que lançou alguns rótulos de privacidade na App Store em dezembro de 2020 com o objetivo de condensar as práticas de coleta de dados de um aplicativo em um formato fácil de entender e amigável.
Curiosamente, a aplicação vai além das informações nutricionais orientadas à privacidade anexadas a cada entrada do aplicativo, pois as mudanças também exigem que os desenvolvedores de aplicativos, incluindo o Google, forneçam informações sobre se seus aplicativos aderem às práticas de segurança, como criptografia de dados, em conformidade com as políticas do Google sobre aplicativos e jogos voltados para crianças e explique por que um dado específico está sendo coletado ou se os usuários têm a opção de cancelar o compartilhamento de dados.
Outra diferença importante é que a seção também destacará se um terceiro independente verificou os rótulos de privacidade do aplicativo e se os usuários podem solicitar a exclusão de seus dados caso decidam desinstalar o aplicativo.
A verificação de terceiros parece ser um movimento para conter críticas como a enfrentada pela Apple por não verificar aplicativos que forneciam privacidade “enganosa ou totalmente imprecisa”. As mudanças devem entrar em vigor no segundo trimestre fiscal de 2022.
Google estreia Cosign para verificação de imagens de contêiner
No início de março, o Google, a Linux Foundation e a Red Hat lançaram uma ferramenta chamada Sigstore para proteger as cadeias de suprimentos de software, permitindo que os desenvolvedores assinem seus códigos e que os usuários os verifiquem para impedir ameaças como a confusão de dependências que tiram proveito do fato de que uma peça de software pode incluir componentes de uma combinação de fontes públicas e privadas.
Agora, a empresa está expandindo esse esforço com Cosign, uma nova ferramenta de linha de comando que visa simplificar a assinatura e verificação de imagens de contêineres e, como consequência, evitar que os usuários sejam vítimas de ataques de typosquatting ou recebam uma imagem maliciosa.
Google Chrome obtém proteção contra exploração forçada por hardware
Isso não é tudo. O Google revelou na terça-feira que o Chrome 90 para Windows, lançado em 13 de abril de 2021, vem equipado com um novo recurso de segurança do Windows 10 chamado “Hardware-enforced Stack Protection” para proteger a pilha de memória de ataques de execução de código arbitrário.
“Ativar a Hardware-enforced Stack Protection irá se sobrepor a medidas existentes e futuras para tornar a exploração mais difícil e, portanto, mais cara para um invasor”, disse Alex Gough, da equipe de segurança da plataforma Chrome.
Refêrencias:
https://thehackernews.com/2021/05/4-major-privacy-and-security-updates.html
https://security.googleblog.com/2021/05/enabling-hardware-enforced-stack.html