Google’ın gizemli ‘search.app’ bağlantıları Android kullanıcılarını endişelendiriyor


Google

Google, Google mobil uygulamasındaki en son güncellemenin, uygulamadan paylaşılan bağlantıların başına gizemli bir “search.app” alan adının eklenmesine neden olmasının ardından Android kullanıcılarını şaşkına çevirdi.

Google uygulaması, Android kullanıcıları için web’de arama yapmaya yönelik popüler bir portal olduğundan ve Google Keşfet olarak adlandırılan kişiselleştirilmiş bir içerik haber akışı sunduğundan, yeni bağlantıları fark edenler arasında endişeye yol açtı.

Nedir bu gizemli arama.app bağlantılar?

6 Kasım 2024’te Google, uygulamasının 15.44.27.28.arm64 Android sürümünü kullanıma sundu. Aynı sıralarda şirket Chrome (Android) güncellemelerini de kullanıma sundu [1, 2] “kullanıcıların küçük bir yüzdesine.”

O zamandan beri, Google’ın uygulama içi Chromium tarayıcısında görüntülenen bağlantıların, harici olarak paylaşıldığında başına bir “search.app” alanı ekleniyor.

BleepingComputer, Google uygulamamızı güncelledikten kısa bir süre sonra bu davranışı fark etti ve kabul edelim ki, gizemli bir alan adının görülmesi ilk başta bizi paniğe sevk etti. Cihazımızın güvenliği reklam yazılımı tarafından mı ele geçirildi?

Google uygulaması, arama.app alan adının başına bağlantılar ekler
Google uygulama içi tarayıcı, bağlantıları search.app ile birlikte ekler

(Bipleyen Bilgisayar)

Endişelerimiz bu hafta Reddit’teki diğer kullanıcılar tarafından da dile getirildi.

Reddit kullanıcısı “Yakın zamanda (birkaç gün önce), Google uygulama içi web tarayıcısından paylaşılan her bağlantının ‘search.app’ alanını kullandığını fark ettim” dedi. danilopazza.

“Örneğin, Reddit ön sayfasının bağlantısını paylaşmaya çalışırken şunu alıyorum: https://search.app?link=https%3A%2F%2Fwww.reddit.com%2F&utm_campaign=…&utm_source=…”

“Bu Google uygulamasının yeni bir özelliği mi?”

Bir okuyucu şöyle yanıt verdi: “Öyle görünüyor. Ben de bunu alıyorum. İlk başta bana bir şekilde kötü amaçlı yazılım bulaştığını ya da bir şekilde haberim olmadan bazı ayarların değiştiğini düşündüm.”

Benzer paylaşımlar başkalarından da çıktı.

BleepingComputer, bu hafta Google’ın Android uygulaması aracılığıyla X ve Facebook’taki sosyal medya gönderileri aracılığıyla paylaşılan bağlantıların da “search.app” alanını taşıdığını gözlemledi:

Search.app bağlantılarını taşıyan sosyal medya gönderileri
Search.app bağlantılarını taşıyan harici sitelere yönelik sosyal medya gönderileri

(Bipleyen Bilgisayar)

Sosyal medyada oldukça farklı bir URL yapısına sahip olan search.app bağlantılarına sahip bazı eski yayınları (Haziran 2024’ten itibaren) gözlemledik; https://arama[.]app/ddc8Ap3W8nySXJ7bA

Search.app güvenli mi?

Basitçe söylemek gerekirse, arama.app bir URL yeniden yönlendirme alanıdır, tıpkı t.co X (eski adıyla Twitter) tarafından kullanılan Google’ın g.coveya Meta’nın anne ben.

Bağlantıların başına “https://search.app?link=” eklemek, bağlantıların Google uygulaması kullanıcıları tarafından harici olarak nasıl paylaşıldığı konusunda Google’a daha iyi görünürlük sağlar ve DSÖ bu bağlantılara tıklıyorlar (yani yönlendirenler).

Analitik toplamanın yanı sıra Google, “search.app” alanını kullanarak kendisini kullanıcılar ve harici bağlantılar arasına yerleştirerek, artık bir web sitesinin sahtekarlık yapması veya bir web sitesinin sahte olması durumunda kimlik avı veya saldırıya uğramış alanlara giden trafiği engelleme olanağına sahip olacak. kullanıcılar birbirleriyle şüpheli içerikleri toplu olarak paylaşıyorlar (dolandırıcılık siteleri gibi).

Testlerimizde, search.app’e gitmek bizi doğrudan Firebase logolu “Geçersiz Dinamik Bağlantı” sayfasına götürdü.

Firebase açılış sayfası
Search.app’e gitmek doğrudan bir Firebase açılış sayfasını gösteriyor

(Bipleyen Bilgisayar)

Firebase, 2014 yılında Google tarafından satın alındı ​​ve o zamandan beri “Uygulamanızı hızlı bir şekilde oluşturup büyütmenize olanak tanıyan Google’ın mobil geliştirme platformu” haline geldi.

Google’ın başka bir alanına giderken benzer bir ekranla karşılaştık: https://search.app.goo.gl/

İronik bir şekilde, Firebase Dynamic Links kullanımdan kaldırıldı ve Ağustos 2025’e kadar kapatılacak şekilde ayarlandı.

Hem search.app hem de goo.gl için WHOIS kayıtları, kaydeden kuruluş olarak Google LLC’yi ve kayıt şirketi olarak MarkMonitor’u gösterir.

Yüzün üzerinde alan tarafından paylaşılan SSL sertifikası ve barındırma

Bu makaleyi yayınladıktan sonra birçok BleepingComputer okuyucusu ‘search.app’ alanı için verilen TLS sertifikasında bir anormallik olduğunu belirtti.

Karışıklık yaratmak için, search.app’in sertifikasında Ortak Ad (CN) şu şekilde ayarlanmıştır: fallacni.com, “Ulusal kimlik kartınızı bulmanıza” yardımcı olduğunu iddia eden Fransızca bir web sitesi.

Search.app tarafından sunulan SSL sertifikası
Search.app tarafından sunulan SSL sertifikası farklı bir CN gösteriyor

(Bipleyen Bilgisayar)

BleepingComputer ayrıca, aynı SSL sertifikasının, aşağıda gösterilen ve aynı Firebase sunucusunda (IP adresi 199.36.158.100) barındırılan yüzden fazla alan adı tarafından kullanıldığını fark etti.

fallacni.com
vireum.com
etton.go1pos.com
digital.co.in
www.mcseat.es
portfos.in
app.eluminate.in
dailypostbeat.com
www.hertzog-psychologue.fr
www.kanau.page
venits.com
www.weiwhite.com
jzz.me
altın notlar.io
barışdollar.org
ing-v3.sudahdstaging.in
tüccarinstall.iomd.info
arama.app
www.directions.healthcare
jellyjam.io
www.oeson.in
www.cutrite.app
api.onflix.app
cmouse.app
www.preaching.app
doc-internal.dalek.rs
tatlım.jp
podyum.araçlar
www.dreamlin.com
fireacademy.io
mumbai.toobzgaming.com
yükselenstar.blackmint.io
kanda.link
editor.agua.app
aariz.me
link.nibo.com.br
site-result-auctions.farmgateauctions.com.au
beta.inhouseorders.io
typov.app
www.azvn.app
m.fiskal.app
genesix.ai
join.getostrich.app
kuğu-iş-bugfix.ingogodev.net
compizza.lupi.delivery
bm.fusheng.info
preparhub.ca
go.holler.io
toplantı.skylar.ai
eastbay.org
yatırım.scoutout.io
www.un-sichtbarespuren.de
cronometro.net
Overthemoon.art
www.scenid.com
craftbyte.net
coloryourvoice.com
avantecpo.com
fouronetwo.equiem.mobi
yo-dev.eparatodos.org
federalcafe.5loyalty.com
bstsst.com
b.ejsa.io
souscription.flitter.fr
flyvendas.com.br
flairtime.com
sinemametrik.app
flyclub.app
www.endevagames.com
getpayify.app
Justpic.app
selfie.ai
omnamo.app
davidvu.co.uk
console.shopezy.app
home.jooni.app
gpso.se
guicerpro.com
demo.pricely.app
speccon.cnfg.app
colctiv.app
ürünbacklog.dev
app1.posible.in
Bookmark.undef.in
jeyhid.com
retro-it.com
rakesfieldandpeach.com
digitalnepalsolution.com
ryandine.com
dranandcardiocare.com
desiderioalmansa.com
vekend.com
strozu.com
hausasteri.com
bishoyriad.com
harhalplus.com
teslimathub.app
eplise.com
ultrasiteservices.co.uk
reciproitsolutions.com

Bunun, paylaşılan bir barındırma sunucusunda birden fazla etki alanının HTTPS üzerinden sunulmasını mümkün kılan Sunucu Adı Belirtme (SNI) gibi SSL/TLS teknolojilerinin kullanılması nedeniyle olması mümkündür, ancak kesinlikle düzensiz görünmektedir.

Karşılaştırma için Google’ın sertifikası search.app.goo.gl CN’si ‘misc-sni.google.com’ olarak ayarlanmıştır ve 216.58.212.206 IP adresinde barındırılmaktadır.

Şimdiye kadar, arama.app Yönlendirici URL’leri güvenli ve resmi olarak Google tarafından işletiliyor gibi görünse de, alan adını çevreleyen belgelerin eksikliği ve Google’ın Android veya Chromium gibi açık kaynaklı projelerinin genel değişiklik günlüklerinde bundan bahsedilmemesi de tuhaf.

Uygulama güncellemelerinin kullanıma sunulması, önümüzdeki günlerde cihazlarının hatalı davranıp davranmadığını veya kötü amaçlı yazılım tarafından ele geçirilip geçirilmediğini merak edebilecek daha fazla kullanıcıyı alarma geçirecektir.

Bu, Google’ın harici hikayelere bağlantıları başa ekleyen Apple News’i taklit etme girişimi mi? https://apple.news?

Geçmişte Google Chrome’un garip GVT1.com alan adlarını kullanması, bu alan adlarını çevreleyen kamuya açık belgelerin bulunmaması nedeniyle en yetenekli araştırmacıların bile dikkatini çekmişti.

BleepingComputer, yayınlamadan önce yorum yapmak için Google’a başvurdu ve biz de yanıt bekliyoruz.

Güncelleme, 8 Kasım 2024 10:35 ET: Search.app tarafından sunulan belirsiz SSL sertifikasıyla ilgili bölüm eklendi. Bu gelişen bir hikaye.



Source link