
<div dir="ltr"><div><div><div>Hi everyone,<br><br></div>This email is for all app/plugin devs whose app requires an Internet connection. Read the email below from GNOME's security mailing list. It'd be a great idea to catalogue how our apps use APIs and how other apps or third parties could spy on our users. I'm not suggesting we take action yet -- the design SIG and everyone else is busy, but at some point we can look at how we can secure API channels and put users in control of remaining privacy leaks.<br><br></div>Catalogue here: <a href="https://wiki.xfce.org/security/api-privacy/start">https://wiki.xfce.org/security/api-privacy/start</a><br><br></div>Cheers,<br><div><div><div><div><div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Elad Alfassa</b> <span dir="ltr"><<a href="mailto:elad@fedoraproject.org">elad@fedoraproject.org</a>></span><br>Date: 24 January 2015 at 18:31<br>Subject: Leaking data over HTTP<br>To: "<a href="mailto:safety-list@gnome.org">safety-list@gnome.org</a>" <<a href="mailto:safety-list@gnome.org">safety-list@gnome.org</a>><br><br><br>Hi all.<br>

<br>

During GUADEC 2014 (wow, that was a long time ago) we discussed<br>

problems with applications leaking private or otherwise uniquely<br>

identifiable user data over plain text.<br>

<br>

I did some testing today, and it seems that we improved in that<br>

regard, so that's great!<br>

However, there are still some cases for which we need to find a<br>

solution. Some of the external APIs GNOME apps use do not support<br>

HTTPS, others support HTTPS but have a certificate which is only valid<br>

for other CNs.<br>

<br>

So far, I have found that two apps still suffer from this problem, but<br>

my testing was very limited so assume there are more.<br>

<br>

The first one is GNOME Weather (or rather, libgweather): the weather<br>

APIs it uses are not available over HTTPS. This means every time you<br>

open this app, the recent locations you viewed in it will be sent to<br>

various weather services and anyone listening on your wifi network<br>

(for example) can get that list.<br>

<br>

Since these weather services are not available over https, there's not<br>

much we can do about it, unless gnome (or another trusted party) sets<br>

up an https reverse proxy server for these services.<br>

<br>

Another app that suffers from this problem is GNOME Music[1]. Every<br>

time you open GNOME Music, it will query <a href="http://last.fm" target="_blank">last.fm</a> for data about your<br>

albums in plain text. Since each of us has a unique taste in music and<br>

a different set of albums, this data can be used to identify you on<br>

the network.<br>

<br>

Unlike the other case, <a href="http://last.fm" target="_blank">last.fm</a> does support HTTPS, but the CDN where<br>

it serves the images from serves a certificate with a CN valid for<br>

<a href="http://something.something.akamai.net" target="_blank">something.something.akamai.net</a> and not the actual domain name we use,<br>

so even if we switch to using the HTTPS <a href="http://last.fm" target="_blank">last.fm</a> API endpoint, we will<br>

still end up leaking data over HTTP.<br>

<br>

A solution for this problem would be being able to define what CNs we<br>

are expecting when making the request using libsoup, so we could<br>

request, for example, <a href="http://userserve-ak.last.fm/foo/bar" target="_blank">userserve-ak.last.fm/foo/bar</a> and tell libsoup to<br>

accept, for example, *.<a href="http://e.akamai.net" target="_blank">e.akamai.net</a> as a valid CN.<br>

<br>

<br>

Unfortunately, I'm not optimistic about either of these solutions<br>

happening, and Weather and Music will continue to leak this kind of<br>

data in plain text... And there's no way for us to communicate this in<br>

the UI for the users in a way that won't scare them too much, I think.<br>

<br>

Thoughts?<br>

<br>

[1] Via grilo plugins - specifically the <a href="http://last.fm" target="_blank">last.fm</a> one. I've also<br>

submitted a patch to make other, less used grilo plugins use HTTPS:<br>

<a href="https://bugzilla.gnome.org/show_bug.cgi?id=743449" target="_blank">https://bugzilla.gnome.org/show_bug.cgi?id=743449</a><br>

<span class=""><font color="#888888">--<br>

-Elad Alfassa.<br>

_______________________________________________<br>

safety-list mailing list<br>

<a href="mailto:safety-list@gnome.org">safety-list@gnome.org</a><br>

<a href="https://mail.gnome.org/mailman/listinfo/safety-list" target="_blank">https://mail.gnome.org/mailman/listinfo/safety-list</a><br>

</font></span></div><br><br clear="all"><br>-- <br><div class="gmail_signature">Steve Dodier-Lazaro<br>PhD Student<br>University College London<br>Free Software Developer<br>OpenPGP : 1B6B1670</div>

</div></div></div></div></div></div>