Video: Автор 52 «народных» песен - Кабул Сеитвелиев (Decembris 2024)
Janvāra beigās noplūdušie dokumenti atklāja, ka NSA un citām nacionālajām spiegu organizācijām ir smagi strādāts, lai iegūtu informāciju no jūsu viedtālruņa. Tā vietā, lai instalētu kļūdu, viņi vienkārši iekļāvās jūsu tālrunī jau esošajās lietotnēs, lai uzzinātu visu, ko viņi vēlas uzzināt.
Dusmīgs putns man teica
Saskaņā ar ziņojumiem, spiegu organizācijas meklē tā saucamās "caurspīdīgās lietotnes", lai apkopotu informāciju. Tas ir termins, ko mēs diezgan bieži esam izmantojuši savos Mobile Threat pirmdienas stāstos, kurus Lookout galvenais drošības pētnieks Marks Rodžerss definē kā "jebkuru lietotni, kas bez jebkādas šifrēšanas nodod jebkāda veida sensitīvu informāciju."
Jūs varētu būt pārsteigts, ka šī definīcija aptver daudzas lietotnes, kas pieejamas gan Android, gan iOS lietotņu veikalos. Tas ir tāpēc, ka daudzas no šīm lietotnēm izmanto trešo pušu reklāmas platformas, lai palīdzētu pelnīt no savām lietotnēm. Dažreiz reklāmas var redzēt tieši lietotnē, tāpat kā lietotnē Flappy Bird. Izstrādātājs saņem izgriezumu, un jūs saņemat spēli par brīvu.
Bet pat tad, ja neredzat reklāmas, lietotņu izstrādātāji bieži iekļauj reklāmdevēju kodu, kas mierīgi vāc informāciju par jums un jūsu ierīci. Šo informāciju apkopo un izdala reklāmdevēji, lai palīdzētu labāk atlasīt savas reklāmas. "Jo vairāk informācijas būs par kādu personu, jo precīzāks būs viņa mārketinga profils, " skaidroja Bitdefender vecākais e-draudu speciālists Bogdans Botezatu.
"Reklāmdevējiem, " paskaidroja Lookout's Rogers, "ir zelts, lai prognozētu, ko uzvilkt un kas iesaistīsies lietotājiem." Tie varētu būt produkti un pakalpojumi, kas ir tuvāk jūsu interesēm vai ir pieejami jūsu reģionā. Ja jūs dzīvotu, piemēram, Osakā, jūs, iespējams, nebūtu pārāk ieinteresēts uzzināt par lētām automašīnām Čikāgā.
Reklāmdevēji un tirgotāji parasti meklē identificējamu informāciju, tas ir, kaut kādā veidā savienot ierīci ar jums. Ierīces EMEI numurs, Apple ID vai kāds cits identifikators tiks darīts, taču e-pasta adreses un tālruņu numuri tiek īpaši vērtēti. Izmantojot šo informāciju, reklāmdevēji var noteikt, ka viena un tā pati persona ir lejupielādējusi dažādas lietotnes, un uzzināt, kā tās tiek izmantotas dažādās ierīcēs. Citi reklāmdevēji ir agresīvāki un cenšas iegūt jūsu ģeogrāfiskās atrašanās vietas informāciju un citu.
Lai sniegtu piemēru par to, cik tālu var sasniegt reklāmdevēju SDK informāciju, Botezatu tos salīdzināja ar Android tālvadības piekļuves Trojas profilu, kuru izveidojis Bitdefender. Kad tas ir uzstādīts upura tālrunī, tas uzbrucējam dod pilnīgu kontroli, ļaujot viņam nozagt kontaktus, piekļūt pārlūka vēsturei un izsekot upuri. "Lielākā daļa cilvēku negatīvi reaģē uz AndroRAT, kad es viņiem parādīju, ka varu ieslēgt mikrofonu, " viņš teica. "Īsāk sakot, tas ir tas, kas notiek ar lielāko daļu reklāmas SDK."
Nav pilnīgi skaidrs, kādiem nolūkiem NVD izmanto pārtverto lietotņu informāciju, taču tas, iespējams, ir līdzīgs reklāmdevējiem: detalizētu profilu veidošana no indivīdiem no atšķirīgas informācijas. Protams, to varēja izmantot arī citos veidos. Botezatu iedomājas scenāriju, kurā protestētāji ielās saceltu masu pret represīvo valdību. Ja šai iedomātajai valdībai būtu netraucēta pieeja reklāmdevēju apkopotajai informācijai par atrašanās vietu, viņi varētu noteikt, kurš ir nemierā, un vērst pret viņiem vai viņu ģimenēm pretdarbību.
Caurlaidīgas caurules
Kā sacīja Rodžerss, lietotne ir noplūda tikai tad, ja tā mēģina nosūtīt informāciju bez šifrēšanas. Diemžēl daudzi no viņiem ir izvēlējušies nešifrēt informāciju, kas plūst no jūsu tālruņa lietotnēm un reklāmdevēju serveriem. "Ikviens, kurš klausās maršrutētājā vai tīklā, var snoop lietotnes datus un izveidot kopiju, " teica Botezatu.
Lai gan mēs esam redzējuši spiegu aģentūru gadījumus, kas snoope uz maršrutētājiem un Wi-Fi tīkliem, Rodžerss saka, ka tā ir lielāka problēma. "Valdības organizācijas var izmantot infrastruktūru tādā veidā, kā to nevar neviens cits. Slikts puisis var iegūt datu sajūgu, bet valdības var apņemt visu internetu."
Datu kopu nosūtīšana reklāmdevējiem ne vienmēr ir labāka nekā NSA pārtveršana. Botezatu norādīja, ka, tiklīdz dati tiek atstāti no jūsu ierīces, jums to nav nekādas iespējas kontrolēt. "Šie reklāmdevēji var atrasties vietā, kur nav tiesību aktu, kas aizsargā jūsu datus, un neviens nevar garantēt, ka šajos serveros esošā informācija ir droša vai hakeriem nepieejama."
Kurš vainīgs
Daudzos gadījumos lietotnes izstrādātājs var pat nezināt, kādu informāciju reklāmdevēji izmanto. Vai arī, ja šī informācija ir šifrēta.
Rodžerss saka, ka liela daļa problēmas ir nepareizs nozares priekšstats par to, kas padara datus jutīgus. Viņš paskaidroja, ka dažas lietotnes bez bažām ņem tikai nedaudz informācijas, piemēram, par seksuālu izvēli iepazīšanās lietotnē vai pasta indeksa daļu citā lietotnē. Reklāmdevēji neuzskata šo informāciju par sensitīvu, jo vien tā jums neko daudz nesaka. Bet tagad tādas organizācijas kā NSA var pārtvert datus no simtiem lietotņu vienlaikus un savienot punktus. "Valdības organizācijas var to visu savstarpēji saistīt un izveidot pilnīgu profilu, " sacīja Rodžerss.
Pastāv arī problēmas ar programmatūras izstrādes komplektiem, ko reklāmdevēji izmanto šīs informācijas apkopošanai. Botezatu paskaidroja, ka, lai gan visos mobilajos tirgos ir miljoniem lietotņu, SDK reklamēšanas skaits ir ļoti mazs. "Lietotnē Google Play darbojas aptuveni 100 visu lietojumprogrammu, " viņš paskaidroja. "Ja jūs kompromitējat vienu, jūs kompromitējat pilnu lietojumu klāstu un sazināties ar vēl daudziem klientiem."
Šajā procesā piedalās arī klienti (tas ir jūs un es), jo mūsu tālruņi mūs faktiski brīdina, ka šī informācija tiek apkopota. Piemēram, lejupielādējot lietotni no pakalpojuma Google Play, jūs piekrītat lietotnei piekļūt vairākām atļaujām. Šī ir informācija, kurai var piekļūt lietotne, un darbības, kuras tā var veikt. "Ja Angry Birds izmanto jūsu atrašanās vietu, varat pieņemt, ka tā kaut kā tiek izmantota reklāmai, sacīja Rodžerss.
Kā saglabāt drošību
Tādiem ļaudīm kā mēs ierobežotas iespējas ierobežot to, kas redz mūsu informāciju, ir maz. Izmantojot iPhone, reklāmdevēji var piespiest piekļūt “reklāmas ID”, kuru jūs jebkurā laikā varat atsvaidzināt, ierobežojot profila pilnveidošanu. iOS arī ļauj jums sniegt granulētas atļaujas informācijai. Jūs varat atļaut piekļuvi savai atrašanās vietai un pēc tam to vēlāk izslēgt izvēlnē Iestatījumi.
Diemžēl Android ir atpalicis no granulētām atļaujām. Lai gan Google īslaicīgi ieviesa vadības paneli, lai ļautu jums ieslēgt un izslēgt atļaujas, tas tika ātri noņemts. Tas nozīmē, ka daudziem lietotājiem ir jāizvēlas starp drošību un iespēju spēlēt ar jaunāko lietotni. "Kad es redzu lietojumprogrammu, kas mēģina savākt vairāk datu, nekā tas nepieciešams, es dodos uz citu lietotni ar līdzīgām funkcijām, " sacīja Botezatu.
Lietotāji var arī instalēt drošības programmatūru, kas var palīdzēt uzraudzīt lietotņu atļaujas. Lookout saka, ka viņu drošības lietotne sāks izcelt šo informāciju, un Bitdefender lietotne Clueful var palīdzēt jums izlemt, vai lietotne prasa pārāk daudz.
Rodžerss atzīst, ka "lietotājs ir tālu no tā, ko lietotņu izstrādātājs apņemas darīt ar saviem reklāmdevējiem". Tomēr viņš tomēr ieteica lietotājiem pieprasīt, lai lietotņu izstrādātāji iesniedz tādus dokumentus kā konfidencialitātes un izpaušanas politikas.
Diemžēl izstrādātājiem un reklāmdevējiem ir pienākums sākt izturēties pret visu lietotāju informāciju kā sensitīvu un šifrēt to no brīža, kad tas atstāj tālruni, līdz brīdim, kad tas atrodas viņu serveros. Tikmēr patērētājiem jāpieņem pārdomāti lēmumi par to, kādas lietotnes viņi instalē, un aktīvi jāatstāj izstrādātāju atbildība. "Mēs katru dienu dzirdam, ka tiek spiegotas jaunas lietas, bet vismaz šajā gadījumā ir viegli rīkoties, " sacīja Rodžerss.
