Відео: LOOPTHEORY - Stuck Final (Листопад 2024)
Наприкінці січня просочені документи виявили, що АНБ та інші національні шпигунські організації доклали важких зусиль, отримуючи інформацію з вашого смартфона. Але замість того, щоб встановлювати помилку, вони просто натискали на додатки, які вже є на вашому телефоні, щоб дізнатися все, що вони хочуть знати.
Сердитий птах сказав мені
Згідно з повідомленнями, шпигунські організації шукають так званих "пропускних програм" для збору інформації. Це термін, який ми використовуємо досить часто в наших історіях щодо понеділка Mobile Threat, те, що головний дослідник служби безпеки Lookout Марк Роджерс визначає як "Будь-яка програма, яка передає будь-яку конфіденційну інформацію без шифрування".
Ви можете бути здивовані, що це визначення охоплює багато програм, доступних як у магазинах додатків для Android, так і для iOS. Це тому, що багато з цих додатків використовують сторонні рекламні платформи, щоб допомогти монетизувати свої додатки. Іноді оголошення можна бачити прямо в додатку, як у Flappy Bird. Розробник отримує скорочення, а ви отримуєте гру безкоштовно.
Але навіть коли ви не бачите жодної реклами, розробники додатків часто включають код від рекламодавців, який спокійно збирає інформацію про вас і ваш пристрій. Ця інформація збирається та розчленовується рекламодавцями, щоб сприяти кращому націлюванню своїх оголошень. "Чим більше інформації про когось, тим точнішим буде їхній маркетинговий профіль", - пояснив старший спеціаліст з електронних загроз Bitdefender Богдан Ботезату.
"Для рекламодавців, - пояснив Роджерс Lookout, - є золото в передбаченні того, що поставити на те, що буде стосуватися користувачів". Це можуть бути продукти та послуги, які ближче до ваших інтересів або доступні у вашому регіоні. Якщо, наприклад, ви жили в Осаці, вам, мабуть, не дуже цікаво було б дізнатися про дешеві машини в Чикаго.
Рекламодавці та маркетологи, як правило, отримують інформацію, яку можна ідентифікувати - тобто певний спосіб підключити свій пристрій до вас. Номер пристрою EMEI, Apple ID або інший ідентифікатор буде зроблено, але електронні листи та номери телефонів особливо цінуються. За допомогою цієї інформації рекламодавці можуть визначити, що одна і та ж людина завантажувала різні програми та дізнаватися, як вони використовуються на різних пристроях. Інші рекламодавці є більш агресивними і намагаються отримати інформацію про геолокацію тощо.
Щоб навести приклад про те, якою може бути далекосяжна інформація про SDK для рекламодавців, Botezatu порівняв їх із троянським віддаленим доступом Android, профільованим Bitdefender. Після встановлення на телефоні жертви він надає повний контроль зловмиснику, дозволяючи їм красти контакти, отримувати доступ до історії браузера та відслідковувати жертву. "Більшість людей негативно реагують на AndroRAT, коли я їм показую, що я можу включити мікрофон", - сказав він. "Окрім цього, саме це відбувається з більшістю рекламних пакетів SDK."
Не зовсім зрозуміло, для чого NSA використовує перехоплену інформацію про додатки, але це, ймовірно, схоже на рекламодавців: створення детальних профілів для людей з неоднорідної інформації. Звичайно, це можна було б використовувати і іншими способами. Ботезату уявляє сценарій, коли протестуючі бунтували на вулицях проти репресивної влади. Якби цей уявний уряд мав безперешкодний доступ до інформації про місцезнаходження, яку збирають рекламодавці, вони могли б визначити, хто потрапив у безладдя, та націлити на них або їхні сім'ї для помсти.
Труби негерметичні
Як сказав Роджерс, додаток є витоковим лише тоді, коли він намагається надсилати інформацію без шифрування. На жаль, багато з них вирішили не шифрувати інформацію, що надходить із додатків на вашому телефоні та на сервери рекламодавця. "Кожен, хто слухає на маршрутизаторі або в мережі, може прослухати дані програми та зробити копію", - сказав Ботезату.
Поки ми бачили, як випадки шпигунських агентств переслідують маршрутизатори та мережі Wi-Fi, Роджерс каже, що це більша проблема. "Урядові організації в змозі використовувати інфраструктуру так, як ніхто інший не може. Недоброзичливий хлопець може отримати збиток даних, але уряди можуть обробляти весь Інтернет".
Надіслати дані рекламодавцям не завжди краще, ніж їх перехоплення АНБ. Ботезату зазначив, що коли дані залишають ваш пристрій, ви не маєте контролю над ним. "Ці рекламодавці можуть знаходитись там, де немає законодавства, яке б захищало ваші дані, і ніхто не може гарантувати, що інформація на цих серверах захищена або недоступна для хакерів."
Хто винен
У багатьох випадках розробник програми може навіть не знати про те, яку інформацію висмоктують рекламодавці. Або якщо ця інформація зашифрована.
Роджерс говорить, що велика частина проблеми полягає в помилковому уявленні галузі про те, що робить дані чутливими. Деякі додатки, пояснив він, беруть лише трохи інформації - наприклад, сексуальні переваги в додатку для знайомств або частина поштового індексу в іншому додатку - без побоювання. Рекламодавці не вважають цю інформацію такою чутливою, оскільки сама по собі вона не каже вам багато. Але тепер такі організації, як АНБ, можуть перехоплювати дані з сотень додатків одночасно та підключати точки. "Урядові організації можуть співвіднести все це і створити повний профіль", - сказав Роджерс.
Також є проблеми з наборами для розробки програмного забезпечення, якими рекламодавці збирають цю інформацію. Ботезату пояснив, що хоча на всіх мобільних ринках є мільйони додатків, кількість рекламних SDK дуже мала. "У Google Play працює близько 100 живлення всіх програм", - пояснив він. "Якщо ви скомпрометуєте одне, ви скомпрометуєте повний спектр застосувань і зверніться до багатьох інших клієнтів."
Клієнти (це ви і я) також грають певну роль у цьому, оскільки нас фактично попереджають нашими телефонами, що ця інформація збирається. Наприклад, завантажуючи додаток з Google Play, ви погоджуєтесь надати додатку доступ до ряду дозволів. Це інформація, до якої може отримати доступ додаток, і дії, які він може виконувати. "Якщо Angry Birds використовує ваше місцезнаходження, ви можете припустити, що воно якось використовується для реклами", - сказав Роджерс.
Як бути в безпеці
Для таких людей, як ми, варіантів обмеження того, хто бачить нашу інформацію, небагато. На iPhone ви можете змусити рекламодавців отримати доступ до "рекламного ідентифікатора", який ви можете оновити в будь-який час - обмежуючи, наскільки повноцінний профіль може бути побудований. iOS також дозволяє надати детальні дозволи на інформацію. Ви можете дозволити доступ до свого місцезнаходження, а потім вимкнути його пізніше з меню налаштувань.
На жаль, Android відставав із детальними дозволами. Хоча Google коротко представив панель управління, щоб перемикати дозволи та вимикати дозволи, вона була швидко видалена. Це означає, що багатьом користувачам доводиться вибирати між безпекою та грою з найновішим додатком. "Коли я бачу додаток, який намагається зібрати більше даних, ніж потрібно, я переходжу до іншого додатка з подібними функціоналами", - сказав Ботезату.
Користувачі також можуть встановити програмне забезпечення для захисту, яке допоможе контролювати дозволи програм. Lookout стверджує, що їхній додаток безпеки почне висвітлювати цю інформацію, а додаток Bitdefender Clueful допоможе вам вирішити, чи вимагає програма занадто багато.
Роджерс визнає, що "користувач далекий від того, що розробник додатків погоджується робити зі своїми рекламодавцями". Однак він рекомендував користувачам вимагати, щоб розробники додатків надавали таку документацію, як політика конфіденційності та розкриття інформації.
На жаль, на жаль, розробники та рекламодавці починають ставитись до всієї інформації користувача як до чутливої та шифрувати її з тих пір, коли вона залишає ваш телефон, до того, коли вона сидить на їх серверах. Тим часом споживачі повинні приймати розумні рішення про те, які програми вони встановлюють, і активно притягують розробників до відповідальності. "Ми щодня чуємо, що нові речі шпигують, але принаймні в цьому випадку є легкий засіб захисту", - сказав Роджерс.