Дом Securitywatch Как NSA поворачивает ваши приложения против вас

Как NSA поворачивает ваши приложения против вас

Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноябрь 2024)

Видео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Ноябрь 2024)
Anonim

В конце января просочившиеся документы показали, что АНБ и другие национальные шпионские организации усердно работают над получением информации с вашего смартфона. Но вместо того, чтобы установить ошибку, они просто подключились к приложениям, уже установленным на вашем телефоне, чтобы узнать все, что они хотят знать.

Сердитая Птица Сказала Мне

Согласно сообщениям, шпионские организации ищут так называемые «неплотные приложения» для сбора информации. Это термин, который мы довольно часто использовали в наших рассказах о мобильных угрозах в понедельник, который главный исследователь безопасности Lookout Марк Роджерс определяет как «Любое приложение, которое передает любую конфиденциальную информацию без шифрования».

Вы можете быть удивлены тем, что это определение охватывает многие приложения, доступные как в магазинах приложений для Android, так и для iOS. Это связано с тем, что многие из этих приложений используют сторонние рекламные платформы для монетизации своих приложений. Иногда вы можете увидеть рекламу прямо в приложении, как в Flappy Bird. Разработчик получает шанс, и вы получаете игру бесплатно.

Но даже когда вы не видите никакой рекламы, разработчики приложений часто включают код рекламодателей, который незаметно собирает информацию о вас и вашем устройстве. Эта информация собирается и распространяется рекламодателями, чтобы лучше ориентировать свои объявления. «Чем больше информации о ком-то, тем точнее будет его маркетинговый профиль», - объяснил Богдан Ботезату, старший специалист Bitdefender по электронной угрозе.

«Для рекламодателей, - объяснил Роджерс из Lookout, - золото предсказывает, что надеть, чтобы привлечь пользователей». Это могут быть продукты и услуги, которые вам ближе или доступны в вашем регионе. Если бы вы жили, например, в Осаке, вы, вероятно, не были бы слишком заинтересованы в изучении дешевых автомобилей в Чикаго.

Рекламодатели и маркетологи обычно ищут идентифицируемую информацию, то есть какой-то способ подключить ваше устройство к вам. Подойдет EMEI-номер устройства, Apple ID или какой-либо другой идентификатор, но электронные письма и номера телефонов особенно ценятся. С помощью этой информации рекламодатели могут определить, что один и тот же человек загрузил разные приложения, и выяснить, как они используются на разных устройствах. Другие рекламодатели более агрессивны и пытаются получить информацию о вашем местоположении и многое другое.

Чтобы привести пример того, насколько обширной может быть информация SDK рекламодателя, Ботезату сравнил ее с трояном удаленного доступа Android, представленным Bitdefender. После установки на телефон жертвы он дает полный контроль над злоумышленником, позволяя им красть контакты, получать доступ к истории браузера и отслеживать жертву. «Большинство людей негативно реагируют на AndroRAT, когда я показываю им, что могу включить микрофон», - сказал он. «Если не считать этого, вот что происходит с большинством рекламных SDK».

Не совсем понятно, для чего АНБ использует перехваченную информацию о приложениях, но, скорее всего, это похоже на рекламодателей: создание подробных профилей отдельных лиц из разрозненной информации. Конечно, это может быть использовано другими способами. Ботезату представляет сценарий, когда протестующие бунтуют на улицах против репрессивного правительства. Если бы это воображаемое правительство имело беспрепятственный доступ к информации о местоположении, полученной рекламодателями, они могли бы определить, кто был в беспорядках, и нацелить их или их семьи на месть.

Утечка труб

Как сказал Роджерс, приложение имеет утечку, только если оно пытается отправить информацию без шифрования. К сожалению, многие из них решили не шифровать информацию, передаваемую из приложений на вашем телефоне и на серверах рекламодателей. «Любой, кто слушает на маршрутизаторе или в сети, может прослушать данные приложения и сделать копию», - сказал Ботезату.

В то время как мы видели случаи, когда шпионские агентства отслеживали маршрутизаторы и сети Wi-Fi, Роджерс говорит, что это более серьезная проблема. «Правительственные организации могут использовать инфраструктуру так, как никто другой не может. Плохой парень может получить набор данных, но правительства могут занимать весь Интернет».

Отправка групп данных рекламодателям не всегда лучше, чем их перехватывание АНБ. Ботезату отметил, что как только данные покидают ваше устройство, вы не можете их контролировать. «Эти рекламодатели могут находиться в месте, где нет законодательства, защищающего ваши данные, и никто не может гарантировать, что информация на этих серверах защищена или недоступна для хакеров».

Кто виноват

Во многих случаях разработчик приложения может даже не знать, какая информация всасывается рекламодателями. Или если эта информация зашифрована.

Роджерс говорит, что большая часть проблемы заключается в заблуждении отрасли о том, что делает данные чувствительными. Некоторые приложения, пояснил он, берут немного информации - например, сексуальные предпочтения в приложении для знакомств или часть почтового индекса в другом приложении - без беспокойства. Рекламодатели не считают эту информацию конфиденциальной, потому что сама по себе она мало о чем говорит. Но теперь такие организации, как АНБ, могут перехватывать данные из сотен приложений одновременно и соединять точки. «Правительственные организации могут соотнести все это и построить полный профиль», - сказал Роджерс.

Есть также проблемы с комплектами разработки программного обеспечения, используемыми рекламодателями для сбора этой информации. Ботезату пояснил, что, хотя на всех мобильных рынках есть миллионы приложений, количество рекламных SDK очень мало. «В Google Play работает около 100 приложений, - пояснил он. «Если вы скомпрометируете одно, вы скомпрометируете весь спектр приложений и охватите еще больше клиентов».

Клиенты (это вы и я) также играют в этом роль, потому что наши телефоны на самом деле предупреждают нас, что эта информация собирается. Например, когда вы загружаете приложение из Google Play, вы соглашаетесь предоставить ему доступ к ряду разрешений. Это информация, к которой приложение может получить доступ, и действия, которые оно может выполнять. «Если Angry Birds использует ваше местоположение, вы можете предположить, что оно каким-то образом используется для рекламы», - сказал Роджерс.

Как оставаться в безопасности

Для таких людей, как мы, есть несколько вариантов ограничения того, кто видит нашу информацию. На iPhone вы можете заставить рекламодателей получить доступ к «рекламному идентификатору», который вы можете обновить в любое время, что ограничивает возможности создания профиля. iOS также позволяет предоставлять детальные разрешения на информацию. Вы можете разрешить доступ к вашему местоположению, а затем отключить его позже в меню «Настройки».

К сожалению, Android отстает с детальными разрешениями. Хотя Google кратко представил панель управления, позволяющую включать и выключать разрешения, она была быстро удалена. Это означает, что многим пользователям приходится выбирать между безопасностью и игрой с последним приложением. «Когда я вижу приложение, которое пытается собрать больше данных, чем нужно, я выбираю другое приложение со схожими функциями», - сказал Ботезату.

Пользователи также могут установить программное обеспечение безопасности, которое может помочь контролировать разрешения приложений. Lookout говорит, что их приложение безопасности начнет выделять эту информацию, и приложение Bitdefender Clueful поможет вам решить, требует ли приложение слишком много.

Роджерс признает, что «пользователь далек от того, что разработчик приложений соглашается делать со своими рекламодателями». Однако он порекомендовал пользователям требовать, чтобы разработчики приложений предоставляли документацию, такую ​​как политика конфиденциальности и раскрытия информации.

К сожалению, ответственность за то, чтобы разработчики и рекламодатели начали обрабатывать всю пользовательскую информацию как конфиденциальную и шифровать ее с момента, когда он покидает ваш телефон, до того момента, когда он находится на их серверах. Тем временем потребители должны принимать взвешенные решения о том, какие приложения они устанавливают, и активно привлекать разработчиков к ответственности. «Мы каждый день слышим, что за новыми вещами следят, но, по крайней мере, в этом случае есть простое лекарство», - сказал Роджерс.

Как NSA поворачивает ваши приложения против вас