Videó: HOGYAN VÁLTOZTATJA MEG AZ ÉLETED A RENDSZEREKBEN VALÓ GONDOLKODÁSMÓD? 🚀 (November 2024)
Január végén a kiszivárogtatott dokumentumok rámutattak, hogy az NSA és más nemzeti kémszervezetek keményen dolgoznak az okostelefonról információk gyűjtésében. Ahelyett, hogy telepített volna egy hibát, csak bekapcsoltak a telefonján már található alkalmazásokba, hogy mindent megtanuljanak.
Egy dühös madár mondta nekem
A jelentések szerint a kémszervezetek úgynevezett „szivárgó alkalmazásokat” keresnek az információk gyűjtése érdekében. Ezt a kifejezést gyakran használjuk a Mobile Threat hétfőn megjelenő történeteinkben, amelyet a Lookout fő biztonsági kutatója, Marc Rogers határoz meg: "Bármely alkalmazás, amely titkosítás nélkül bármilyen érzékeny információt továbbít".
Lehet, hogy meglepődött, hogy ez a meghatározás számos alkalmazást lefed, mind az Android, mind az iOS alkalmazásboltokban. Ennek oka az, hogy ezek közül az alkalmazások közül sok harmadik fél által gyártott hirdetési platformokat használ az alkalmazások bevételszerzéséhez. Időnként láthatja a hirdetéseket közvetlenül az alkalmazásban, mint a Flappy Bird. A fejlesztő vágást kap, és ingyen kapsz egy játékot.
De még akkor is, ha nem lát hirdetést, az alkalmazásfejlesztők gyakran tartalmaznak olyan hirdetők kódját, amelyek csendesen gyűjtnek információkat rólad és az eszközről. Ezt az információt a hirdetők állítják össze és bontják szét a hirdetéseik célzása érdekében. "Minél több információ van valakiról, annál pontosabb lesz a marketing profilja" - magyarázta a Bitdefender vezérigazgatója, E-fenyegetés, Bogdan Botezatu.
"A hirdetők számára - magyarázta a Lookout Rogers" - arany van abban, hogy megjósoljuk, mit kell feltenni, és ez a felhasználókkal való kapcsolatba kerül. " Lehetnek olyan termékek és szolgáltatások, amelyek közelebb állnak az érdeklődéshez, vagy elérhetők az Ön területén. Ha például Osakában élne, akkor valószínűleg nem lenne túl érdekes, ha megismerné az olcsó autókat Chicagóban.
A hirdetők és a marketingszakemberek általában azonosítható információ után vannak, vagyis valamilyen módon csatlakoztathatják eszközt az ön számára. Az eszköz EMEI-száma, Apple ID-je vagy más azonosító megteszi, de az e-mailek és a telefonszámok különösen nagyra becsültek. Ezzel az információval a hirdetők meghatározhatják, hogy ugyanaz a személy letöltött-e különféle alkalmazásokat, és megtudhatja, hogyan használják őket különböző eszközökön. Más hirdetők agresszívebbek, és megpróbálják megszerezni az Ön földrajzi helyzetére vonatkozó információkat, és így tovább.
A Botezatu példát hozott arról, hogy milyen messzemenő lehet a hirdetői SDK-információk, és összehasonlította őket a Bitdefender által profilozott Android távoli hozzáférésű trójai programmal. Az áldozat telefonjára történő telepítés után teljes ellenőrzést ad a támadó számára, lehetővé téve számukra kapcsolatok ellopását, a böngésző előzményeinek elérését és az áldozatok nyomon követését. "A legtöbb ember negatívan reagál az AndroRAT-ra, amikor megmutatom nekik, hogy be tudom kapcsolni a mikrofont." - mondta. "Röviden, ez történik a legtöbb SDK-sel."
Nem teljesen világos, hogy az NSA miként használja az elfogott alkalmazásinformációkat, de valószínűleg hasonló a hirdetőkhöz: részletes profilok felállítása az egyénekre az eltérő információtól. Természetesen más módon is felhasználható. Botezatu egy olyan forgatókönyvet képzel el, amelyben a tüntetők az utcán zavaró erők elnyomó kormány ellen zavargottak. Ha ez a képzeletbeli kormány korlátlanul hozzáférhetne a hirdetők által összegyűjtött helyinformációkhoz, meg tudnák határozni, ki zajlik a zavargásokban, és megtorlás céljából megcélozhatják őket vagy családjukat.
Szivárgó csövek
Mint Rogers mondta, egy alkalmazás csak akkor szivárog, ha titkosítás nélkül próbál információkat küldeni. Sajnos sokan úgy döntöttek, hogy nem titkosítják a telefonod alkalmazásaiból és a hirdető szervereiről származó információkat. "Bárki, aki az útválasztón vagy a hálózaton hallgat, szippanthat az alkalmazás adatait, és másolatot készíthet" - mondta Botezatu.
Miközben láttuk, hogy a kémügynökségek szimatolnak az útválasztókon és a Wi-Fi hálózatokon, Rogers szerint ez egy nagyobb probléma. "A kormányzati szervezetek abban a helyzetben vannak, hogy az infrastruktúrát oly módon hasznosítsák, mint senki más nem képes. Egy rosszfiú adatcserét kaphat, a kormányok pedig az egész internetet átjárhatják."
Az adatsorok küldése a hirdetőknek nem mindig jobb, mint ha az NSA elfogja őket. Botezatu rámutatott, hogy amint az adatok elhagyják a készüléket, akkor nincs feletti ellenőrzése felett. "Előfordulhat, hogy ezek a hirdetők olyan helyen vannak, ahol nincs az Ön adatait védő jogszabály, és senki sem garantálja, hogy az ezen szerverekkel kapcsolatos információk biztonságosak vagy elérhetetlenek a hackerek számára."
Ki hibáztatható
Sok esetben az alkalmazás fejlesztője esetleg nem is ismeri azt, hogy milyen információkat szed be a hirdetők. Vagy ha az információ titkosítva van.
Rogers szerint a probléma nagy része az ipari tévhit, hogy mi teszi az adatokat érzékenyé. Bizonyos alkalmazások - magyarázta - csak egy kevés információt vesznek igénybe - például szexuális preferenciát társkereső alkalmazásban vagy irányítószám egy részét egy másik alkalmazásban -, aggodalom nélkül. A hirdetők ezt az információt nem érzékenynek tekintik, mert önmagában nem sokat mond neked. De most az olyan szervezetek, mint az NSA, több száz alkalmazás adatait képes egyszerre lehallgatni, és összekapcsolni a pontokat. "A kormányzati szervezetek mindezt összekapcsolhatják és teljes profilot készíthetnek" - mondta Rogers.
Vannak problémák a szoftverfejlesztő készlettel is, amelyet a hirdetők használnak ezen információk összegyűjtésére. Botezatu elmondta, hogy bár az összes mobil piacon több millió alkalmazás található, az SDK-k száma nagyon kicsi. "Körülbelül 100 táplálja az összes alkalmazást a Google Playen" - magyarázta. "Ha veszélyezteti az egyiket, akkor a teljes alkalmazási kört veszélyezteti, és még sok más ügyféllel felveszi a kapcsolatot."
Az ügyfelek (ez te és én) szintén szerepet játszanak ebben, mert telefonjaink valójában figyelmeztetnek arra, hogy ezeket az információkat gyűjtik. Amikor letölt egy alkalmazást például a Google Playről, beleegyezik abba, hogy az alkalmazás számára számos engedélyt biztosít. Ez az az információ, amelyhez az alkalmazás hozzáférhet, és az elvégzendő tevékenységek. "Ha az Angry Birds használja az Ön tartózkodási helyét, akkor feltételezheti, hogy valamilyen módon reklámozzák" - mondta Rogers.
Hogyan lehet biztonságban maradni?
A köztük lévő embereknél kevés lehetőség áll rendelkezésre annak korlátozására, hogy ki látja az információinkat. Az iPhone készüléken kényszerítheti a hirdetőket egy "hirdetési azonosítóra" való hozzáférésre, amelyet bármikor frissíthet - korlátozva, hogy a profil miként készüljön. Az iOS lehetővé teszi az adatok granulált engedélyének megadását is. Engedélyezheti a hozzáférést a helyéhez, majd később kikapcsolhatja azt a Beállítások menüből.
Sajnos az Android lemaradt a részletesebb engedélyekkel. Bár a Google röviden bevezetett egy vezérlőpanelt, hogy engedélyezze és kikapcsolhassa az engedélyeket, gyorsan eltávolította. Ez azt jelenti, hogy sok felhasználónak választania kell a biztonság és a legújabb alkalmazással való játék között. "Amikor egy olyan alkalmazást látok, amely megkísérel több adatgyűjtést, mint amennyire szüksége van, egy másik, hasonló funkciókkal rendelkező alkalmazást keresek" - mondta Botezatu.
A felhasználók biztonsági szoftvereket is telepíthetnek, amelyek segítenek az alkalmazások engedélyének figyelésében. A Lookout szerint a biztonsági alkalmazásuk elkezdi kiemelni ezeket az információkat, és a Bitdefender Clueful alkalmazás segít eldönteni, hogy egy alkalmazás túl sokat kér-e.
Rogers elismeri, hogy "a felhasználó messze van attól, amit egy alkalmazásfejlesztő vállalkozik a hirdetőivel". Ugyanakkor azt javasolta a felhasználóknak, hogy kövessék az alkalmazásfejlesztőktől dokumentációt, például az adatvédelmi és közzétételi irányelveket.
Sajnos a fejlesztőknek és a hirdetőknek az a kötelessége, hogy minden felhasználói információt érzékenynek tekintsenek, és titkosítsák azt, amikor elhagyja a telefonját, és egészen a szerverükre ülésig. Eközben a fogyasztóknak okos döntéseket kell hozniuk arról, hogy milyen alkalmazásokat telepítenek, és aktívan felelõsek a fejlesztõk. "Naponta halljuk, hogy új dolgokat vizsgálnak meg, de legalább ebben az esetben van egy egyszerű orvoslás" - mondta Rogers.
