Video: Простая ТВ антенна для цифровых каналов 💯 качественный приём сигнала. (Listopad 2024)
Na konci ledna odhalené dokumenty odhalily, že NSA a další národní špionážní organizace usilovně získaly informace ze smartphonu. Namísto instalace chyby se však jednoduše připojili k aplikacím, které již máte v telefonu, aby zjistily vše, co chtějí vědět.
Rozzlobený pták mi řekl
Podle zpráv se špionážní organizace snaží shromažďovat informace o tzv. „Netěsných aplikacích“. Je to termín, který jsme v našich pondělních příbězích o mobilních hrozbách používali poměrně často. Ten, který hlavní výzkumný pracovník v oblasti Lookout Marc Rogers definuje jako „Jakákoli aplikace, která předává jakékoli citlivé informace bez šifrování“.
Možná vás překvapí, že tato definice zahrnuje mnoho aplikací dostupných v obchodech aplikací pro Android i iOS. Je to proto, že mnoho z těchto aplikací používá reklamní platformy třetích stran ke zpeněžení svých aplikací. Někdy můžete vidět reklamy přímo v aplikaci, jako je tomu u Flappy Bird. Vývojář dostane řez, a dostanete hru zdarma.
Ale i když nevidíte žádné reklamy, vývojáři aplikací často obsahují kód od inzerentů, který tiše shromažďuje informace o vás a vašem zařízení. Tyto informace jsou sestavovány a rozebírány inzerenty, aby lépe cílily jejich reklamy. „Čím více informací o někom má, tím přesnější bude jejich marketingový profil, “ vysvětlil specialista Bitdefender na e-hrozby specialista Bogdan Botezatu.
„Pro inzerenty, “ vysvětlil Rogers Rogge, „je tu zlato v předpovídání toho, co si na to vzpomenout s uživateli.“ Mohou to být produkty a služby, které jsou blíže vašemu zájmu nebo jsou dostupné ve vaší oblasti. Pokud byste například žili v Osace, pravděpodobně byste se příliš nezajímali o levné automobily v Chicagu.
Inzerenti a obchodníci obvykle přicházejí za identifikovatelné informace - to je nějaký způsob, jak k vám zařízení připojit. EMEI číslo zařízení, Apple ID nebo nějaký jiný identifikátor udělá, ale e-maily a telefonní čísla jsou zvlášť ceněny. Na základě těchto informací mohou inzerenti zjistit, že stejná osoba stáhla různé aplikace a zjistit, jak jsou používána na různých zařízeních. Ostatní inzerenti jsou agresivnější a snaží se získat informace o vaší geolokaci a další.
Jako příklad toho, jak dalekosáhlé informace o sadě SDK pro inzerenty mohou být, porovnal je Botezatu s Trojanem vzdáleným přístupem pro Android profilovaným Bitdefenderem. Po instalaci na telefon oběti dává útočníkovi úplnou kontrolu a umožňuje mu ukrást kontakty, získat přístup k historii prohlížeče a sledovat oběť. "Většina lidí negativně reaguje na AndroRAT, když jim ukážu, že mohu zapnout mikrofon, " řekl. "Krátce na to, to se děje s většinou reklamních sad SDK."
Není úplně jasné, k čemu NSA používá zachycené informace o aplikaci, ale je to pravděpodobně podobné inzerentům: sestavování podrobných profilů jednotlivců na základě nesourodých informací. Samozřejmě by se dalo použít i jinými způsoby. Botezatu si představuje scénář, ve kterém protestující v ulicích protestovali proti represivní vládě. Pokud by tato imaginární vláda měla neomezený přístup k informacím o poloze shromážděným inzerenty, mohli by určit, kdo byl v nepokoje, a zacílit na ně nebo jejich rodiny za odvetu.
Děravé trubky
Jak řekl Rogers, aplikace je netěsná, pouze pokud se snaží odeslat informace bez šifrování. Mnoho z nich se bohužel rozhodlo nešifrovat informace plynoucí z aplikací v telefonu a na servery inzerenta. "Kdokoli, kdo poslouchá na routeru nebo v síti, může slícovat data aplikace a vytvořit kopii, " řekl Botezatu.
Přestože jsme viděli případy špionážních agentů, které se plíží na směrovačích a sítích Wi-Fi, Rogers tvrdí, že je to větší problém. "Vládní organizace jsou schopny využívat infrastrukturu způsobem, který nikdo jiný nemůže. Špatný člověk může získat spojku dat, ale vlády mohou procházet celým internetem."
Zasílání zpráv dat inzerentům není vždy lepší, než nechat je zachytit NSA. Botezatu zdůraznil, že jakmile data opustí vaše zařízení, nemáte nad tím žádnou kontrolu. „Tito inzerenti mohou být na místě, kde neexistují žádné právní předpisy chránící vaše data, a nikdo nemůže zaručit, že informace na těchto serverech jsou hackerům zabezpečeny nebo nedostupné.“
Kdo je na vině
V mnoha případech nemusí vývojář aplikace ani vědět, jaké informace inzerenti nasávají. Nebo pokud jsou tyto informace šifrovány.
Rogers říká, že velkou částí problému je mylná představa o tom, co činí data citlivými. Některé aplikace, vysvětlil, berou jen trochu informací - jako je sexuální preference v seznamovací aplikaci nebo část PSČ v jiné aplikaci - bez obav. Inzerenti nevidí tyto informace jako citlivé, protože sami o sobě mnoho neřeknou. Nyní však mohou organizace jako NSA zachytit data ze stovek aplikací najednou a připojit tečky. "Vládní organizace to všechno mohou korelovat a vytvořit si kompletní profil, " řekl Rogers.
Existují také problémy se sadami vývoje softwaru, které inzerenti používají ke shromažďování těchto informací. Botezatu vysvětlil, že zatímco na všech mobilních trzích jsou miliony aplikací, počet reklamních sad SDK je velmi malý. „Na Google Play je asi 100 napájení všech aplikací, “ vysvětlil. "Pokud kompromitujete jednu, ohrozíte celou řadu aplikací a oslovíte mnohem více zákazníků."
Na tom se podílejí i zákazníci (to jste vy a já), protože nás telefony vlastně varují, že se tyto informace shromažďují. Když například stáhnete aplikaci z Google Play, souhlasíte s tím, že aplikaci získáte přístup k řadě oprávnění. Toto jsou informace, ke kterým má aplikace přístup, a akce, které může provést. "Pokud Angry Birds používá vaši polohu, můžete předpokládat, že se nějak používá pro reklamu, " řekl Rogers.
Jak zůstat v bezpečí
Pro lidi, jako jsme my, možnosti omezení toho, kdo vidí naše informace, je jen málo. V iPhone můžete inzerentům donutit přístup k „inzertnímu ID“, které můžete kdykoli obnovit - což omezuje, jak by mohl být profil vytvořen. Systém iOS vám také umožňuje poskytovat podrobná oprávnění k informacím. Můžete povolit přístup k vaší poloze a později ji vypnout z nabídky Nastavení.
Android bohužel pozdržel granulární povolení. Přestože Google krátce představil ovládací panel, který vám umožní přepínat a zapínat povolení, byl rychle odstraněn. To znamená, že mnoho uživatelů si musí vybrat mezi zabezpečením a hraním s nejnovější aplikací. "Když vidím aplikaci, která se snaží shromažďovat více dat, než potřebuje, jdu pro jinou aplikaci s podobnými funkcemi, " řekl Botezatu.
Uživatelé mohou také nainstalovat bezpečnostní software, který vám pomůže sledovat oprávnění aplikace. Lookout říká, že jejich bezpečnostní aplikace začne zvýrazňovat tyto informace a aplikace Bitdefender Clueful vám může pomoci rozhodnout, zda aplikace požaduje příliš mnoho.
Rogers připouští, že „uživatel je daleko od toho, co vývojář aplikace souhlasí s jejich inzerenty.“ Doporučil však, aby uživatelé požadovali, aby vývojáři aplikací poskytovali dokumentaci, jako jsou zásady ochrany osobních údajů a zveřejňování.
Je bohužel na vývojářích a inzerentech, aby začali s veškerými uživatelskými informacemi zacházet jako s citlivými a šifrovali je od okamžiku, kdy opustí váš telefon, až po jeho sezení na jejich serverech. Spotřebitelé musí mezitím učinit inteligentní rozhodnutí o tom, jaké aplikace instalují a aktivně považují vývojáře za zodpovědné. "Každý den slyšíme, že se sledují nové věci, ale alespoň v tomto jednom případě existuje snadná náprava, " řekl Rogers.
