Domov Varnostna ura Kako nsa obrača vaše aplikacije proti vam

Kako nsa obrača vaše aplikacije proti vam

Video: Стройнее внутренняя поверхность бедер за 14 дней (сбросить жир с бедра) | 10 минут домашней (November 2024)

Video: Стройнее внутренняя поверхность бедер за 14 дней (сбросить жир с бедра) | 10 минут домашней (November 2024)
Anonim

Konec januarja so puščali dokumenti razkrili, da so nedržavni organi in druge nacionalne vohunske organizacije trdo delali pri pridobivanju informacij iz vašega pametnega telefona. Toda namesto da bi namestili hrošček, so se samo dotaknili aplikacij, ki so že na vašem telefonu, da bi izvedeli vse, kar želijo vedeti.

Jezna ptica mi je povedala

Po poročanju so vohunske organizacije iskale tako imenovane "puščajoče aplikacije" za zbiranje informacij. To je izraz, ki smo ga pogosto uporabljali v naših zgodbah o mobilnih grožnjah v ponedeljek, ki jih raziskovalec varnostnega raziskovanja Marc Rogers definira kot "Vsaka aplikacija, ki brez šifriranja prenese kakršne koli občutljive podatke."

Morda boste presenečeni, da ta opredelitev zajema številne aplikacije, ki so na voljo tako v trgovinah z aplikacijami Android kot iOS. To je zato, ker mnoge od teh aplikacij uporabljajo oglaševalske platforme drugih proizvajalcev, da pomagajo pri unovčevanju svojih aplikacij. Včasih lahko oglase vidite prav v aplikaciji, kot v Flappy Bird. Razvijalec dobi rez, vi pa igro dobite brezplačno.

Toda tudi ko ne vidite nobenega oglasa, razvijalci aplikacij pogosto vključujejo kodo oglaševalcev, ki tiho zbira podatke o vas in vaši napravi. Te podatke zbirajo in razkrijejo oglaševalci, da bi lažje ciljali na svoje oglase. "Več informacij o nekom ima, bolj natančen bo njihov marketinški profil, " je pojasnil Bogdej Botezatu, višji specialist za e-grožnje v Bitdefenderju.

"Za oglaševalce, " je pojasnil Rojters, "je zlato napovedovanje, kaj naj naložijo uporabnikom." To so lahko izdelki in storitve, ki so bližje vašemu interesu ali pa so na voljo v vaši bližini. Če bi na primer živeli v Osaki, verjetno ne bi bili preveč zainteresirani za učenje poceni avtomobilov v Chicagu.

Oglaševalci in tržniki običajno poiščejo podatke, ki jih je mogoče prepoznati - to je nek način, kako povezati napravo z vami. EMEI številka naprave, Apple ID ali kakšen drug identifikator bo naredil, vendar so e-poštna sporočila in telefonske številke še posebej cenjene. S temi informacijami lahko oglaševalci ugotovijo, da je ista oseba prenesla različne aplikacije in si ogledajo, kako se uporabljajo v različnih napravah. Drugi oglaševalci so bolj agresivni in poskusite pridobiti podatke o geolokaciji in še več.

Kot primer, kako daljnosežne so informacije o SDK oglaševalcev, jih je Botezatu primerjal s Androidovim trojanskim daljinskim dostopom, ki ga je profiliral Bitdefender. Ko je nameščen v telefon žrtve, napadalec popolnoma nadzoruje in mu dovoli, da ukrade stike, dostopa do zgodovine brskalnika in sledi žrtvi. "Večina ljudi se na AndroRAT odzove negativno, ko jim pokažem, da lahko vklopim mikrofon, " je dejal. "Kratko to se zgodi pri večini oglaševalskih paketov SDK."

Ni povsem jasno, za kaj NSA uporablja prestrežene informacije o aplikacijah, vendar je verjetno podobno kot pri oglaševalcih: sestavljanje podrobnih profilov posameznikov iz različnih informacij. Seveda bi ga lahko uporabili na druge načine. Botezatu si predstavlja scenarij, ko so protestniki protestirali na ulicah proti zatiralski vladi. Če bi imela ta domišljijska vlada neoviran dostop do informacij o lokaciji, ki so jih pobrali oglaševalci, bi lahko ugotovila, kdo je v nemiru, in usmerila njih ali njihove družine v maščevanje.

Cevi puščajo

Kot je dejal Rogers, je aplikacija le pušljiva, če poskuša podatke pošiljati brez šifriranja. Na žalost se mnogi od njih odločijo, da ne bodo šifrirali informacij, ki izhajajo iz aplikacij v vašem telefonu in do oglaševalčevih strežnikov. "Vsakdo, ki posluša usmerjevalnik ali omrežje, lahko prisluhne podatkom v aplikaciji in naredi kopijo, " je dejal Botezatu.

Medtem ko smo videli primere vohunskih agencij, ki begajo po usmerjevalnikih in omrežjih Wi-Fi, Rogers pravi, da je to večja težava. "Vladne organizacije lahko izkoristijo infrastrukturo na način, kot je nihče drug ne more. Slab človek se lahko spopade s podatki, vlade pa lahko zasedejo celoten internet."

Pošiljanje žil podatkov oglaševalcem ni vedno boljše od prestrezanja NSA. Botezatu je opozoril, da ko podatki zapustijo vašo napravo, nimate nadzora nad njo. "Ti oglaševalci so morda na mestu, kjer ni zakonodaje, ki bi zaščitila vaše podatke, in nihče ne more zagotoviti, da so podatki na teh strežnikih za hekerje varni ali nedosegljivi."

Kdo je kriv

V mnogih primerih se razvijalci aplikacije morda niti ne zavedajo, katere podatke oglašujejo oglaševalci. Ali če so ti podatki šifrirani.

Rogers pravi, da je velik del težave napačna percepcija industrije o tem, kaj naredi podatke občutljive. Nekatere aplikacije, je pojasnil, vzamejo le malo informacij - na primer spolne želje v aplikaciji za zmenke ali del poštne številke v drugi aplikaciji - brez skrbi. Oglaševalci ne vidijo teh informacij kot občutljivih, saj vam sami ne povejo veliko. Toda zdaj organizacije, kot je NSA, lahko prestrežejo podatke iz več sto aplikacij hkrati in povežejo pike. "Vladne organizacije lahko vse to povežejo in ustvarijo popoln profil, " je dejal Rogers.

Obstajajo tudi težave z kompleti za razvoj programske opreme, ki jih oglaševalci uporabljajo za zbiranje teh informacij. Botezatu je pojasnil, da je na vseh mobilnih trgih na milijone aplikacij število oglaševalskih paketov SDK zelo majhno. "V Googlu Play je približno 100 napajanja vseh aplikacij, " je pojasnil. "Če enega ogrožate, ogrožate celoten obseg aplikacij in dosežete številne druge stranke."

Stranke (to ste vi in ​​jaz) igrajo tudi vlogo pri tem, ker nas telefoni dejansko opozarjajo, da se te informacije zbirajo. Ko na primer prenesete aplikacijo iz Googla Play, se strinjate, da ji boste omogočili dostop do vrste dovoljenj. To so podatki, do katerih aplikacija lahko dostopa, in dejanja, ki jih lahko izvaja. "Če Angry Birds uporablja vašo lokacijo, lahko domnevate, da se nekako uporablja za oglaševanje, je dejal Rogers.

Kako ostati varen

Za ljudi, kot smo mi, je možnosti za omejitev, kdo vidi naše podatke, malo. Na iPhoneu lahko prisilite oglaševalce, da dostopajo do »oglaševalskega ID-ja«, ki ga lahko kadar koli osvežite - omejuje, kako popoln profil je mogoče zgraditi. iOS vam omogoča tudi natančno določanje dovoljenj za informacije. Dovolite lahko dostop do svoje lokacije in jo pozneje izklopite iz menija Nastavitve.

Na žalost je Android z natančnimi dovoljenji zaostajal. Čeprav je Google na kratko predstavil nadzorno ploščo, ki vam omogoča vklop in izklop dovoljenj, je bila hitro odstranjena. To pomeni, da mora veliko uporabnikov izbrati med varnostjo in se igrati z najnovejšo aplikacijo. "Ko vidim aplikacijo, ki poskuša zbrati več podatkov, kot jih potrebuje, poiščem drugo aplikacijo s podobnimi funkcionalnostmi, " je dejal Botezatu.

Uporabniki lahko namestijo tudi varnostno programsko opremo, ki lahko pomaga nadzirati dovoljenja za aplikacije. Lookout pravi, da bo njihova varnostna aplikacija začela poudarjati te podatke, aplikacija Bitdefender Clueful pa vam lahko pomaga, da se odločite, ali aplikacija zahteva preveč.

Rogers priznava, da je "uporabnik daleč od tistega, kar se razvijalec aplikacij strinja s svojimi oglaševalci." Vendar je uporabnikom priporočil, da razvijalci aplikacij zahtevajo dokumentacijo, kot so politike zasebnosti in razkritja.

Žal je na razvijalcih in oglaševalcih, da začnejo vse uporabniške informacije obravnavati kot občutljive in jih šifrirati od trenutka, ko telefon zapusti, do trenutka, ko sedi na njihovih strežnikih. Potrošniki morajo medtem sprejemati pametne odločitve o tem, katere aplikacije so namestili, in razvijalce dejavno obravnavati kot odgovorne. "Vsak dan slišimo, da se nove stvari vohunijo, vendar vsaj v tem primeru obstaja enostavno sredstvo, " je dejal Rogers.

Kako nsa obrača vaše aplikacije proti vam