Acasă Securitywatch Cum nsa îți transformă aplicațiile împotriva ta

Cum nsa îți transformă aplicațiile împotriva ta

Video: CUM SA FACI ROATA?/ EXERCITII DE STRETCHING [HD] (Noiembrie 2024)

Video: CUM SA FACI ROATA?/ EXERCITII DE STRETCHING [HD] (Noiembrie 2024)
Anonim

La sfârșitul lunii ianuarie, documentele scurse au scos la iveală faptul că ANS și alte organizații naționale de spionaj au lucrat din greu pentru a obține informații de pe smartphone. Dar în loc să instaleze o eroare, ei au accesat aplicațiile deja de pe telefon pentru a afla tot ce vor să știe.

O pasăre supărată mi-a spus

Conform rapoartelor, organizațiile spionului caută așa-numitele „aplicații scurgeră” pentru a strânge informații. Este un termen pe care l-am folosit destul de des în poveștile noastre despre Mobile Threat Monday, unul pe care cercetătorul principal de securitate al Lookout-ului Marc Rogers îl definește drept „Orice aplicație care transmite orice fel de informații sensibile fără criptare”.

Ați putea fi surprins de faptul că această definiție cuprinde multe dintre aplicațiile disponibile atât în ​​magazinele de aplicații Android, cât și în iOS. Acest lucru se datorează faptului că multe dintre aceste aplicații folosesc platforme publicitare terțe pentru a-și ajuta să-și monetizeze aplicațiile. Uneori puteți vedea anunțurile chiar în aplicație, ca în Flappy Bird. Dezvoltatorul primește o reducere și primești un joc gratuit.

Dar chiar și atunci când nu vedeți niciun anunț, dezvoltatorii de aplicații includ adesea cod de la agenții de publicitate care colectează în mod liniștit informații despre dvs. și dispozitivul dvs. Aceste informații sunt compilate și disecate de către agenții de publicitate pentru a ajuta la o mai bună direcționare a anunțurilor. „Cu cât vor avea mai multe informații despre cineva, cu atât profilul lor de marketing va fi mai exact”, a explicat Bogdan Botezatu, specialistul principal în amenințări electronice Bitdefender.

„Pentru agenții de publicitate”, a explicat Rogers pentru Lookout, „există aur în care să prezicem ce să punem pe acesta care să se angajeze cu utilizatorii”. Aceasta ar putea fi produse și servicii care sunt mai aproape de interesul dvs. sau sunt disponibile în zona dvs. Dacă ai trăi în Osaka, de exemplu, probabil că nu te-ar interesa prea mult să afli despre mașini ieftine în Chicago.

Agenții de publicitate și agenții de marketing sunt în mod obișnuit după informații de identificare - adică într-un fel de a vă conecta dispozitivul la dvs. Numărul EMEI al dispozitivului, ID-ul Apple sau alt identificator o vor face, dar e-mailurile și numerele de telefon sunt deosebit de apreciate. Cu aceste informații, agenții de publicitate pot stabili că aceeași persoană a descărcat aplicații diferite și poate obține modul în care sunt utilizate pe dispozitive diferite. Alți agenți de publicitate sunt mai agresivi și încearcă să obțină informații despre geolocalizare și multe altele.

Pentru a da un exemplu despre cât de extinsă poate fi informația SDK pentru agenții de publicitate, Botezatu le-a comparat cu troianul de acces la distanță Android profilat de Bitdefender. Odată instalat pe telefonul unei victime, acesta oferă un control total unui atacator care îi permite să fure contacte, să acceseze istoricul browserului și să urmărească victima. "Majoritatea oamenilor răspund negativ la AndroRAT când le arăt că pot porni microfonul", a spus el. „În scurt timp, asta se întâmplă cu majoritatea SDK-urilor publicitare”.

Nu este în totalitate clar la ce folosește NSA informațiile despre aplicații interceptate, dar este probabil similar cu agenții de publicitate: crearea de profiluri detaliate pe persoane din informații diferite. Desigur, ar putea fi folosit în alte moduri. Botezatu își imaginează un scenariu în care protestatarii se revoltau pe străzi împotriva unui guvern opresiv. Dacă acest guvern imaginar ar avea acces fără restricții la informațiile despre locație culese de către agenții de publicitate, ei ar putea determina cine a fost în revoltă și să-i țintească pe aceștia sau familiile lor pentru represalii.

Țevi scurți

După cum a spus Rogers, o aplicație este scurgeră numai dacă încearcă să trimită informații fără criptare. Din păcate, mulți dintre ei au optat să nu cripteze informațiile care provin din aplicațiile de pe telefonul dvs. și de pe serverele agenților de publicitate. "Oricine ascultă routerul sau rețeaua poate să amintească datele aplicației și să facă o copie", a spus Botezatu.

În timp ce am văzut cazuri de agenții de spionaj care se plimbă pe routere și rețele Wi-Fi, Rogers spune că este o problemă mai mare. "Organizațiile guvernamentale sunt în măsură să utilizeze infrastructura într-un mod în care nimeni altcineva nu poate. Un om rău poate obține un clutch de date, dar guvernele pot împiedica întregul internet."

Trimiterea reams de date către agenții de publicitate nu este întotdeauna mai bună decât să le faci interceptate de către ANS. Botezatu a subliniat că odată ce datele părăsesc dispozitivul dvs., nu aveți niciun control asupra acestuia. "Acești agenți de publicitate pot fi într-un loc în care nu există nicio legislație care să protejeze datele dvs. și nimeni nu poate garanta că informațiile de pe serverele respective sunt securizate sau care nu pot fi accesate de hackeri."

Cine e de vină

În multe cazuri, dezvoltatorul aplicației poate nici nu este conștient de informațiile care sunt preluate de agenții de publicitate. Sau dacă informațiile respective sunt criptate.

Rogers spune că o mare parte a problemei este o concepție greșită a industriei despre ceea ce face ca datele să fie sensibile. Unele aplicații, a explicat el, iau doar puțină informație - cum ar fi preferința sexuală într-o aplicație de întâlnire sau o parte a unui cod poștal dintr-o altă aplicație - fără griji. Agenții de publicitate nu văd aceste informații ca fiind sensibile, pentru că singuri nu vă spun multe. Acum, organizațiile precum NSA pot intercepta date de la sute de aplicații simultan și pot conecta punctele. "Organizațiile guvernamentale pot corela toate acestea și pot construi un profil complet", a spus Rogers.

Există, de asemenea, probleme cu kiturile de dezvoltare software folosite de agenții de publicitate pentru a colecta aceste informații. Botezatu a explicat că, deși există milioane de aplicații pe toate piețele mobile, numărul de SDK-uri publicitare este foarte mic. "Există aproximativ 100 de alimentatoare pentru toate aplicațiile pe Google Play", a explicat el. „Dacă compromiteți una, compromiteți o gamă completă de aplicații și adresați mai multor clienți.”

Clienții (asta și tu și mine) joacă și ei un rol în acest lucru, deoarece de fapt suntem avertizați de telefoanele noastre că aceste informații sunt colectate. Atunci când descărcați o aplicație de pe Google Play, de exemplu, sunteți de acord să acordați aplicației accesul la o serie de permisiuni. Aceasta este informația pe care aplicația o poate accesa și acțiunile pe care le poate desfășura. „Dacă Angry Birds folosește locația dvs., puteți presupune că este folosit cumva pentru publicitate, a spus Rogers.

Cum să stai în siguranță

Pentru oameni ca noi, opțiunile pentru limitarea cine vede informațiile noastre sunt puține. Pe iPhone, puteți forța agenții de publicitate să acceseze un „ID de publicitate” pe care îl puteți actualiza oricând - limitând cât de complet poate fi construit un profil. iOS vă permite, de asemenea, să furnizați permisiuni granulare pentru informații. Puteți permite accesul la locația dvs. și apoi opriți-l mai târziu din meniul Setări.

Din păcate, Android a rămas în urmă cu permisiunile granulare. Deși Google a introdus pe scurt un panou de control pentru a vă permite să comutați și să dezactivați permisiunile, acesta a fost eliminat rapid. Aceasta înseamnă că mulți utilizatori trebuie să aleagă între securitate și să se joace cu cea mai recentă aplicație. "Când văd o aplicație care încearcă să strângă mai multe date decât are nevoie, merg pentru o altă aplicație cu funcționalități similare", a spus Botezatu.

Utilizatorii pot instala, de asemenea, software de securitate care vă poate ajuta să monitorizați permisiunile pentru aplicații. Lookout spune că aplicația lor de securitate va începe să evidențieze aceste informații, iar aplicația Clueful Bitdefender vă poate ajuta să decideți dacă o aplicație cere prea mult.

Rogers admite că „utilizatorul este departe de ceea ce un dezvoltator de aplicații acceptă să facă cu agenții de publicitate”. Cu toate acestea, el a recomandat utilizatorilor să solicite dezvoltatorilor de aplicații să furnizeze documentații precum politicile de confidențialitate și divulgare.

Onus, din păcate, se adresează dezvoltatorilor și agenților de publicitate pentru a începe să trateze toate informațiile utilizatorului ca fiind sensibile și să le cripteze de când lasă telefonul până când stă pe serverele lor. Între timp, consumatorii trebuie să ia decizii inteligente cu privire la aplicațiile pe care le instalează și să-i responsabilizeze activ pe dezvoltatori. „Auzim zilnic că sunt spionate lucruri noi, dar cel puțin în acest caz există un remediu ușor”, a spus Rogers.

Cum nsa îți transformă aplicațiile împotriva ta