Как nsa обръща приложенията ви срещу вас

В края на януари изтеклите документи разкриха, че НСА и други национални шпионски организации работят трудно и получават информация от вашия смартфон. Но вместо да инсталират грешка, те просто са докоснали приложенията, които вече са на вашия телефон, за да научат всичко, което искат да знаят.

Ядосана птица ми каза

Според докладите шпионските организации търсят така наречените „пропуснати приложения“, за да събират информация. Това е термин, който сме използвали доста често в нашите разкази в понеделник на Mobile Threat, който главният изследовател на сигурността на Lookout Марк Роджърс определя като „Всяко приложение, което предава всякакъв вид чувствителна информация без криптиране“.

Може да се изненадате, че това определение обхваща много от приложенията, налични както в магазините за приложения за Android, така и за iOS. Това е така, защото много от тези приложения използват рекламни платформи на трети страни, за да помогнат за осигуряването на приходи от своите приложения. Понякога можете да видите рекламите направо в приложението, както в Flappy Bird. Програмистът получава намаление, а вие получавате игра безплатно.

Но дори когато не виждате никакви реклами, разработчиците на приложения често включват код от рекламодатели, които тихо събират информация за вас и вашето устройство. Тази информация се събира и разчленява от рекламодателите, за да помогне за по-доброто насочване на рекламите си. "Колкото повече информация има за някого, толкова по-точен ще бъде маркетинговият му профил", обясни старши специалист по електронна заплаха на Bitdefender Богдан Ботезату.

"За рекламодателите", обясни Роджърс на Lookout, "има злато в прогнозирането на какво да се сложи, което ще ангажира потребителите." Това могат да бъдат продукти и услуги, които са по-близки до вашия интерес или са налични във вашия район. Ако например сте живели в Осака, вероятно няма да бъдете твърде заинтересовани да научите за евтините автомобили в Чикаго.

Обикновено рекламодателите и маркетолозите след информация, която може да се идентифицира - тоест някакъв начин да свържете устройството си с вас. EMEI номер на устройството, Apple ID или някакъв друг идентификатор ще направи, но имейлите и телефонните номера са особено ценени. С тази информация рекламодателите могат да определят, че един и същ човек е изтеглил различни приложения и да прегледат как се използват на различни устройства. Други рекламодатели са по-агресивни и се опитайте да получите вашата геолокационна информация и още.

За да даде пример за това колко обширна информация за SDK за рекламодатели може да бъде, Botezatu ги сравнява с троянския троянски плат за отдалечен достъп, профилиран от Bitdefender. Веднъж инсталиран на телефона на жертвата, той дава пълен контрол на нападател, като им позволява да откраднат контакти, да имат достъп до историята на браузъра и да проследяват жертвата. "Повечето хора реагират отрицателно на AndroRAT, когато им покажа, че мога да включа микрофона", каза той. „Освен това, това се случва с повечето рекламни SDK.“

Не е напълно ясно за какво NSA използва прихваната информация за приложението, но вероятно е подобно на рекламодателите: изграждане на подробни профили на хора от различна информация. Разбира се, може да се използва и по други начини. Ботезату си представя сценарий, при който протестиращите бунтуват по улиците срещу потисническото правителство. Ако това въображаемо правителство имаше неограничен достъп до информация за местоположение, събирана от рекламодатели, те можеха да определят кой е в размириците и да насочат към тях или техните семейства за отмъщение.

Непропускливи тръби

Както каза Роджърс, приложението е пропускливо само ако се опита да изпрати информация без криптиране. За съжаление, много от тях са избрали да не криптират информацията, която тече от приложенията на вашия телефон и към сървърите на рекламодателя. „Всеки, който слуша на рутера или в мрежата, може да изслушва данните на приложението и да направи копие“, каза Ботезату.

Докато видяхме случаи на шпионски агенции, които се подхлъзват по рутери и Wi-Fi мрежи, Роджърс казва, че това е по-голям проблем. "Правителствените организации са в състояние да се възползват от инфраструктурата по начин, който никой друг не може. Лош човек може да се сдобие с данни, но правителствата могат да спънат целия интернет."

Изпращането на копия от данни на рекламодателите не винаги е по-добро от прехващането им от НСА. Botezatu посочи, че след като данните напуснат устройството ви, вие нямате контрол върху него. „Тези рекламодатели може да са на място, където няма законодателство, което да защитава вашите данни и никой не може да гарантира, че информацията на тези сървъри е защитена или недостъпна за хакерите.“

Кой е виновен

В много случаи програмистът на приложението може дори да не е наясно каква информация се засмуква от рекламодателите. Или ако тази информация е криптирана.

Роджърс казва, че голяма част от проблема е отраслово погрешно схващане за това, което прави данните чувствителни. Някои приложения, обясни той, вземат само малко информация - като сексуални предпочитания в приложение за запознанства или част от пощенски код в друго приложение - без притеснение. Рекламодателите не виждат тази информация като чувствителна, защото сама по себе си тя не ви казва много. Но сега организации като NSA могат да прихващат данни от стотици приложения наведнъж и да свързват точките. "Правителствените организации могат да свържат всичко това и да създадат цялостен профил", каза Роджърс.

Има проблеми и с комплектите за разработка на софтуер, използвани от рекламодателите за събиране на тази информация. Botezatu обясни, че макар да има милиони приложения на всички мобилни пазари, броят на рекламните SDK е много малък. "Има около 100 захранвания на всички приложения в Google Play", обясни той. „Ако компрометирате такова, компрометирате пълен набор от приложения и достигате до много повече клиенти.“

Клиентите (това сте вие ​​и аз) също играят роля в това, защото всъщност сме предупредени от нашите телефони, че тази информация се събира. Когато изтеглите приложение от Google Play, например, вие се съгласявате да предоставите на приложението достъп до редица разрешения. Това е информация, до която приложението може да има достъп, и действия, които може да извърши. „Ако Angry Birds използва местоположението ви, можете да предположите, че се използва по някакъв начин за реклама, каза Роджърс.

Как да бъдем в безопасност

За хора като нас, вариантите за ограничаване на това кой вижда нашата информация са малко. В iPhone можете да принудите рекламодателите да имат достъп до „рекламен идентификационен номер“, който можете да опресните по всяко време - ограничавайки доколко пълен профил може да бъде изграден. iOS също ви позволява да предоставяте подробни разрешения за информация. Можете да разрешите достъп до местоположението си и след това да го изключите по-късно от менюто за настройки.

За съжаление Android изостава с подробни разрешения. Въпреки че Google накратко въведе контролен панел, който ви позволява да включвате и изключвате разрешения, той бързо беше премахнат. Това означава, че много потребители трябва да избират между сигурността и да играят с най-новото приложение. „Когато видя приложение, което се опитва да събере повече данни, отколкото му е необходимо, отивам за друго приложение със сходни функционалности“, каза Ботезату.

Потребителите могат също да инсталират софтуер за сигурност, който може да помогне за наблюдение на разрешенията за приложения. Lookout казва, че тяхното приложение за сигурност ще започне да подчертава тази информация и приложението Clueful на Bitdefender може да ви помогне да решите дали приложението ви иска твърде много.

Роджърс признава, че „потребителят е далеч от това, което разработчикът на приложения се съгласява да направи с техните рекламодатели“. Въпреки това той препоръча на потребителите да изискват разработчиците на приложения да предоставят документация като политики за поверителност и разкриване.

За съжаление, той за жалост е на разработчиците и рекламодателите да започнат да третират цялата потребителска информация като чувствителна и да я шифроват от момента, в който тя остави телефона ви, до момента, в който седи на сървърите им. Междувременно потребителите трябва да вземат интелигентни решения за това, какви приложения инсталират и активно държат разработчиците отговорни. "Чуваме всеки ден, че се шпионират нови неща, но поне в този случай има лесно средство за защита", каза Роджърс.