Video: How language shapes the way we think | Lera Boroditsky (Septembra 2024)
Na konci januára unikli dokumenty, že NSA a ďalšie národné špionážne organizácie sa usilovne snažia získať informácie zo svojho smartfónu. Namiesto toho, aby si nainštalovali chybu, jednoducho klepli do aplikácií, ktoré už máte v telefóne, aby sa dozvedeli všetko, čo chcú vedieť.
Angry Bird mi povedal
Podľa správ sa špionážne organizácie snažia zhromažďovať informácie o tzv. „Netesných aplikáciách“. Je to termín, ktorý sme v našich pondelkových príbehoch o mobilnej hrozbe často používali. Termín, ktorý hlavný výskumný pracovník v oblasti bezpečnosti Marc Rogers, Lookout, definuje ako „Akákoľvek aplikácia, ktorá bez šifrovania odovzdáva akékoľvek citlivé informácie.“
Možno vás prekvapí, že táto definícia zahŕňa veľa aplikácií dostupných v obchodoch aplikácií pre Android a iOS. Je to preto, že mnohé z týchto aplikácií používajú reklamné platformy tretích strán na speňaženie svojich aplikácií. Reklamy sa niekedy môžu zobraziť priamo v aplikácii, napríklad v aplikácii Flappy Bird. Vývojár dostane rez a dostanete hru zadarmo.
Aj keď nevidíte žiadne reklamy, vývojári aplikácií často zahŕňajú kód od inzerentov, ktorý ticho zhromažďuje informácie o vás a vašom zariadení. Tieto informácie zostavujú a rozoberajú inzerenti, aby lepšie zacielili svoje reklamy. „Čím viac informácií o niekom bude, tým presnejší bude ich marketingový profil, “ vysvetlil špecialista na bitúnky E-mail, Bogdan Botezatu.
„Pre inzerentov, “ vysvetlil Rogers Rogge, „je tu zlato v predpovedaní toho, čo sa dá osloviť s používateľmi.“ Mohli by to byť produkty a služby, ktoré sú bližšie k vášmu záujmu alebo sú k dispozícii vo vašej oblasti. Ak by ste napríklad žili v Osake, pravdepodobne by ste sa príliš nezaujímali o výučbu lacných automobilov v Chicagu.
Inzerenti a obchodníci sú zvyčajne po identifikovateľných informáciách - to je nejaký spôsob, ako k vám pripojiť zariadenie. EMEI číslo zariadenia, Apple ID alebo nejaký iný identifikátor zariadenia to urobia, ale e-maily a telefónne čísla sú obzvlášť cenené. Na základe týchto informácií môžu inzerenti určiť, že tá istá osoba stiahla rôzne aplikácie a zistí, ako sa používajú na rôznych zariadeniach. Iní inzerenti sú agresívnejší a snažia sa získať informácie o vašej geografickej polohe a ďalšie.
Ako príklad o tom, aké ďalekosiahle môžu byť informácie o súprave SDK pre inzerentov, porovnal ich Botezatu so softvérom Bitdefender so vzdialeným prístupom pre Android. Po inštalácii na telefón obete dáva útočníkovi úplnú kontrolu a umožňuje mu ukradnúť kontakty, získať prístup k histórii prehliadača a sledovať obeť. „Väčšina ľudí reaguje negatívne na AndroRAT, keď im ukážem, že môžem zapnúť mikrofón, “ povedal. „Stručne povedané, to sa stane s väčšinou reklamných súprav SDK.“
Nie je úplne jasné, pre čo NSA používa zachytené informácie o aplikácii, ale pravdepodobne je to podobné inzerentom: zostavenie podrobných profilov jednotlivcov na základe rôznych informácií. Samozrejme by sa dalo použiť aj inými spôsobmi. Botezatu predstavuje scenár, keď demonštranti protestovali v uliciach proti represívnej vláde. Keby táto imaginárna vláda mala neobmedzený prístup k informáciám o polohe, ktoré zozbierali inzerenti, mohli by určiť, kto bol v nepokojoch, a zamerať ich alebo ich rodiny na odvetu.
Poddajné potrubia
Ako povedal Rogers, aplikácia je netesná, iba ak sa snaží odoslať informácie bez šifrovania. Mnohé z nich sa, žiaľ, rozhodli nešifrovať informácie pochádzajúce z aplikácií vo vašom telefóne a na servery inzerenta. „Každý, kto počúva na smerovači alebo v sieti, môže preniknúť na údaje aplikácie a vytvoriť kópiu, “ uviedol Botezatu.
Aj keď sme videli prípady špionážnych agentúr, ktoré sa plížia na smerovačoch a sieťach Wi-Fi, Rogers tvrdí, že je to väčší problém. "Vládne organizácie sú schopné využívať infraštruktúru spôsobom, ktorý nemôže nikto iný. Zlý človek môže získať množstvo údajov, ale vlády môžu prechádzať celým internetom."
Zasielanie zvyškov údajov inzerentom nie je vždy lepšie, ako ich nechať zachytiť NSA. Botezatu zdôraznil, že keď údaje opustia vaše zariadenie, nemáte nad tým kontrolu. „Títo inzerenti môžu byť na mieste, kde neexistujú žiadne právne predpisy na ochranu vašich údajov, a nikto nemôže zaručiť, že informácie na týchto serveroch sú hackerom zabezpečené alebo nedostupné.“
Kto je na vine
V mnohých prípadoch si vývojár aplikácie nemusí byť vedomý toho, ktoré informácie inzerenti nasávajú. Alebo ak sú tieto informácie šifrované.
Rogers tvrdí, že veľká časť problému je mylná predstava o tom, čo robí dáta citlivými. Niektoré aplikácie, vysvetlil, berú iba trochu informácií - napríklad sexuálne preferencie v zoznamovacej aplikácii alebo časť PSČ v inej aplikácii - bez obáv. Inzerenti nevidia tieto informácie ako citlivé, pretože sami o sebe veľa nehovoria. Teraz však môžu organizácie ako NSA zachytiť údaje zo stoviek aplikácií naraz a prepojiť bodky. „Vládne organizácie to všetko môžu korelovať a vytvoriť si úplný profil, “ uviedol Rogers.
Vyskytujú sa tiež problémy so súpravami na vývoj softvéru, ktoré inzerenti používajú na zhromažďovanie týchto informácií. Botezatu vysvetlil, že zatiaľ čo na všetkých mobilných trhoch existujú milióny aplikácií, počet reklamných súprav SDK je veľmi malý. „Všetky aplikácie v službe Google Play sú napájané asi 100, “ vysvetlil. „Ak urobíte kompromis, ohrozíte celý rad aplikácií a oslovíte oveľa viac zákazníkov.“
Na tom sa podieľajú aj zákazníci (to ste vy a ja), pretože nás telefóny vlastne varujú, že sa tieto informácie zhromažďujú. Napríklad pri sťahovaní aplikácie zo služby Google Play súhlasíte s tým, že aplikácii získate prístup k množstvu povolení. Toto sú informácie, ku ktorým má aplikácia prístup, a akcie, ktoré môže vykonať. „Ak Angry Birds používa vašu polohu, môžete predpokladať, že sa nejako používa na reklamu, “ povedal Rogers.
Ako zostať v bezpečí
Pre ľudí, ako sme my, možnosti obmedzenia toho, kto vidí naše informácie, je málo. V iPhone môžete inzerentov donútiť k prístupu k „reklamnému ID“, ktoré môžete kedykoľvek obnoviť - čím obmedzíte, ako by sa mohol zostaviť profil. Systém iOS vám tiež umožňuje udeľovať podrobné informácie. Môžete povoliť prístup k svojej polohe a neskôr ju vypnúť z ponuky Nastavenia.
Android bohužiaľ zaostal s podrobnými povoleniami. Aj keď Google stručne predstavil ovládací panel, ktorý vám umožní prepínať a zapínať povolenia, bol rýchlo odstránený. To znamená, že veľa používateľov si musí vybrať medzi zabezpečením a hrou s najnovšou aplikáciou. „Keď vidím aplikáciu, ktorá sa snaží zhromaždiť viac údajov, ako potrebuje, idem na inú aplikáciu s podobnými funkciami, “ uviedol Botezatu.
Používatelia môžu tiež nainštalovať bezpečnostný softvér, ktorý môže pomôcť monitorovať povolenia aplikácií. Lookout hovorí, že ich bezpečnostná aplikácia začne zvýrazňovať tieto informácie, a aplikácia Bitdefender Clueful vám môže pomôcť rozhodnúť sa, či aplikácia požaduje príliš veľa.
Rogers pripúšťa, že „používateľ je ďaleko od toho, čo vývojár aplikácie súhlasí so svojimi inzerentmi.“ Odporúčal však, aby používatelia požadovali, aby vývojári aplikácií poskytovali dokumentáciu, ako sú zásady ochrany osobných údajov a zverejňovania informácií.
Bohužiaľ, je na vývojárov a inzerentoch, aby začali so všetkými informáciami o používateľoch zaobchádzať ako s citlivými a šifrovali ich od chvíle, keď opustí váš telefón, až po jeho sedenie na ich serveroch. Spotrebitelia medzitým musia robiť inteligentné rozhodnutia o tom, ktoré aplikácie inštalujú, a vývojári sa aktívne snažia zodpovedať vývojárov. „Každý deň počúvame, že sa sledujú nové veci, ale aspoň v tomto jednom prípade existuje jednoduchý prostriedok nápravy, “ povedal Rogers.
