Video: Kuinka vaihtaa jarruneste ja tyhjentää jarrujärjestelmä | AUTODOCIN vinkit (Marraskuu 2024)
Tammikuun lopulla vuotaneet asiakirjat paljastivat, että NSA: n ja muiden kansallisten vakoojajärjestöjen on ollut vaikeaa saada tietoja älypuhelimestasi. Mutta virheen asentamisen sijaan he vain napsauttivat puhelimesi jo olevia sovelluksia oppiakseen kaiken, mitä he haluavat tietää.
Vihainen lintu sanoi minulle
Raporttien mukaan vakoojajärjestöt etsivät ns. "Vuotavia sovelluksia" kerätäkseen tietoja. Se on termi, jota olemme käyttäneet melko usein Mobile Threat maanantai -tarinoissamme, sellaisen, jota Lookoutin tärkein tietoturvatutkija Marc Rogers määrittelee "mille tahansa sovellukselle, joka välittää kaikenlaista arkaluonteista tietoa ilman salausta".
Saatat olla yllättynyt, että tämä määritelmä kattaa monet sovellukset, jotka ovat saatavilla sekä Android- että iOS-sovelluskaupoissa. Tämä johtuu siitä, että monet näistä sovelluksista käyttävät kolmansien osapuolien mainontaalustoja kaupallistamaan sovelluksiaan. Joskus voit nähdä mainokset suoraan sovelluksessa, kuten Flappy Bird. Kehittäjä saa leikkauksen ja saat pelin ilmaiseksi.
Mutta vaikka et näe mainoksia, sovelluskehittäjät sisällyttävät usein mainostajien koodin, joka kerää hiljaa tietoja sinusta ja laitteestasi. Mainostajat ovat keränneet ja leikattaneet nämä tiedot auttaakseen mainoksia paremmin kohdistamaan. "Mitä enemmän tietoja on joku, sitä tarkempi heidän markkinointiprofiilinsa on", selitti Bitdefenderin vanhempi uhka-asiantuntija Bogdan Botezatu.
"Mainostajalle", selitti Lookout's Rogers, "kultaa voidaan ennustaa, mitä laittaa, joka kiinnostaa käyttäjiä." Nämä voivat olla tuotteita ja palveluita, jotka ovat lähempänä kiinnostustasi tai joita on saatavilla alueellasi. Jos asut esimerkiksi Osakassa, et todennäköisesti olisi liian kiinnostunut oppimaan halpoja autoja Chicagossa.
Mainostajat ja markkinoijat ovat tyypillisesti tunnistettavien tietojen jälkeen, toisin sanoen jollain tapa kytkeä laitteesi sinuun. Laitteen EMEI-numero, Apple ID tai jokin muu tunniste tehdään, mutta sähköpostit ja puhelinnumerot ovat erityisen arvostettuja. Näiden tietojen avulla mainostajat voivat selvittää, että sama henkilö on ladannut erilaisia sovelluksia, ja selvittää kuinka niitä käytetään eri laitteilla. Muut mainostajat ovat aggressiivisempia ja yrittävät saada paikkatietojasi ja paljon muuta.
Botezatu veti esimerkkiä siitä, kuinka kauaskantoiset mainostajien SDK-tiedot voivat olla, vertaa niitä Bitdefenderin profiloimaan Android-etäkäyttö Troijalaan. Kun se on asennettu uhrin puhelimeen, se antaa hyökkääjälle täydellisen hallinnan antamalla hänelle varastaa yhteystietoja, käyttää selaimen historiaa ja seurata uhria. "Useimmat ihmiset reagoivat kielteisesti AndroRATiin, kun näytän heille, että voin kytkeä mikrofonin päälle", hän sanoi. "Lyhyesti siitä, niin tapahtuu useimmissa mainonta SDK: issa."
Ei ole täysin selvää, mihin NSA käyttää siepattuja sovellustietoja, mutta se todennäköisesti muistuttaa mainostajia: rakentaa yksityishenkilöille yksityiskohtaiset profiilit erilaisista tiedoista. Tietysti sitä voidaan käyttää muilla tavoilla. Botezatu kuvittelee tilanteen, jossa mielenosoittajat mellakoivat kaduilla sortavaa hallitusta vastaan. Jos tällä kuvitteellisella hallituksella olisi ollut rajoittamaton pääsy mainostajien keräämiin sijaintitietoihin, he voisivat päättää, kuka oli mellakkassa, ja kohdistaa heidät tai heidän perheitään kostotoimiin.
Vuotavat putket
Kuten Rogers sanoi, sovellus on tiivis vain, jos se yrittää lähettää tietoja ilman salausta. Valitettavasti monet heistä ovat valinneet olla salaamattomia tietoja puhelimesi sovelluksista ja mainostajien palvelimista. "Jokainen, joka kuuntelee reititintä tai verkkoa, voi snooptaa sovelluksen tietoja ja tehdä kopion", Botezatu sanoi.
Vaikka olemme nähneet tapauksia, joissa vakoojatoimistot urkitsevat reitittimissä ja Wi-Fi-verkoissa, Rogers sanoo, että se on suurempi ongelma. "Hallitusjärjestöt pystyvät hyödyntämään infrastruktuuria tavalla, jota kukaan muu ei voi. Paha kaveri voi saada tiedonsiirron, mutta hallitukset voivat kuljettaa koko Internetin."
Tietomäärien lähettäminen mainostajille ei ole aina parempi kuin NSA: n sieppaaminen. Botezatu huomautti, että kun tiedot poistuvat laitteestasi, et voi hallita sitä. "Nämä mainostajat voivat olla paikassa, jossa ei ole tietojasi suojaavaa lainsäädäntöä, eikä kukaan voi taata, että näiden palvelimien tiedot ovat turvattuja tai tavoittamattomia hakkereille."
Kuka syyttää
Monissa tapauksissa sovelluksen kehittäjä ei ehkä edes tiedä, mitä tietoja mainostajat imevät. Tai jos nämä tiedot ovat salattuja.
Rogers sanoo, että suuri osa ongelmasta on toimialan väärinkäsitys siitä, mikä tekee tiedoista arkaluontoisia. Jotkut sovellukset, hän selitti, ottavat vain vähän tietoa - kuten seksuaalisen mieltymyksen treffisovelluksessa tai osan postinumerosta toisessa sovelluksessa - ilman huolta. Mainostajat eivät näe näitä tietoja arkaluonteisina, koska yksinään ne eivät kerro sinulle paljon. Mutta nyt NSA: n kaltaiset organisaatiot voivat siepata satojen sovellusten tietoja kerralla ja yhdistää pisteitä. "Hallitusjärjestöt voivat korreloida kaiken tämän ja rakentaa täydellisen profiilin", sanoi Rogers.
On myös ongelmia ohjelmistokehityspaketeilla, joita mainostajat käyttävät näiden tietojen keräämiseen. Botezatu selitti, että vaikka kaikilla matkaviestinmarkkinoilla on miljoonia sovelluksia, SDK: ien mainonta on erittäin pieni. "Kaikkia Google Playn sovelluksia on noin 100, " hän selitti. "Jos vaarannat yhden, vaarantat täyden valikoiman sovelluksia ja tavoitat paljon enemmän asiakkaita."
Asiakkaat (se olet sinä ja minä) pelaavat myös tässä, koska puhelimemme ovat todella varoittaneet näiden tietojen keräämisestä. Kun lataat sovelluksen esimerkiksi Google Playsta, suostut antamaan sovellukselle pääsyn useisiin käyttöoikeuksiin. Tämä on tieto, jota sovellus voi käyttää, ja toiminnot, joita se voi suorittaa. "Jos Angry Birds käyttää sijaintiasi, voit olettaa, että sitä käytetään jotenkin mainontaan", Rogers sanoi.
Kuinka pysyä turvassa
Meidän kaltaisille ihmisille on vähän mahdollisuuksia rajoittaa sitä, kuka näkee tietomme. IPhonessa voit pakottaa mainostajia pääsemään "mainostunnukseen", jonka voit päivittää milloin tahansa - rajoittamalla kuinka täydellinen profiili voidaan rakentaa. iOS: n avulla voit myös antaa rakeisia käyttöoikeuksia tietoihin. Voit sallia sijainnin käytön ja sammuttaa sen myöhemmin Asetukset-valikossa.
Valitettavasti Android on jäänyt jälkeen yksityiskohtaisista käyttöoikeuksista. Vaikka Google esitteli hetkeksi ohjauspaneelin, jonka avulla voit vaihtaa käyttöoikeuksia ja poistaa ne käytöstä, se poistettiin nopeasti. Tämä tarkoittaa, että monien käyttäjien on valittava turvallisuuden ja uusimman sovelluksen pelaamisen välillä. "Kun näen sovelluksen, joka yrittää kerätä enemmän tietoja kuin se tarvitsee, etsin toista sovellusta, jolla on samanlaiset toiminnot", Botezatu sanoi.
Käyttäjät voivat myös asentaa tietoturvaohjelmistoja, joiden avulla voidaan valvoa sovellusten käyttöoikeuksia. Lookout sanoo, että heidän tietoturvasovelluksensa alkaa korostaa näitä tietoja, ja Bitdefenderin Clueful-sovellus voi auttaa sinua päättämään, vaatiiko sovellus liikaa.
Rogers myöntää, että "käyttäjä on kaukana siitä, mitä sovelluskehittäjä suostuu tekemään mainostajiensa kanssa". Hän suositteli kuitenkin käyttäjille, että sovelluskehittäjät toimittavat asiakirjoja, kuten tietosuoja- ja paljastamiskäytäntöjä.
Valitettavasti kehittäjien ja mainostajien velvollisuutena on alkaa käsitellä kaikkia käyttäjän tietoja arkaluontoisina ja salata ne puhelimesta poistumisesta palvelimiinsa istumiseen saakka. Sillä välin kuluttajien on tehtävä älykkäitä päätöksiä asentamistaan sovelluksista ja pidettävä kehittäjiä aktiivisesti vastuussa. "Kuulemme päivittäin, että uusia asioita vakoillaan, mutta ainakin tässä tapauksessa on olemassa helppo lääke", Rogers sanoi.