וִידֵאוֹ: MTB IN THE WILD PIG'S ROUTE -TREMEZ (אוֹקְטוֹבֶּר 2024)
בסוף ינואר, מסמכים שהודלפו חשפו כי ה- NSA וארגוני הריגול הלאומיים האחרים התקשו להשיג מידע מהסמארטפון שלך. אבל במקום להתקין באג, הם פשוט הקישו לאפליקציות שכבר היו בטלפון כדי ללמוד את כל מה שהם רוצים לדעת.
ציפור כועסת אמרה לי
על פי הדיווחים, ארגוני ריגול מחפשים מה שמכונה "אפליקציות דולפות" כדי לאסוף מידע. זה מונח בו השתמשנו לעתים קרובות למדי בסיפורי האיום הנייד שלנו, יום שני, חוקר הביטחון הראשי של תצפית, מארק רוג'רס, מגדיר "כל אפליקציה שמעבירה כל מידע רגיש ללא הצפנה".
תתפלאו שההגדרה הזו מקיפה רבים מהאפליקציות הזמינות בחנויות האפליקציות של אנדרואיד וגם של iOS. הסיבה לכך היא שרבים מהיישומים האלה משתמשים בפלטפורמות פרסום של צד שלישי כדי לעזור לייצור רווחים מהיישומים שלהם. לפעמים אתה יכול לראות את המודעות ממש באפליקציה, כמו ב- Flappy Bird. היזם מקבל קיצוץ, ואתה מקבל משחק בחינם.
אך גם כאשר אינך רואה מודעות, מפתחי אפליקציות כוללים לעתים קרובות קוד ממפרסמים האוסף בשקט מידע אודותיך והמכשיר שלך. מידע זה נערך ונאסף על ידי מפרסמים כדי לעזור יותר למקד את המודעות שלהם. "ככל שיש יותר מידע על מישהו, כך הפרופיל השיווקי שלהם יהיה מדויק יותר", הסביר מומחה הבכירים באיום האלקטרוני הבכיר של ביטדנדר, בוגדן בוטזאטו.
"למפרסמים", הסבירו רוג'רס של Lookout, "יש זהב בחיזוי מה לשים על זה שיתקשר עם המשתמשים." זה יכול להיות מוצרים ושירותים הקרובים יותר לעניינך, או זמינים באזור שלך. אם היית גר באוסאקה, למשל, כנראה שלא היית מעוניין ללמוד יותר על מכוניות זולות בשיקגו.
מפרסמים ומשווקים הם בדרך כלל אחרי מידע שניתן לזהותם - כלומר דרך כלשהי לחבר את המכשיר אליך. מספר EMEI של המכשיר, מזהה אפל או מזהה אחר יעשו, אך מיילים ומספרי טלפון יקרים במיוחד. בעזרת מידע זה, מפרסמים יכולים לקבוע כי אותו אדם הוריד אפליקציות שונות וללקט כיצד משתמשים בהן במכשירים שונים. מפרסמים אחרים הם אגרסיביים יותר, ומשתדלים לקבל את מידע המיקום הגיאוגרפי שלך ועוד.
כדי לתת דוגמה לגבי מידת מידע SDK של מפרסמים מרחיק לכת, השווה בוטזאטו אותם לגישה מרחוק אנדרואיד הטרויאנית שתואר על ידי Bitdefender. לאחר התקנתו בטלפון של הקורבן, הוא מעניק שליטה מוחלטת לתוקף ומאפשר לו לגנוב אנשי קשר, לגשת להיסטוריית הדפדפן ולעקוב אחר הקורבן. "רוב האנשים מגיבים לשלילה ל- AndroRAT כשאני מראה להם שאני יכול להפעיל את המיקרופון, " אמר. "בקיצור זה, זה מה שקורה ברוב ה- SDK הפרסום."
לא ברור לחלוטין לשם מה משתמש ה- NSA במידע על יישום יורט, אך ככל הנראה הוא דומה למפרסמים: בניית פרופילים מפורטים על אנשים ממידע שונה. כמובן שניתן להשתמש בזה בדרכים אחרות. בוטזאטו מדמיין תרחיש בו התפרעו מפגינים ברחובות נגד ממשלה מעיקה. אם לממשלה דמיונית זו הייתה גישה בלתי מוגבלת למידע על מיקום שנקטפו על ידי מפרסמים, הם היו יכולים לקבוע מי היה בהתפרעות ולכוון אותם או את משפחותיהם כנקמה.
צינורות דליפים
כמו שאמר רוג'רס, אפליקציה דולפת רק אם היא מנסה לשלוח מידע ללא הצפנה. לרוע המזל, רבים מהם בחרו שלא להצפין את המידע הזורם מאפליקציות בטלפון שלך ולשרתי המפרסמים. "כל מי שמאזין בנתב או ברשת יכול לחטוף את נתוני האפליקציה ולהפיק עותק, " אמר בוטזאטו.
למרות שראינו מקרים של סוכנויות ריגול מתעלפות בנתבים ורשתות Wi-Fi, רוג'רס אומר שזה נושא גדול יותר. "ארגוני ממשלה מצליחים למנף תשתיות באופן שאף אחד אחר לא יכול. בחור רע יכול להשיג מצמד נתונים, אבל ממשלות יכולות לחדור לאינטרנט כולו."
שליחת קצוות נתונים למפרסמים אינה תמיד טובה יותר מאשר ליירט אותם על ידי ה- NSA. בוטזאטו ציין כי ברגע שהנתונים עוזבים את המכשיר שלך, אין לך שליטה עליו. "מפרסמים אלה עשויים להיות במקום בו אין חקיקה המגנה על הנתונים שלך, ואף אחד לא יכול להבטיח כי המידע בשרתים אלה מאובטח או בלתי ניתן להשגה להאקרים."
את מי להאשים
במקרים רבים, מפתח האפליקציה אפילו לא מודע לאיזה מידע נשאב מפרסמים. או אם מידע זה מוצפן.
רוג'רס אומר שחלק גדול מהבעיה הוא תפיסה שגויה בתעשייה לגבי מה שהופך את הנתונים לרגישים. יש אפליקציות, הסביר, רק לוקחות מעט מידע - כמו העדפה מינית באפליקציית היכרויות או חלק ממיקוד באפליקציה אחרת - בלי לדאוג. מפרסמים לא רואים מידע זה כרגיש כי לבד זה לא אומר לך הרבה. אך כעת ארגונים כמו ה- NSA יכולים ליירט נתונים ממאות אפליקציות בבת אחת, ולחבר בין הנקודות. "ארגוני ממשלה יכולים לתאם כל זה ולבנות פרופיל שלם", אמר רוג'רס.
יש גם בעיות בערכות פיתוח התוכנה המשמשות מפרסמים לאיסוף מידע זה. בוטזאטו הסביר כי אמנם ישנם מיליוני אפליקציות בכל שוק המובייל, אך מספר ה- SDK הפרסום הוא קטן מאוד. "יש כמאה אנשים המפעילים את כל היישומים בגוגל פליי, " הסביר. "אם אתה מתפשר על אחד כזה, אתה מתפשר על מגוון מלא של יישומים ופונה אל לקוחות רבים יותר."
לקוחות (זה אני ואני) גם לוקחים חלק בזה מכיוון שאנחנו בעצם מזהירים מהטלפונים שלנו כי המידע הזה נאסף. כשאתה מוריד אפליקציה מגוגל פליי, למשל, אתה מסכים לתת לאפליקציה גישה למגוון הרשאות. זהו מידע שאפליקציה יכולה לגשת אליו, ופעולות שהיא יכולה לבצע. "אם Angry Birds משתמש במיקום שלך, אתה יכול להניח שהוא משמש לפרסום איכשהו, אמר רוג'רס.
כיצד להישאר בטוחים
עבור אנשים כמונו, האפשרויות להגביל את מי שרואה את המידע שלנו הן מעטות. באייפון אתה יכול לאלץ את המפרסמים לגשת ל"זהה פרסום "שתוכל לרענן בכל עת - להגביל את מידת השלמת הפרופיל. iOS מאפשרת לך גם לספק הרשאות פירוטות למידע. אתה יכול לאפשר גישה למיקום שלך ואז לכבות אותו מאוחר יותר מתפריט ההגדרות.
לרוע המזל, אנדרואיד מפגרת עם הרשאות גרעניות. למרות שגוגל הציגה בקצרה לוח בקרה שיאפשר לך להפעיל או להשבית הרשאות, הוא הוסר במהירות. פירוש הדבר שמשתמשים רבים נאלצים לבחור בין אבטחה לבין לשחק לשחק עם האפליקציה האחרונה. "כשאני רואה אפליקציה שמנסה לאסוף יותר נתונים ממה שהיא צריכה, אני הולך על אפליקציה אחרת עם פונקציות דומות, " אמרה בוטזאטו.
משתמשים יכולים גם להתקין תוכנת אבטחה שיכולה לעזור בפיקוח על הרשאות האפליקציה. Lookout אומר כי אפליקציית האבטחה שלהם תתחיל להדגיש מידע זה, והאפליקציה Clueful של Bitdefender יכולה לעזור לכם להחליט אם אפליקציה מבקשת יותר מדי.
רוג'רס מודה כי "המשתמש רחוק ממה שמפתח אפליקציות מסכים לעשות עם המפרסמים שלו." עם זאת, הוא המליץ למשתמשים לדרוש ממפתחי אפליקציות לספק תיעוד כמו מדיניות פרטיות וחשיפה.
לצערנו, למרבה הצער, מפתחים ומפרסמים מתחילים להתייחס לכל מידע המשתמשים כרגיש ולהצפין אותו משעה שהוא משאיר את הטלפון שלך לכשהוא יושב על השרתים שלהם. צרכנים, בינתיים, צריכים לקבל החלטות חכמות לגבי אילו אפליקציות הם מתקינים ומחזיקים מפתחים באחריות. "אנו שומעים מדי יום כי מרגלים דברים חדשים, אך לפחות במקרה אחד זה יש תרופה קלה", אמר רוג'רס.
