Эксперты по безопасности только что обнаружили две гигантские проблемы с конфиденциальностью смартфонов

27 января, 2024 Дядя Влад

Модуль камеры Apple iPhone 15 Pro Max. — Apple iPhone 15 Pro Max Энди Боксалл / Digital Trends

Это была потрясающая неделя с точки зрения конфиденциальности и безопасности пользователей смартфонов. В частности, два расследования выявили тревожные проблемы конфиденциальности в отношении рекламы на смартфонах и системы уведомлений iOS.

Первое, глубокое расследование, проведенное 404 Media , выявило, что компания Patternz использует систему доставки рекламы на смартфонах для извлечения информации через приложения и последующей отправки ее участникам торгов.

В отчете Patternz описывается как «секретный шпионский инструмент, который может отслеживать миллиарды профилей телефонов в рекламной индустрии». Patternz использует конвейер в популярных приложениях, таких как 9Gag, и в куче популярных приложений для идентификации звонящего, чтобы выполнять свою гнусную работу. Сообщается, что Patternz сообщил своим клиентам, что может отслеживать практически любое приложение, способное показывать рекламу.

Генеральный директор компании говорит, что после развертывания инструмента, охватывающего более полумиллиона приложений, телефон превращается в «фактически браслет слежения». Согласно разоблачающему исследовательскому документу , он отслеживает ошеломляющие 5 миллиардов пользователей и передает информацию клиентам, использующим рынок ставок в реальном времени (RTB). Независимо от того, есть ли у вас iPhone или телефон Android, это может повлиять на вас.

ISA, компания по наблюдению, стоящая за Patternz, собирает эти данные от игроков RTB, таких как Google и X, ранее известный как Twitter. Набор данных, который он продает, может включать в себя что угодно: от очень конкретного местоположения человека с точностью до нескольких метров до истории его поведения и даже того, с кем он встречается.

Массивная сеть наблюдения

Иллюстрация людей, стоящих на экране телефона — Создано с использованием Dall-E 2/Digital Trends.

Само существование таких инструментов также ставит под сомнение эффективность широко рекламируемой функции Apple Tracking Tracking Transparency , цель которой — ограничить такое отслеживание с помощью рекламы.

Эксперты по кибербезопасности говорят, что такие инструменты позволяют правительству осуществлять наблюдение, и подобные ISA уже рекламируют свои услуги органам национальной безопасности. Это не совпадение.

Глава Агентства национальной безопасности признал, что АНБ покупает данные американцев о просмотре веб-страниц у брокеров данных, минуя необходимость в ордерах.

Громкое подтверждение пришло после того, как сенатор Рон Уайден (демократ от штата Орегон) приостановил назначение нового директора АНБ Тимоти Хо и потребовал ответов о практике агентства по сбору данных о местоположении американцев и интернет-данных.

Уайден, который уже три года пытается раскрыть, что АНБ покупает интернет-записи американцев, получил 11 декабря письмо от нынешнего директора АНБ Пола Накасоне, подтверждающее эти покупки. Подробности письма первым сообщило агентство Reuters .

Уведомления могут быть вредоносными

Вкладка уведомлений приложения Ivory — Кристин Ромеро-Чан / Digital Trends

Но реклама — это только половина проблемы. Другое расследование Mysk показало, что злоумышленники используют push-уведомления на iPhone для сбора важных данных для диагностики и индивидуальной доставки данных.

Всякий раз, когда приложение получает push-уведомление, iOS ненадолго активирует его, давая ему короткое окно для персонализации уведомления, прежде чем показывать его пользователю. Неудивительно, что различные социальные приложения, печально известные своими привычками агрессивного сбора данных, используют эту фоновую среду выполнения, предоставляемую push-уведомлениями.

Разработчики могут умело использовать эту лазейку для выполнения кода в фоновом режиме, когда захотят, просто отправляя push-уведомления. Многие приложения используют эту функцию для скрытой отправки полных данных об устройстве, работая в фоновом режиме, эффективно запуская систему снятия отпечатков пальцев с устройств.

«Частота, с которой многие приложения отправляют информацию об устройстве после срабатывания уведомления, просто ошеломляет», — говорят в охранной фирме. Это расследование выявило подозрительное поведение даже на таких популярных платформах, как Facebook, TikTok и LinkedIn.

Что говорят эксперты?

Иллюстрация женщины, смотрящей в телефон — Создано с использованием Dall-E 2/Digital Trends.

Единственное решение этой проблемы? Отключение уведомлений.

«В последнее время злоумышленники стали использовать всплывающие окна с уведомлениями и рекламу, которые могут побудить жертву установить шпионское ПО на свои устройства», — рассказал Digital Trends Джон Клэй, генеральный директор глобальной компании по кибербезопасности Trend Micro.

Итак, что может сделать обычный человек, чтобы избежать такого незаконного наблюдения, которое может передавать идентифицирующие детали, такие как местоположение и местные данные? «Многих людей заставили поверить, что мобильные устройства сами по себе безопасны», — говорит Клэй, отмечая, что установка блокировщиков рекламы может предложить некоторую форму сети безопасности или специальных приложений безопасности.

«Атаки такого рода довольно коварны и вызывают крайнюю тревогу», — говорит Алан Бавоса, вице-президент по продуктам безопасности Appdome. Он отмечает, что пользователи обычно находятся в беззащитном положении перед лицом таких атак, поскольку они вообще не знают, что происходит на их устройствах.

«Есть небольшие вещи, которые пользователи могут сделать, чтобы не усугубить ситуацию, например, загружать приложения из стандартных магазинов приложений и не менять (взломать джейлбрейк или рутировать) свои устройства», — говорит нам Бавоса. «Но эти меры носят аддитивный, а не лечебный характер».

Человек с Apple iPhone 15 Plus и Apple iPhone 15 Pro Max. — Apple iPhone 15 Pro Max (слева) и Apple iPhone 15 Plus Энди Боксалл / Digital Trends

К сожалению, похоже, что в конечном итоге ответственность ложится на пользователя, и это тоже является превентивной мерой. Эксперты по кибербезопасности обычно предлагают вручную покопаться в приложении настроек и отключить приложения уведомлений для определенных приложений, а также, возможно, для датчиков устройства.

«Некоторые рекламные и шпионские программы могут быть опубликованы злоумышленниками на официальных торговых площадках под видом законных приложений», — говорит Шон Лавленд, главный операционный директор Resecurity. «Рекомендуется не устанавливать случайные приложения или приложения, которые вам действительно не нужны».

Несмотря на то, что злоумышленники нашли обходные пути, разумным шагом будет попросить приложения не отслеживать активность пользователей на вашем iPhone. «Хорошая идея — периодически проверять разрешения приложений, особенно тех, которые связаны с местоположением и доступом к микрофону, и отключать все ненужные», — предлагает Джон Чепмен, соучредитель охранной фирмы MSP Blueshift.

Некоторая отсрочка наступит позже в этом году, поскольку Apple готовится попросить разработчиков подробно объяснить, почему им нужен доступ к push-уведомлениям и связанным с ними диагностическим системам на iPhone. Это не решит всех проблем за один раз, но это, по крайней мере, достойное начало.